Dans un hôpital ou une association de santé, tout dépend désormais du système d’information : dossier patient, admissions, pharmacie, imagerie, paie, coordination des équipes…
Quand un rançongiciel chiffre les serveurs ou qu’un simple poste de travail sert de porte d’entrée à un attaquant, c’est la continuité des soins qui est en jeu.
C’est pour ça que la protection des postes de travail (PC, postes cliniques, portables) et des “machines” qui les font tourner (serveurs, réseau, stockage) est devenue un sujet stratégique, pas juste informatique.
1. Pourquoi postes et infrastructures sont au cœur du risque
La quasi-totalité des attaques récentes dans le secteur santé suivent le même schéma :
Un poste utilisateur est compromis (mail piégé, site piégé, clé USB).
L’attaquant récupère des identifiants, monte en puissance, atteint l’annuaire et les serveurs.
Il chiffre ou vole des données, coupe des applications critiques, bloque l’hôpital.
Autrement dit :
- le poste de travail est la porte d’entrée,
- l’infrastructure est la cible finale.
Renforcer ces deux niveaux, c’est réduire de façon très concrète le risque de blocage massif.
2. Les bons réflexes pour sécuriser les postes de travail
Ici, l’idée est de construire un socle simple, homogène et maîtrisable pour les postes de travail.
Des postes homogènes et maîtrisés
On définit quelques profils de postes (soignant, administratif, direction…) qui partent d’images communes, avec les mêmes réglages de base.
On en profite pour supprimer les logiciels inutiles qui augmentent la surface d’attaque et compliquent la gestion.
Plus les postes se ressemblent, plus il est facile de les gérer, les corriger et les surveiller.
Des droits limités, pour limiter les dégâts
Les utilisateurs restent sur des comptes standards, sans droits d’administration sur leur poste.
Les équipes techniques utilisent, elles, des comptes d’admin séparés, uniquement quand c’est nécessaire.
Ainsi, si un compte utilisateur est volé, l’attaquant ne peut pas prendre le contrôle complet du poste en quelques clics.
Protéger et détecter sur chaque poste
Chaque poste dispose d’un antimalware géré de façon centralisée.
Quand c’est possible, on ajoute une brique plus avancée (type EDR/XDR) qui surveille le comportement des machines et fait remonter des alertes en cas d’activité suspecte (chiffrement massif, exécution inhabituelle, etc.).
En pratique, c’est un “système d’alarme” pour chaque poste.
Garder les postes à jour
On met en place un processus régulier de mises à jour pour le système et les principaux logiciels :
-
tests rapides sur un petit périmètre,
-
puis déploiement sur le reste du parc.
C’est peu visible pour les utilisateurs, mais c’est l’un des leviers les plus efficaces pour fermer les portes déjà connues des attaquants.
Protéger les portables et les données
Tous les PC portables devraient avoir leur disque chiffré.
En cas de perte ou de vol, on évite qu’un tiers récupère directement des données patients sur le disque.
Former et entraîner les utilisateurs
Enfin, le socle technique ne suffit pas sans les bons réflexes côté humain.
On prévoit une sensibilisation courte et adaptée aux métiers (soignants, secrétariats, cadres…) et des simulations de mails piégés pour ancrer les bonnes réactions : ne pas cliquer, alerter, transmettre au support.
L’ensemble forme un socle poste de travail à la fois réaliste pour le terrain… et solide face aux attaques les plus courantes.
3. Les bons réflexes pour sécuriser l’infrastructure (serveurs, réseau…)
Côté “machines”, l’objectif est double : rendre la compromission plus difficile et limiter la propagation si quelque chose se passe mal.
Annuaire (Active Directory) maîtrisé
- Séparer les comptes d’administration des comptes “du quotidien”.
- Limiter le nombre de personnes qui ont des droits très élevés.
- Surveiller les opérations sensibles (ajout dans les groupes d’admin, modification de politiques, etc.).
Quand l’annuaire est compromis, tout le reste est à portée de main pour l’attaquant : il mérite une attention spécifique.
Réseau segmenté
- Séparer les réseaux : utilisateurs, serveurs, équipements biomédicaux, invités, etc.
- Au lieu de tout connecter à tout, n’autoriser que les flux nécessaires.
L’idée : si un poste est infecté, il ne doit pas pouvoir atteindre en quelques secondes tous les serveurs critiques.
Serveurs durcis et surveillés
- Appliquer des réglages de sécurité cohérents sur tous les serveurs (services inutiles coupés, journaux activés, accès filtrés).
- Tenir à jour les systèmes et les composants techniques.
- Centraliser les journaux (logs) pour pouvoir repérer des activités anormales.
Sauvegardes fiables et isolées
- Sauvegardes testées régulièrement (on vérifie qu’on sait réellement restaurer).
- Une partie des sauvegardes conservée de manière isolée du réseau, pour qu’un rançongiciel ne les chiffre pas aussi.
- Priorisation claire : quels systèmes restaurer en premier pour redémarrer l’activité clinique.
Supervision et réaction
- Réunir au même endroit les journaux des postes, serveurs, pare-feu, etc.
- S’appuyer sur un centre de supervision (interne ou externe) pour analyser les alertes.
- Documenter des procédures de réaction : isoler un poste, couper un segment réseau, basculer en mode dégradé, informer les autorités.
4. Comment Phishia aide concrètement les hôpitaux et associations
Phishia intervient comme partenaire de terrain pour transformer ces principes en réalité opérationnelle :
- Diagnostic ciblé : cartographie des postes, serveurs et flux critiques, analyse des faiblesses les plus importantes.
- Définition d’un socle réaliste : profils de postes, ajustement des droits, politique de mises à jour, segmentation réseau simple mais efficace.
- Accompagnement à la mise en œuvre : support aux équipes internes et à vos prestataires pour déployer les mesures sans bloquer les soins.
- Sensibilisation et exercices : campagnes de simulation d’attaques par mail, exercices de gestion de crise, mise à jour du PCA/PRA pour intégrer ces protections.
L’objectif n’est pas de vous vendre une énième couche de technologie, mais de construire une protection cohérente et exploitable avec vos moyens.
5. Et si on parlait de vos postes et de votre infra ?
Vous gérez un hôpital, un groupement ou une association de santé, et vous avez le sentiment que vos postes ou votre infrastructure sont vulnérables ?
Discutons-en : en quelques échanges, nous pouvons identifier vos priorités et bâtir un plan d’action adapté.
