État des lieux de la cybersécurité dans le secteur public face aux cybermenaces
Depuis 2019, l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) constate une augmentation alarmante des cybermenaces qui pèsent sur les entreprises, mais aussi dans le secteur public où le risque cyber est devenu une préoccupation majeure pour les administrations et collectivités.
Dans le panorama de la menace informatique 2021[1], l’ANSSI décrit l’année 2021 comme marquée par la professionnalisation des acteurs malveillants et la multiplication des incidents. On décompte en effet 1 082 intrusions avérées dans les systèmes d’information, soit une hausse de 37% par rapport à 2020. Parmi ces attaques, 11% concernaient les hôpitaux et 20% les collectivités territoriales.
2022 n’a pas échappé à ce constat malheureusement. Lors du premier trimestre, les détections de ransomwares ont augmenté de 80%. En comparant à la même époque sur 2021, on constate que le nombre de détections de ce genre de menaces a triplé en à peine un an.[2]
Au cœur de ces attaques, les organismes publics sont des cibles de choix et se révèlent souvent vulnérables par manque de moyens humains et financiers. Les établissements de santé et les collectivités font partie des structures les plus impactées, il s’agirait même de la première menace pour les collectivités selon cybermalveillance.gouv.fr [3]
L’État positionne la cybersécurité comme un enjeu majeur pour le secteur public
Pour permettre aux collectivités publiques et aux organismes au service des citoyens d’améliorer leur résilience en matière de cybersécurité, l’État a lancé fin 2020 le volet cybersécurité du plan France Relance.
Piloté par l’ANSSI, ce plan s’élève à 136 millions d’euros avec la démarche suivante : élever significativement et durablement le niveau de cybersécurité des bénéficiaires en leur donnant l’impulsion financière nécessaire en vue d’un investissement durable, comme la mise en place d’une solution IAM.
Pour accompagner les établissements, des entreprises qui disposent des compétences nécessaires ont été nommées prestataires de terrain. C’est notamment le cas du Groupe Inetum qui intervient sur des missions de gouvernance, d’audit et de sécurité opérationnelle qui répondent parfaitement aux risques encourus par le recours aux solutions Cloud.
En parallèle, le ministère des Solidarités et de la Santé (MSS) et l’Agence du Numérique en Santé (ANS) ont publié le référentiel sur l’identification électronique en avril dernier. L’objectif ? Protéger les données de santé avec la mise en place d’une authentification forte et/ou multifacteur MFA pour tous les établissements.
Collectivités publiques : l’IAM recommandé à tous les niveaux de maturité
En mars 2021, le gouvernement français a annoncé que 50% du budget du plan France Relance serait alloué à la mise en conformité des collectivités territoriales et locales.
Les parcours cybersécurité France Relance ont été créés afin de favoriser la mise en place d’un socle cybersécurité qui protégera les systèmes d’information. A chaque étape de ces parcours, nous retrouvons les fondamentaux d’une stratégie IAM.
L’affiliation des établissements publics dans les 4 parcours existants dépendra de leur niveau de maturité face aux cyberattaques :
- Parcours fondation : adapté aux organisations disposant de ressources limitées (humaines, financières et techniques)
- Parcours intermédiaire : Adapté aux organisations souhaitant recruter un référent cybersécurité ou disposant en interne d’un référent junior à faire monter en compétence
- Parcours avancé : adapté aux organisations qui disposent en interne et à temps plein d’un spécialiste en cybersécurité
- Parcours renforcé : Point de passage des organisations opérant un service de niveau comparable à celui d’un système d’information essentiel ou vital
Après un diagnostic, les établissements sont accompagnés par le prestataire de terrain pour mettre en œuvre les recommandations correspondantes à leur parcours. Ces projets de mise en conformité, notamment IAM, pourront être financés à hauteur de 70% par l’état.
C’est dans cette approche que nous retrouvons tout un volet sur l’Identity Management dans le plan France Relance. Les structures les moins matures se verront en effet recommander une gestion centralisée des identités. Pour les plus avancées, la gestion du cycle de vie et des droits d’accès est prescrite. Enfin les plus aguerris pourront se concentrer sur la mise en place d’une revue des habilitations pour atteindre un niveau de sécurité plus optimal en commençant par lire notre guide pratique sur le sujet :
Les solutions d’Access Management sont également largement recommandées. En effet, avec notamment l’émergence du télétravail, la protection des accès distants au réseau est à implanter à tous les niveaux. L’authentification forte quant à elle sera obligatoire dès le niveau intermédiaire tout comme les solutions d’authentification à double facteur ou MFA. Pour les établissements qui rejoignent le parcours renforcé, il faudrait mettre en œuvre une approche globale SSO (Single Sign-On).
Ces différents dispositifs relatifs à l’Access Management permettent ainsi aux collectivités de bénéficier d’un parcours d’authentification à la fois fluide et sécurisé. Ces préconisations correspondent aux tendances du marché et permettent d’allier ergonomie et sécurité.
