Couper Internet pour mieux sécuriser : le pari pragmatique du RSSI de LNA Santé

Lorsqu’une cyberattaque frappe, la première mesure à prendre est souvent la déconnexion immédiate d’Internet. Cette action vise à contenir la propagation de la menace et à empêcher toute communication avec les attaquants, tout en réduisant drastiquement les risques d’exfiltration de données sensibles. Mais une telle opération, lorsqu’elle est effectuée dans le feu de l’action, peut présenter un certain nombre d’angles morts qu’il est difficile d’identifier rapidement.

Gérard Gaston, RSSI du groupe LNA Santé, a été sensibilisé à cette thématique après avoir écouté plusieurs retours d’expérience partagés par des confrères évoluant dans le secteur hospitalier. « Dans l’analyse de risque, la coupure Internet demeure un scénario très probable et à fort impact. Les retours d’expérience auxquels j’ai assisté ont mis en évidence l’importance d’une cartographie complète et précise des flux, condition essentielle pour anticiper les incidents et y réagir efficacement. Après une cyberattaque, quand vous voulez repartir, vous ne pouvez pas rouvrir toutes les vannes en même temps, il faut le faire petit à petit. Une matrice de flux est alors très précieuse”, déclare Gérard Gaston lors d’un partage d’expérience ayant eu lieu à l’occasion du congrès de l’APSSIS (Association Pour la Sécurité des Systèmes d’Information de Santé) les 24, 25 et 26 juin 2025 au Mans.

Mais avant toute coupure d’Internet, il est impératif d’obtenir le soutien du Comex. “Si vous n’avez pas son soutien, ce n’est pas la peine de tenter quoi que ce soit. Au sein de notre groupe, le Comex a tout de suite compris l’intérêt d’une telle opération. Il a compris que les flux sont stratégiques et que la résilience, cela se prépare », note Gérard Gaston. Le groupe LNA Santé emploie 9 000 salariés. Chaque jour, il accueille plus de 9 300 patients au sein de ses 86 établissements. Il dispose, en outre, d’un parc de 6 000 postes de travail et de plus de 500 serveurs répartis sur trois datacenters.

Une première coupure programmée pendant une heure, en pleine semaine de travail

La première coupure a été programmée pour une durée d’une heure, en pleine journée, avec communication préalable auprès du personnel et ligne téléphonique dédiée pour les urgences. L’exercice a révélé un certain nombre de surprises : des applications métiers qui s’arrêtent alors qu’elles sont censées être hébergées dans les datacenters du groupe, des objets mal définis dans les règles de pare-feu, des API internes dépendant d’Internet et même… des outils de géolocalisation présents dans les logiciels d’hospitalisation à domicile (pour aider à la préparation les tournées des personnels soignants). 

Lors de la coupure, une des plus grosses applications DPI (Dossier Patient Informatisé) du groupe s’est ainsi arrêtée. En cherchant les causes de cette interruption, l’équipe mobilisée (quatre personnes) a découvert qu’une API, bien qu’inutilisée, cherchait malgré tout à se connecter à Internet et provoquait, à force d’essais infructueux, une sorte de déni de service sur la machine. “Si nous avions vécu une vraie coupure, notre plus gros DPI serait tombé et cela nous aurait pris un certain temps avant d’identifier les causes de cet arrêt”, témoigne Gérard Gaston.

Une autre leçon essentielle a été la nécessité de réinitialiser les connexions TCP actives pour que la règle de coupure prenne pleinement effet. Sans cela, certains utilisateurs continuaient à naviguer sans restriction. De plus, des erreurs de configuration dans certains objets Microsoft (Office 365) ont conduit à laisser ouvertes de nombreuses applications non-métier hébergées sur Azure, annihilant les effets de l’opération.

Autre enseignement : les matrices de flux des éditeurs (voire des constructeurs) sont parfois incomplètes. Certains acteurs du marché demandent ainsi, soit d’ouvrir tous les sites, ce qui n’est pas possible, soit fournissent une liste de sites qui se révèle imprécise. Dernier cas de figure : les éditeurs ne connaissent pas les sites à autoriser et c’est à Gérard Gaston et ses équipes de le faire – ce qui peut générer des erreurs. “Nous avons été confrontés à une dizaine de flux éditeurs métiers qui ne fonctionnaient plus suite à la coupure”, relate le RSSI.

Une infrastructure réseau fortement redondée, mais équipée de puissants pare-feux

Le groupe LNA Santé possède une infrastructure réseau fortement redondée, ce qui rend toute coupure difficile à réaliser proprement. “Si nous coupons à un endroit, le trafic peut continuer de passer à un autre”, précise le RSSI du groupe. Mais une autre caractéristique du réseau a finalement facilité l’opération : l’existence de pare-feux sur lesquels le RSSI a le contrôle. “Chaque établissement est sur notre réseau local, relié en fibre noire aux datacenters, un peu comme dans un LAN. Nous disposons d’un premier pare-feu – le pare-feu Internet – et d’un plus gros pare-feu encore, en cœur de réseau. Cette configuration nous permet d’isoler nos établissements et nos serveurs comme si nous étions sur Internet. Je pars en effet du principe qu’un établissement est forcément compromis. Pour couper Internet, nous avons opté pour la création d’une règle DENY DENY tout en haut du pare-feu, une règle simple à appliquer et sans ambiguïté pour les équipes d’astreinte”, explique Gérard Gaston.

Par ailleurs, le travail d’identification des flux a porté ses fruits. Plus de 700 flux ont ainsi été analysés et décortiqués sur une période s’étalant sur un an et demi. Au sein du pare-feu, un modèle de règles a été défini, avec comme objectif d’éliminer les règles trop permissives, en particulier celles reposant sur des autorisations de type “ALL”. Par ailleurs, de nombreuses règles fondées sur la géolocalisation et les groupes ont été mises en œuvre. “Au final, nous avons défini environ 400 autorisations permettant de couvrir la plupart des usages Internet essentiels à l’activité professionnelle”, précise Gérard Gaston. 

Un processus qui s’est mis en place progressivement

Après le premier arrêt d’une heure, les coupures se sont ensuite ritualisées, à raison d’une par trimestre, avec des durées pouvant aller jusqu’à la demi-journée. Chacune a permis de découvrir de nouveaux usages ou de nouvelles dépendances. Un travail de hiérarchisation des flux a été lancé (vitaux, importants, secondaires) avec comme objectif de prioriser le redémarrage en cas d’attaque.

Aujourd’hui, le groupe LNA Santé bénéficie d’un dispositif éprouvé, activable en cas d’incident critique. L’identification progressive et régulière des flux permet non seulement de renforcer la cybersécurité, mais aussi de réduire la charge mentale en situation de crise. Car en matière de sécurité numérique, l’incertitude coûte cher. « Sans matrice de flux, vous êtes dans le flou. Et en sécurité informatique, le flou, cela peut coûter cher« , conclut Gérard Gaston.