Retour d'expérience sur le projet NDR Jizô AI managé par BECYCURE au CH de Saint Quentin

Contexte : JO 2024,une nécessité accrue de cybersécurité et des délais serrés en vue des JO Paris 2024

Avec 2 700 salariés, 900 lits et un système d’information complexe, incluant des équipements biomédicaux, le Centre Hospitalier de Saint Quentin devait faire face à des enjeux de cybersécurité cruciaux dans la perspective des Jeux Olympiques de Paris 2024. Face à l’échéance imminente, le déploiement des sondes Jizô AI a dû être réalisé dans des délais particulièrement serrés.

Le CH de St Quentin possède un SOC internalisé, ce qui dénote d’un niveau de maturité élevé en cybersécurité. Mais après la protection des accès à privilèges et à l’utilisation d’outils avancés comme les XDR et les pare-feux, l’établissement souhaitait aller plus loin. Arnaud Blasyk, RSSI et DPO du GHT Aisne-Nord Haute-Somme, a donc entrepris de renforcer la visibilité et la protection du réseau en déployant des sondes NDR (Network Detection and Response) Jizô AI, qualifiées par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI).

Afin de répondre à ce besoin, le Centre Hospitalier de Saint Quentin a fait confiance à BECYCURE, expert en intégration et en supervision de solutions de cybersécurité, et Sesame it, fournisseur de la technologie Jizô AI, reposant sur des moteurs avancés d’IA, d’analyse comportementale et de détection d’anomalies.

Retour d’expérience : Un projet ambitieux et structurant

Phase 1 : Préparation et déploiement

Afin de nous donner le contexte, Arnaud Blasyk détaille la structure du Centre Hospitalier de St Quentin :

“Au niveau de l’infrastructure, nous sommes protégés en interne et en externe par des outils de cybersécurité robuste au niveau des endpoints, serveurs et pare-feux. Pour ce qui est des accès externes, nous utilisons un Bastion ainsi que du MFA pour l’ensemble des accès des prestataires. Pour les utilisateurs, tout se passe avec des VPN chiffrés et MFA.”

Un établissement bien équipé en cybersécurité donc, ce qui a permis d'accélérer grandement la mise en place des sondes Jizô AI :  

“Pour ce qui est de l’implémentation des sondes, nous avons déjà un SOC interne avec de grandes compétences, ce qui a permis de faire une configuration assez rapide. La livraison et l’installation ont été faites en une journée par BECYCURE, juste avant le démarrage de la prestation”. - Arnaud Blasyk

Le déploiement des sondes Jizô AI a été mené à un rythme soutenu pour répondre aux contraintes de temps imposées par les JO de Paris 2024. Une phase initiale de cadrage d’une journée seulement a permis d’établir une préconfiguration précise des sondes. Celle-ci a été suivie par une journée d’installation sur site.

La mise en production a commencé le 26 juillet 2024, c’est-à-dire pour le coup d’envoi des JO, avec l’activation des règles de détection.

“Bien sûr, après cela il y a eu besoin d’un peu de paramétrage et de fine-tuning entre experts SOC pour supprimer ou du moins limiter les faux-positifs et commencer à baisser le nombre d’alertes pour ne rester que sur de l’alerte réelle.”

En effet, une période d’étalonnage a généré quelques faux positifs. Cependant, ces ajustements ont rapidement permis d’affiner les paramétrages et de réduire les alertes non pertinentes. Cette vitesse d’exécution a été essentielle pour assurer une protection optimale dans un contexte où les risques cyber étaient exacerbés par l’approche des JO.

“La collaboration avec les équipes internes est vraiment importante, que ce soit pour les investigations mais aussi pour le cadrage où les experts du SOC interne peuvent fournir des détails particuliers sur le matériel biomédical aux équipes de BECYCURE, par exemple. Cela a permis d’éviter un grand nombre de faux-positifs”.

Jérôme Lanniaux, directeur commercial de BECYCURE ajoute : 

“Oui effectivement, nous avons été agréablement surpris par le niveau de maturité de St Quentin. Vous avez d’une part des équipes dédiées, ce qui n’est pas le cas de tous les établissements de santé, et d’autre part un SOC internalisé disposant d’une technologie de pointe. Le challenge de BECYCURE était de démontrer que nous pouvions apporter de la valeur en plus de ce qui était fait par les équipes de St Quentin”. 

Mise en place du process d’escalade

“Nous avons pu nous entraîner à de la gestion de crise avec des exercices dédiés pour apprendre à contacter les bonnes personnes, à contacter BECYCURE en cas d’attaque avérée et réagir très rapidement, en 24/7. Concernant la sollicitation des équipes, le reporting mis en place à St Quentin est hebdomadaire et ne remonte pas d’alertes réelles ces temps-ci”.- Arnaud Blasyk

Jérôme Lanniaux souligne qu’il était très important que la charge de travail pour la mise en place de ce process reste chez BECYCURE afin d’apporter de l’efficacité opérationnelle sans toutefois surcharger les équipes. Le ratio était de 90% du travail et des actions menées par BECYCURE, pour 10% de sollicitations côté St Quentin.