Dans son premier bilan d’activité, l’ANSSI décompte 626 bénéficiaires et 140 parcours engagés opérationnellement. L’enjeu est à présent garantir le déploiement complet du programme.
L’authentification forte devient obligatoire pour les établissements de santé
C’est désormais officiel pour les établissements de santé, l’authentification à double facteur comme moyen d’identification électronique devient une exigence pour les services sensibles. Dans la PGSSI-S, l’ANS et le MSS précisent que la solution d’Access Management choisie doit être compatible avec le fédérateur de fournisseurs d’identité Pro Santé Connect.
En misant sur la fédération d’identité, les acteurs du secteur santé se verront donc offrir le choix parmi plusieurs moyens d’identification fournis par Pro Santé Connect. Attention en revanche, seuls ceux de niveau substantiel ou supérieur, dès lors que ce niveau est précisé, seront valides. [4]
Liste des moyens d’identification fournis par Pro Santé Connect :
- les cartes CPx (CPS RPPS, CPS ADELI, CPF, CPE libérale, CPE structure, …)
- l’application mobile e-CPS
Côté implémentation, Pro Santé Connect utilise le standard OpenID Connect. Ce standard est nativement couvert par la plateforme IAM d’Ilex. Si vous souhaitez en savoir plus à ce sujet, nous vous invitions à consulter notre article dédié aux protocoles de fédération les plus répandus, OAuth2 et OpenID Connect.
Ilex IAM Platform permet en effet une couverture globale de l’ensemble des applications tout en étant compatible avec tous les moyens d’identification proposés par l’ANS :
Identification/Authentification | Carte CPx | MFA | Charte sécurité | Application Mobile | |
eSSO | ✔️ | ✔️ | ✔️ | ✔️ | |
WAM/fédération | ✔️ | ✔️ | ✔️ | ||
Authenticator | ✔️ | ✔️ | ✔️ |
Parmi les autres exigences indiquées dans la PGSSI-S, on retrouve des critères fondamentaux d’une gestion des identités rigoureuse comme par exemple :
- la notion de source autoritaire, l’identifiant doit provenir d’un répertoire sectoriel de référence
- la notion de séparation des tâches, seuls les responsables d’un service numérique sensible doivent détenir le droit d’homologation du moyen d’identification
Pour faciliter toutes ces exigences, l’ANS souligne la possibilité d’utiliser une solution IAM car la définition et le contrôle des autorisations d’accès sont simplifiés. [4]
Avec ces nouvelles mises en œuvre, l’ANS et le MSS visent à renforcer progressivement la sécurité des accès aux services numériques traitant de données de santé à caractère personnel. Ainsi, bien que les services devront impérativement implémenter l’identification électronique par Pro Santé Connect d’ici 2024, les moyens de transition définis dans le référentiel resteront acceptables jusqu’à décembre 2025.
Une plateforme IAM pour sécuriser la gestion des identités et des accès dans le secteur public
Via la mise en place des parcours cybersécurité et de la PGISS-S, la maîtrise de la stratégie de gestion des identités et des accès est devenue incontournable pour le secteur public.
Grâce à une centralisation de la configuration et de la supervision associée, les solutions IAM sont effectivement recommandées pour faciliter la définition et le contrôle des autorisations d’accès. En optant pour une plateforme IAM, les établissements ont donc la possibilité d’assurer une sécurisation optimale de leurs systèmes d’information. C’est notamment le cas du GHT Vendée qui a mis en place un annuaire IAM en utilisant Ilex IAM Platform.
Choisir de baser sa stratégie IAM via une plateforme globale permet également d’éviter l’assemblage de technologies provenant d’éditeurs différents au profit d’un socle unique, complet et évolutif pour vous accompagner à long terme. Vous êtes ainsi certain de retirer tous les bénéfices escomptés de votre stratégie IAM : renfort de la sécurité du SI, garanties de conformité réglementaire, meilleure expérience utilisateur, soutien de la transformation digitale, ouverture du SI et retour sur investissement.
Enfin, pour bénéficier pleinement de votre plateforme IAM, nous rappellerons l’importance de la mise en place d’une stratégie IAM en amont. Parce que les fonctionnalités diffèrent selon la taille de votre organisation, cerner vos enjeux de gestion des identités et des accès est une étape incontournable dans votre stratégie de défense.
Poursuivez votre lecture sur l’analyse des principaux enjeux rencontrés dans les organisations du secteur Santé et Social et les administrations publiques.
[1] https://www.cert.ssi.gouv.fr/uploads/20220309_NP_WHITE_ANSSI_panorama-menace-ANSSI.pdf
[2] https://www.watchguard.com/wgrd-resource-center/security-report-q1-2022
[3] https://www.ssi.gouv.fr/actualite/cybersecurite-faire-face-a-la-menace-la-strategie-francaise/
[4] https://esante.gouv.fr/produits-services/pgssi-s
[5] https://www.ssi.gouv.fr/uploads/2021/06/anssi-france_relance-parcours_cybersecurite-2021.pdf