Les cyberattaques contre l’industrie de la santé continuent d’augmenter. Le récent récit sur l’effroi du réseau de santé de l’Université du Vermont mais également de la majorité des hopitaux Français envers les ransomwares n’est qu’un exemple de la façon dont les attaquants se précipitent pour voler des données et perturber les services. les hôpitaux travaillent à fortifier leur défense pour garder une longue d’avance sur les attaquants.
Même les utilisateurs de longue date de Secret Server ajoutent des contrôles et mettent à jour leurs environnements informatiques pour augmenter la sécurité. Thycotic a récemment collaboré avec l’un des plus grands hôpitaux au Canada pour améliorer leur stratégie de gestion des accès privilégiés, alors qu’ils adoptaient une nouvelle architecture à haute sécurité. Leur histoire est un exemple à suivre pour d’autres systèmes de santé.
Le comportement de l’administrateur du domaine augmente le risque de « Pass-the-Hash »
Le système hospitalier s’est rendu compte qu’il leur fallait renforcer leurs défenses lors de tests de pénétration qui ont mis en évidence des pratiques d’opérations informatiques permettant aux pirates de récupérer des mots de passe privilégiés.
Lorsque les administrateurs de domaine tentaient de résoudre des problèmes techniques, la méthode qu’ils utilisaient pour se connecter aux systèmes ouvrait la porte aux attaques de type « pass-the-hash ». Les administrateurs laissaient leurs mots de passe sur les terminaux distants. Les attaquants peuvent potentiellement récupérer la mémoire système ou utiliser d’autres techniques pour obtenir ces mots de passe et accéder à l’environnement informatique de l’hôpital en tant qu’utilisateur privilégié.
Les analystes système ont, grâce à cette découverte apporté des changements de manière à ce que les administrateurs ne connaissent pas les mots de passe.
Le modèle hiérarchisé de Microsoft renforce la défense des hôpitaux
L’équipe de sécurité du système hospitalier a décidé de mettre en œuvre le système de hiérarchisation des informations d’identification de Microsoft, connu sous le nom de poste de travail à accès privilégié (PAW). Un modèle PAW crée une zone virtuelle isolée dans laquelle les comptes sensibles peuvent fonctionner avec un faible risque. Le PAW est réalisable pour la plupart des entreprises et renforce les contrôles pour empêcher les pirates de compromettre les systèmes.
Dans un modèle PAW, les outils et applications d’administration pour les fonctions critiques sont exécutés sur un système privilégié et toutes les autres fonctions s’exécutent sur un poste de travail utilisateur standard. Dans un scénario d’utilisation simultanée, un poste de travail unique peut être utilisé à la fois pour des tâches privilégiées et des activités quotidiennes ; le matériel physique exécute localement un seul système d’exploitation PAW et contacte un service de bureau à distance pour les applications utilisateur.
Les comptes privilégiés sont organisés en niveaux. Dans l’exemple de l’hôpital, les administrateurs de domaine sont de niveau 0, les administrateurs système de niveau 1, les utilisateurs et les développeurs de niveau 2.
Thycotic Secret Server complète le modèle de hiérarchisation haute sécurité
Les exigences de sécurité élevées du modèle PAW exigeaient l’utilisation des moteurs distribués de Secret Server, un service Windows qui gère les tâches telles que le changement de mot de passe, etc. L’équipe a mis en place une architecture dans laquelle un moteur distribué gère les systèmes de niveau 0 et les autres systèmes de niveau 1. Un tunnel RDP chiffré permet au trafic de se déplacer en toute sécurité d’un niveau à l’autre, sans que les utilisateurs n’aient besoin de se souvenir ou même de voir les mots de passe.
L’architecture à l’échelle de l’entreprise a également amélioré les performances de Secret Server. Auparavant, l’hôpital utilisait des serveurs Web pour gérer à la fois l’interface Web et l’expérience de connexion, ainsi que la gestion des mots de passe. Aujourd’hui, avec l’adoption des moteurs distribués, les serveurs Web se concentrent uniquement sur le front-end, y compris l’ouverture de session et l’interface Web. En plus de fournir une connexion et un traitement plus rapides, le même moteur distribué peut modifier tous les mots de passe à la fois.
Grâce à l’architecture de haute sécurité et à la solution PAM de Thycotic, l’hôpital passe désormais les tests de pénétration des vulnérabilités par mot de passe avec brio et a renforcé sa sécurité contre les cyberattaques.
Si vous souhaitez plus d’informations, n’hésitez pas à nous contacter.