Témoignage client. L’HAD Nantes et Région a mené un projet de sécurisation de son Active Directory dans le cadre du programme CARE porté par l’Agence du Numérique en Santé. Ce chantier stratégique, mené avec Epsight, renforce la cybersécurité d’un composant critique du système d’information.
Présentation de l’établissement : HAD Nantes et Région
L’HAD (Hospital à Domicile) Nantes et Région est un établissement de santé privé à but non lucratif. Il prend en charge à domicile des patients nécessitant des soins médicaux complexes directement à domicile.
Son système d’information constitue un maillon critique pour assurer la continuité des soins et garantir la confidentialité des données de santé.
Le contexte : sécuriser l’Active Directory dans un établissement de santé
avec le programme CARE
Dans le cadre de sa démarche qualité, HAD Nantes et Région a rejoint le programme CARE : Cyber Accélération de la Résilience des Etablissements de santé. Porté par l’Agence du Numérique en Santé (ANS), ce programme accompagne les établissements de santé vers une plus grande maturité en cybersécurité, selon plusieurs domaines techniques et organisationnels. Il y a notamment un volet technique qui tend à s’assurer que l’ensemble des établissements de santé aient un niveau suffisant de sécurisation de son Active Directory : le Domaine 1 – « Annuaires techniques et exposition sur Internet » est central, car il concerne directement l’Active Directory.
“Il s’appuie sur l’outil ORADAD de l’ANSSI (Agence Nationale de la sécurité des systèmes d’information) qui, à la façon d’un nutriscore, affecte une note de 1 à 5 en fonction de la sécurité de son AD. Lorsque je l’ai lancé pour la première fois nous n’étions pas au niveau attendu. »
se souvient Didier Loquet, Responsable des Systèmes d’information de HAD Nantes et Région.
En s’inscrivant au programme CARE, l’HAD avait un double objectif :
- Renforcer la sécurité et la performance du système d’information
- Obtenir un financement CARE, conditionné à l’atteinte de niveaux de maturité cybersécurité.
L’intervention d’Epsight : audit global et accompagnement stratégique
Pour structurer sa démarche, HAD Nantes et Région a fait appel à Epsight, expert en cybersécurité et infrastructures IT.
Epsight a d’abord mené un audit complet du SI, portant sur :
- Réseaux WAN et LAN
- Firewall
- Hyperviseur (Hyper-V)
- Serveurs Windows
- Active Directory
- Organisation de la DSI
- Services d’infrastructure
La restitution de l’audit au comité de direction, en langage accessible, a permis une prise de conscience collective sur les enjeux et un alignement rapide sur les priorités.
Suite à cet audit, HAD Nantes et Région décide d’aller plus loin que les recommandations minimales, et de viser directement le niveau de sécurité maximal.
Diagnostic : des vulnérabilités majeures sur l’Active Directory
L’audit d’Epsight met en lumière 72 recommandations, dont plusieurs critiques sur l’AD.
“Epsight a fourni un plan d’action détaillé et priorisé en fonction de la matrice complexité/gain qui était déjà prêt à l’emploi, et a pu ainsi nous donner une vision claire de la trajectoire à prendre pour sécuriser notre SI.”
témoigne Didier Loquet.
Le plan d’action Epsight : viser l’excellence sur le Domaine 1
Pour mettre l’Active Directory en conformité avec le référentiel ORADAD (Organisation Résiliente de l’Active Directory) et répondre aux exigences du Domaine 1 du programme CARE, Epsight a mis en œuvre son plan d’action en un temps record.
Epsight a procédé en plusieurs étapes clés :
- Correction des non-conformités détectées lors de l’audit
- Analyse d’impact de chaque action pour éviter les régressions
- Déploiement de solutions avancées, dont :
- La création de silos d’authentification
- L’isolation des rôles et durcissement des droits
- La mise en œuvre des bonnes pratiques de l’ANSSI
Voir notre expertise sur l’Active Directory
Résultats obtenus : HAD Nantes et Région valide le Domaine 1 du programme CARE grâce à Epsight
Un projet exemplaire qui place HAD Nantes et Région au plus haut niveau d’exigence cyber, reconnu officiellement par l’ANS :
- Score maximal de 5/5 au référentiel ORADAD
- Confirmation officielle de conformité sur le Domaine 1 du programme CARE par l’Agence du Numérique en Santé
- Architecture sécurisée, durable, alignée sur les meilleures pratiques ANSSI
- Direction et DSI mieux alignées sur les enjeux cyber
« Grâce à ce projet, on a posé des fondations solides. Et maintenant, on sait où on va. Merci à Epsight pour sa contribution à ce succès. »
Didier Loquet
Une collaboration efficace, humaine et structurante
“On n’a pas eu affaire à un prestataire de plus. On a eu un vrai partenaire, qui a pris le temps d’écouter nos contraintes, de vulgariser les enjeux, et de nous accompagner efficacement. »
Didier Loquet
- La réussite de cette mission repose sur :
- Une approche très pédagogique d’Epsight auprès de toutes les parties prenantes
- Une excellente expertise technique en sécurisation Active Directory
- Un accompagnement humain et de confiance
“Dès lors que l’on donne accès à un prestataire à des comptes à privilèges pour qu’il puisse rentrer dans notre système, il y a forcément une relation de confiance qui s’établit. Cela ne s’est pas démenti dans ce projet par la qualité du travail qui a été fourni, de la qualité du rapport qui a été produit. Je suis maintenant en pleine confiance avec Epsight sur l’ensemble des sujets techniques sur lesquels nous serons amenés à travailler par la suite.”
conclut Didier Loquet.
Conclusion
Ce projet marque une avancée majeure dans la sécurisation de l’Active Directory au sein d’un établissement de santé, faisant de l’HAD Nantes et Région un exemple à suivre.
Grâce à l’expertise d’Epsight, l’annuaire technique est désormais un point fort, reconnu comme tel par l’ANS.
Découvrez le témoignage vidéo de Didier Loquet, Responsable des Systèmes d’information de HAD Nantes et Région :
Lire également notre article : Cybersécurité, quelles solutions pour les PME ?