Les cas de détection observés

Les sondes Jizô AI ont permis une surveillance complète du trafic est-ouest au sein des infrastructures du CH. Cette visibilité a révélé plusieurs activités suspectes ou non conformes :

• Détection de trafic TOR : Les sondes ont identifié des connexions vers des nœuds de sortie TOR, mettant en évidence des comportements potentiellement malveillants.
• Tentatives de brute force : Une attaque par force brute ciblant un serveur FTP a été rapidement contenue en isolant le serveur le temps d’identifier les sources.

Gestion des actifs et shadow IT

Les sondes ont également révélé la présence d’équipements et d’actifs non recensés, comme une machine virtuelle Kali Linux non décommissionnée après un test d’intrusion. Ce type de détection illustre l’importance de contrôler les "shadow IT" – ces infrastructures non autorisées ou mal gérées qui augmentent les vulnérabilités du système d’information.

En collaborant avec Sesame IT et BECYCURE, le CH a pu non seulement identifier ces risques, mais aussi mettre en place des actions correctives. La supervision 24/7 assurée par les équipes de BECYCURE a été d’une aide précieuse dans ce processus.

Les shadow IT : Une menace latente

Le shadow IT, par définition, englobe l’ensemble des actifs et logiciels non validés officiellement par le service informatique. Ces équipements, bien que parfois utiles, peuvent être une porte d’entrée pour les cyberattaques. Les sondes Jizô AI, grâce à leur analyse fine du trafic et leur approche comportementale, permettent d’identifier ces actifs et de réduire leur impact sur la sécurité globale.

Conclusion : Vers une protection accrue des données et des équipements biomédicaux

L’expérience du CH de Saint Quentin met en lumière les bénéfices de la collaboration entre des experts en cybersécurité comme BECYCURE et Sesame it, ainsi que la puissance de Jizô AI.

Cette initiative ne marque qu’une étape dans l’évolution de la cybersécurité hospitalière. EN 2025, plusieurs axes de développement sont prévus : 

1. Mise en œuvre de solutions de Data Loss Prevention (DLP) : La protection des données sensibles, en particulier des données à caractère personnel, est une priorité pour Arnaud Blasyk, qui cumule les fonctions de RSSI et DPO. Cette démarche vise à prévenir l’exfiltration de données et à renforcer la conformité réglementaire.

“Actuellement nous n’avons pas la visibilité sur le contenu des flux. Il est difficile de juger si des échanges d’informations sont un transfert légitime ou pas. 

Cette visibilité serait un gros plus : par exemple, si des IPP (Identités Permanentes de Patients) ou des IEP (numéros de séjour) étaient exfiltrés, il serait difficile de le détecter en l’état actuel, que ce soit dans le cas d’une cyberattaque ou d’une erreur humaine. “ - Arnaud Blasyk

1. Extension de la surveillance aux équipements biomédicaux : Ces dispositifs, souvent connectés mais vulnérables, nécessitent une attention particulière pour garantir la continuité des soins tout en minimisant les risques de compromission. 

L'objectif pour 2025 consiste à mobiliser l'expertise de BECYCURE et de Sesame it afin de développer des outils adaptés aux besoins du Centre Hospitalier de Saint-Quentin et ses équipements biomédicaux. En intégrant également les autres établissements du GHT qui présentent des besoins similaires, les efforts des prochains mois se concentreront sur ce projet, désormais facilité par l'installation et la configuration réussies des sondes Jizô AI.

Ces évolutions permettront de garantir une sécurité optimale tout en répondant aux exigences métiers et réglementaires d’un secteur en constante mutation.

Arnaud Blasyk conclut : 

“ Je remercie l'ARS HDF et le GRADES Inèa pour sa participation au choix et au financement de la solution NDR et SOC pour la mise en œuvre de cette solution. Cela a permis de créer un partenariat stratégique entre le CH de St Quentin et les équipes de BECYCURE, qui renforce nos expertises humaines et technologiques en cybersécurité. 

Nous avons revu nos process d’escalades d’alertes afin de les rendre plus efficaces et précis, en les testant dans des exercices de gestion de crise, ce qui a très bien fonctionné.

Cette collaboration nous a permis d’assurer un haut niveau de sécurité en 24/7 ainsi qu’une capacité de réponse quasi immédiate aux incidents rencontrés. 

En conclusion, cette organisation alliant innovation technologique et les expertises fruit de nos collaborations sont la garantie de la résilience et de la sécurité de nos infrastructures, pour notre personnel et pour nos patients.”