" L'agresseur aura généralement de mauvaises intentions ", rappelle Stijn Jans (The Security Factory), avant d'exposer l'approche de son équipe, qui reçoit régulièrement des demandes de test de pénétration émanant d'hôpitaux. " Nous avons de ce fait pu développer une expertise spécifique dans cette niche ", explique-t-il. " L'objectif de notre hack était d'obtenir le plus possible d'autorisations sur le réseau de l'établissement en l'espace d'une journée. Ces droits ouvrent vraiment tout un monde de possibilités : on peut prendre le contrôle des ordinateurs, envoyer des e-mails, gérer des factures, manipuler l'appareillage médical... " Au sein de l'hôpital, seuls deux responsables informatiques étaient au courant du test.

L'équipe a commencé par tenter de s'introduire dans le système au travers du réseau wifi, qui s'est toutefois avéré très bien protégé. Elle a ensuite tenté sa chance par le biais de l'une des adresses IP de l'hôpital, qui a été mise à sa disposition pour gagner du temps. " Notre NOC (centre d'opérations réseau, l'acteur externe qui surveille en permanence tous les systèmes de sécurité, ndlr) nous a avertis très rapidement qu'il se passait quelque chose de suspect ", précise Kevin Meerschaert, gestionnaire IT en charge de l'infrastructure et des opérations. " Nous avons toutefois ignoré ses mises en garde, le but étant évidemment de tirer les enseignements de cette tentative de piratage. "

La vigilance du NOC pourrait toutefois s'expliquer par l'approche particulièrement agressive des experts, qui recommandent donc de refaire un test par le biais d'une attaque plus discrète.

Ingénierie sociale
" Souvent, ce ne sont pas la technologie ou les procédures qui sont le maillon faible de la chaîne de sécurité, mais l'être humain ", affirme The Security Factory sur son site internet. " Il n'est pas rare qu'un ordinateur qui reste allumé sans surveillance représente un danger bien plus grave qu'une attaque extérieure. " C'est pour cette raison que Stijn Jans a suggéré, lors de la préparation de la mission à l'az Groeninge, d'intégrer à la tentative de hacking un volet " ingénierie sociale " (ou people hacking) où un hacker se ferait passer pour quelqu'un d'autre et s'efforcerait de tromper ses interlocuteurs en exploitant leur crédulité ou leur curiosité. Le jour du test, les experts de la Security Factory sont par exemple parvenus à obtenir le nom d'utilisateur et le mot de passe wifi d'une infirmière en se faisant passer pour des techniciens venus tester le réseau ! Le phishing, le malware et la fraude d'identité relèvent également de l'ingénierie sociale.


Au total, l'équipe a épinglé huit points d'attention : deux d'importance critique, trois comportant un niveau de risque élevé et trois, un niveau de risque moyen (voir page de couverture). Ses conclusions n'étaient toutefois pas toutes négatives : l'az Groeninge avait par exemple équipé l'ensemble de ses systèmes d'un antivirus et toutes les mises à jour de sécurité avaient été correctement effectuées. Le dossier patient (KWS) n'a jamais été mis en danger. " Il est clair que l'établissement fait beaucoup d'efforts pour protéger ses applications et données importantes ", estime la firme de sécurisation.


Les modalités, l'ampleur et le timing de la tentative de piratage ont été convenus d'avance et coulés dans un contrat en bonne et due forme. Après le test, l'hôpital a reçu un rapport reprenant les principales conclusions (positives et négatives), assorties d'une série de recommandations. L'équipe informatique et la direction savent à présent quoi faire...

" L'agresseur aura généralement de mauvaises intentions ", rappelle Stijn Jans (The Security Factory), avant d'exposer l'approche de son équipe, qui reçoit régulièrement des demandes de test de pénétration émanant d'hôpitaux. " Nous avons de ce fait pu développer une expertise spécifique dans cette niche ", explique-t-il. " L'objectif de notre hack était d'obtenir le plus possible d'autorisations sur le réseau de l'établissement en l'espace d'une journée. Ces droits ouvrent vraiment tout un monde de possibilités : on peut prendre le contrôle des ordinateurs, envoyer des e-mails, gérer des factures, manipuler l'appareillage médical... " Au sein de l'hôpital, seuls deux responsables informatiques étaient au courant du test. L'équipe a commencé par tenter de s'introduire dans le système au travers du réseau wifi, qui s'est toutefois avéré très bien protégé. Elle a ensuite tenté sa chance par le biais de l'une des adresses IP de l'hôpital, qui a été mise à sa disposition pour gagner du temps. " Notre NOC (centre d'opérations réseau, l'acteur externe qui surveille en permanence tous les systèmes de sécurité, ndlr) nous a avertis très rapidement qu'il se passait quelque chose de suspect ", précise Kevin Meerschaert, gestionnaire IT en charge de l'infrastructure et des opérations. " Nous avons toutefois ignoré ses mises en garde, le but étant évidemment de tirer les enseignements de cette tentative de piratage. " La vigilance du NOC pourrait toutefois s'expliquer par l'approche particulièrement agressive des experts, qui recommandent donc de refaire un test par le biais d'une attaque plus discrète.Ingénierie sociale " Souvent, ce ne sont pas la technologie ou les procédures qui sont le maillon faible de la chaîne de sécurité, mais l'être humain ", affirme The Security Factory sur son site internet. " Il n'est pas rare qu'un ordinateur qui reste allumé sans surveillance représente un danger bien plus grave qu'une attaque extérieure. " C'est pour cette raison que Stijn Jans a suggéré, lors de la préparation de la mission à l'az Groeninge, d'intégrer à la tentative de hacking un volet " ingénierie sociale " (ou people hacking) où un hacker se ferait passer pour quelqu'un d'autre et s'efforcerait de tromper ses interlocuteurs en exploitant leur crédulité ou leur curiosité. Le jour du test, les experts de la Security Factory sont par exemple parvenus à obtenir le nom d'utilisateur et le mot de passe wifi d'une infirmière en se faisant passer pour des techniciens venus tester le réseau ! Le phishing, le malware et la fraude d'identité relèvent également de l'ingénierie sociale. Au total, l'équipe a épinglé huit points d'attention : deux d'importance critique, trois comportant un niveau de risque élevé et trois, un niveau de risque moyen (voir page de couverture). Ses conclusions n'étaient toutefois pas toutes négatives : l'az Groeninge avait par exemple équipé l'ensemble de ses systèmes d'un antivirus et toutes les mises à jour de sécurité avaient été correctement effectuées. Le dossier patient (KWS) n'a jamais été mis en danger. " Il est clair que l'établissement fait beaucoup d'efforts pour protéger ses applications et données importantes ", estime la firme de sécurisation. Les modalités, l'ampleur et le timing de la tentative de piratage ont été convenus d'avance et coulés dans un contrat en bonne et due forme. Après le test, l'hôpital a reçu un rapport reprenant les principales conclusions (positives et négatives), assorties d'une série de recommandations. L'équipe informatique et la direction savent à présent quoi faire...