ÉTUDE DE CAS : Centre universitaire de santé McGill (CUSM) I

Une sécurité renforcée grâce à une solution de renseignement globale et approfondie

Une nouvelle plateforme de renseignement de sécurité permet au centre de détecter rapidement les attaques et d'y réagir.

700 événements analysés par seconde

01

Rapport de la haute direction

Une nouvelle solution de renseignement permet au CUSM de détecter rapidement les attaques et d'y réagir. Cette plateforme réduit en outre la durée et le coût de la gestion des vulnérabilités.

Les dossiers médicaux sont un bien convoité sur le marché noir, les cybercriminels étant en effet intéressés par les numéros de sécurité sociale et les informations personnelles diverses susceptibles d'être exploités à des fins de vol d'identité. Une nouvelle solution de renseignement de sécurité conçue pour le CUSM permet à son équipe de sécurité de détecter rapidement les attaques et d'y réagir. Cette plateforme réduit en outre la durée et le coût de la gestion des vulnérabilités. Elle analyse actuellement 700 événements par seconde. Elle établit une corrélation entre les événements perdus dans le bruit sur le réseau pour en extraire des indications claires qui permettent aux équipes de repérer et d'arrêter environ cinq attaques majeures de sécurité par an.

«Le plus important pour nous est de nous concentrer sur les problèmes définis comme "à applicabilité pertinente", comportant une combinaison d'exposition et de menace dans le contexte d'un centre universitaire de santé. Le logiciel QRadar nous offre instantanément cette visibilité et nous permet d'être plus proactifs pour résoudre rapidement les failles de sécurité.»

explique un analyste de sécurité principal du Centre de surveillance et de sécurité (CSS) du CUSM.

Analyste de sécurité principal du Centre de surveillance et de sécurité (CSS) du CUSM

02

Introduction

Le Centre universitaire de santé McGill (CUSM) est l'un des centres de santé universitaires les plus réputés au monde.

Chaque année, le CUSMC traite environ 40 000 patients, réalise plus de 700 000 consultations en milieu hospitalier et effectue environ 35 000 chirurgies. Son institut de recherche est le deuxième plus grand centre de recherche en médecine et sciences de la vie au Canada.

03

Le défi

L'équipe de sécurité du CUSM souhaitait pouvoir identifier et évaluer rapidement les menaces et failles de sécurité potentielles.

Il y a plusieurs années, le CUSM a commencé à mettre en place une plateforme de surveillance globale qui permettrait au personnel de sécurité d'identifier plus rapidement les menaces potentielles et d'y réagir, et de mieux protéger les dossiers électroniques des patients et les opérations du réseau.

La priorité du CUSM consiste à détecter les failles de sécurité et d'atténuer les risques potentiels dans tout son réseau. «La gestion des vulnérabilités et l'analyse manuelle peuvent exiger énormément de temps, surtout pour résoudre les vulnérabilités, mais aussi pour les identifier», explique un analyste de sécurité senior du centre CSS du CUSM.

La gestion des outils open source utilisés auparavant par le CUSM nécessitait beaucoup de temps. Par ailleurs, ils étaient dépourvus des fonctions de renseignement offertes par un système de corrélation global. Or, l'équipe de sécurité en avait besoin pour pouvoir surveiller efficacement le centre, composé de six établissements hospitaliers. Les menaces introduites par les logiciels malveillants sont courantes dans toutes les entreprises, et en particulier au sein du CUSM, qui gère un environnement hétérogène composé d'étudiants, de cadres, de cliniciens, de chercheurs, de sous-traitants, de fournisseurs, et ainsi de suite. À l’ère où l'on apporte son propre dispositif au travail, les vecteurs de diffusion prolifèrent en permanence et contraignent les équipes de sécurité à guetter constamment les menaces connues et inconnues, identifiables uniquement en cas de comportements anormaux ou par des systèmes de détection spécialisés.

«Une visibilité globale et la capacité à réagir rapidement dans tout notre réseau sont cruciales pour protéger notre infrastructure, explique un analyste de sécurité senior du Centre de surveillance et de sécurité (CSS) du MUHC. Une remise en marche des systèmes en cas d'infection peut coûter plusieurs millions de dollars, aussi une détection précoce est essentielle.»

04

Solution

En collaboration avec IBM et Trend Micro, le CUSM a lancé une plateforme de sécurité intelligente dotée de fonctions d'analytique évoluée et de détection des anomalies.

Cette plateforme de sécurité intégrée permet au CUSM de détecter et de traiter des attaques qui risqueraient sinon de passer inaperçues dans le bruit du réseau.

«La direction a soutenu notre projet d'augmenter la visibilité du réseau à l'aide des logiciels IBM QRadar et Trend Micro» précise un analyste de sécurité principal du centre CSS du CUSM.

Le logiciel IBM Security QRadar fournit des fonctions d'analytique évoluée et de détection des anomalies qui transforment les données d'événements d'environ 3 000 ressources réseau (serveurs, dispositifs réseau, dispositifs de sécurité, applications, etc.) en connaissances exploitables. Le centre prévoit en outre incorporer les activités des applications cliniques.

L'équipe de sécurité peut déterminer rapidement si des incidents en apparence disparates sont liés entre eux et si le problème est d'origine opérationnelle (par exemple, une panne du réseau peut être provoquée par une configuration non validée) ou due à une menace à la sécurité. L'équipe dispose en outre d'une visibilité accrue des systèmes personnalisés incapables d’exécuter les logiciels antivirus en raison des règles imposées par les fabricants.

Composants de la solution
Logiciels

  • IBM QRadar Security Intelligence Platform
    • IBM Security QRadar SIEM
    • IBM Security QRadar Risk Manager –
    • IBM Security QRadar Vulnerability Manager
  • Trend Micro Deep Discovery

Partenaire commercial IBM

  • Trend Micro

«Notre réseau comporte des exceptions qui ne peuvent pas se conformer à nos normes», indique un analyste de sécurité principal du CSS. «Grâce à cette solution, nous pouvons surveiller ces systèmes et agir rapidement si l'un d’entre exécute une action pouvant le mettre en danger ou menacer d'autres machines du réseau.»

Selon un analyste de sécurité principal du CSS du MUHC, l'intégration de Trend Micro Deep Discovery à la plateforme QRadar permet à l'équipe de sécurité de mieux détecter les attaques lancées par des logiciels malveillants, dont l'objectif est de dérober des informations sensibles ou les accréditations des employés, ou encore d'interrompre les opérations.

Le logiciel examine le trafic réseau et y recherche des menaces évasives, tels que les logiciels malveillants de type «attaque du jour zéro». Il transmet ensuite ces informations à la plateforme QRadar afin de permettre une réaction rapide.

«Il nous fallait auparavant plusieurs jours pour analyser un composant du réseau dont le comportement était anormal et pour comprendre que le responsable était un logiciel malveillant», déclare un analyste de sécurité principal du CSS. «Aujourd'hui, nous pouvons réaliser cette analyse en quelques minutes et savoir si et où une infection est en train de se propager, et nous pouvons prendre immédiatement des mesures».

05

Résultats

Une plateforme qui déjoue les attaques potentielles.

La plateforme analyse actuellement 700 événements par seconde. Elle corrèle entre eux des millions d'événements, puis, à partir de ces derniers, établit un scénario cohérent. Ce dernier permet à l'équipe de sécurité du CUSM réagir plus rapidement aux incidents et d’intercepter les attaques avant qu'elles ne se produisent.

«Nous détectons en général cinq attaques graves par an», indique un analyste de sécurité principal du CSS. «Nous pouvons identifier les menaces dès qu'elles se manifestent et agir très rapidement pour les arrêter à un stade très précoce, avant qu'elles ne puissent causer des dommage.»

La priorité à court terme du CUSM est d'inclure le contexte dans les événements en collaborant avec IBM pour intégrer les informations sur les vulnérabilités et les risques aux mesures de protection déjà en place. Cette stratégie augmentera le niveau de renseignement pour l'identification des risques à priorité élevée. Le CUSM pourra ainsi consacrer moins de temps et d'efforts à hiérarchiser les événements exploitables, avec, en définitive, la possibilité pour l'équipe de sécurité de réduire le risque global du centre.

«En combinant les informations sur les vulnérabilités des ressources réseau avec les données d'application, qui fournissent le degré réel d'exposition à un menace identifiée, nous savons plus rapidement si notre réseau comporte des lacunes potentielles à traiter immédiatement. Nous comprenons aussi le risque et pouvons donc nous concentrer d'abord sur les problèmes les plus dangereux», explique un analyste de sécurité principal du CSS.

Un avantage qui découle de ces mesures, selon le CUSM, est une amélioration de la performance et de la disponibilité du réseau.

«Nous avons identifié les configurations risquant d'affecter la disponibilité du réseau ou du système et de créer des bruits parasites, ce qui restreint la visibilité de la sécurité. Nous avons aidé notre équipe TI à valider ces configurations», ajoute un analyste de sécurité principal du CSS. «Nous avons prouvé à de nombreuses reprises tout l'intérêt de cette plateforme à différents professionnels et responsables TI. QRadar fait désormais partie de nos processus organisationnels, tels que l'identification et résolution des problèmes, l'informatique judiciaire, la surveillance et les alertes. Une démonstration rapide a attiré l'attention de nos dirigeants et n'a pas tardé à les convaincre».

«Les systèmes TI de l'infrastructure, les applications cliniques, les systèmes administratifs et biomédicaux génèrent une masse d'informations à traiter qui est énorme, quelle que soit l’équipe de sécurité dans un contexte similaire», conclut-il. «QRadar nous aide à filtrer le bruit sur le réseau et à dégager une image claire qui est indispensable pour que nous puissions évaluer efficacement les menaces. Dans un univers dominé par l'interconnectivité et la convergence des réseaux, QRadar crée en outre de la valeur commerciale. La surveillance des équipements biomédicaux est fondamentale pour préserver les vies humaines. Pouvoir confirmer la disponibilité de ces appareils montre clairement que la sécurité est un vecteur de l'activité commerciale et ne se réduit pas à un simple gadget informatique».

Voulez-vous parler avec un spécialiste IBM du secteur de la santé?

Nous joindre