Organisation : NHS
Pays : Royaume-Uni
Secteur : Santé
Objectif : Renforcer les mots de passe, alléger la charge du service desk, garantir une authentification sécurisée et répondre aux exigences de conformité
Résultat : Détection des vulnérabilités de mot de passe, protection contre les mots de passe compromis, application d’une politique de mot de passe et solution de réinitialisation en libre-service (SSPR)
Solution : Specops Password Policy, Breached Password Protection, Password Auditor, Secure Service Desk
Dans le cadre de sa campagne Keep I.T Confidential, NHS Digital met en évidence les principaux cyber-risques, qui représentent un risque pour le NHS et les données des patients, notamment les mots de passe faibles, le phishing, le tailgating, les écrans laissés déverrouillés et l’ingénierie sociale. L’objectif de la campagne est de réduire les risques en sensibilisant les utilisateurs à ces problématiques. Toutefois, sur certains de ces points clés, des trusts du NHS mettent en place des mesures techniques pour atténuer davantage ces risques et faire appliquer les politiques lorsque cela est nécessaire.
Specops Software collabore fièrement avec le NHS depuis 2006, en fournissant des solutions de sécurité des mots de passe et d’authentification qui protègent les données du NHS et des patients, réduisent la charge des services desk et contribuent au respect des exigences réglementaires.
Renforcer les mots de passe au sein du NHS
Les mots de passe robustes sont une priorité au sein du NHS. Plus de 80 % des violations impliquent des attaques par force brute ou des identifiants perdus ou volés, et l’on sait que l’utilisateur moyen réutilise un mot de passe jusqu’à 14 fois. Pour protéger les données du NHS et des patients, il est donc essentiel que les utilisateurs n’emploient pas de mots de passe faibles, réutilisés ou divulgués.
Specops Password Policy et Breached Password Protection sont largement adoptés par les trusts du NHS pour répondre à cet enjeu. En plus de permettre de satisfaire aux exigences de la certification Cyber Essentials Plus, ces solutions simplifient la gestion des stratégies de mot de passe granulaires : complexité, dictionnaires personnalisés, configuration des phrases de passe, tout en fournissant un service de Breached Password Protection qui vérifie les mots de passe des utilisateurs par rapport à une liste régulièrement mise à jour de plus de 2,5 milliards de mots de passe compromis.
« Specops Password Policy est simple à déployer et fonctionne comme prévu… Nous avons été accompagnés tout au long de la phase de test, et je recommanderais volontiers cette solution à toute organisation souhaitant renforcer la sécurité de ses mots de passe. »
Andre de Araujo, responsable des systèmes d’information – NHS Foundation Trust
En savoir plus sur la façon dont ce trust du NHS a éliminé les mots de passe faibles pour Cyber Essentials.
En complément de Cyber Essentials et Cyber Essentials Plus, Specops Password Policy permet de répondre aux exigences du Data Security & Protection Toolkit (DSPT) auto-certifié du NHS, en appliquant les critères liés à la politique de mot de passe :
- Prévention de la création de mots de passe évidents (par exemple, basés sur des informations faciles à deviner) via des dictionnaires personnalisés
- Blocage des mots de passe courants et compromis grâce à des contrôles techniques
- Détection et prévention de la réutilisation des mots de passe
Télétravail et réduction de la charge du service desk
En tant que plus grand employeur du Royaume-Uni, avec une infrastructure IT complexe, le NHS a dû relever un défi de taille : permettre aux collaborateurs de passer au télétravail tout en conservant un accès aux données et services cliniques critiques, le tout sans perturber les opérations quotidiennes.
Le travail à distance exerce une forte pression sur le support informatique et les services desk, les mots de passe expirés et les comptes verrouillés étant identifiés comme les problèmes les plus lourds à gérer et les plus exposés aux risques. Chaque appel représente un coût, mais ce coût peut être réduit en mettant en place une solution de réinitialisation de mot de passe en libre-service (SSPR) au sein des trusts du NHS.
La solution de réinitialisation de mot de passe en libre-service de Specops Software, Specops uReset, permet aux trusts de traiter les changements de mot de passe liés aux comptes verrouillés, tout en fournissant aux utilisateurs un retour clair sur la politique de mot de passe, y compris en cas d’échec dû à l’utilisation d’un mot de passe compromis. Elle offre une réinitialisation de mot de passe sécurisée en libre-service, avec un large choix de méthodes d’authentification multifacteur (MFA), ainsi que la mise à jour automatique des identifiants mis en cache localement.
Pour apporter une valeur ajoutée supplémentaire aux administrateurs IT, Specops Password Notification est utilisé et configuré via une interface graphique afin d’envoyer des notifications personnalisées par e-mail, rappelant aux utilisateurs l’expiration prochaine de leur mot de passe — sans recourir à des scripts.
L’ingénierie sociale et le service desk
L’ingénierie sociale continue de croître en tant que tactique efficace utilisée contre des services desk souvent débordés. Cette méthode consiste pour les hackers à collecter ou à tromper les utilisateurs afin qu’ils divulguent des informations personnelles ou confidentielles, telles que des données de patient, des dossiers médicaux ou des détails sur les systèmes IT.
Les hackers exploitent ensuite ces informations pour effectuer une demande de réinitialisation de mot de passe, réussissant ainsi à passer les contrôles d’identité et à obtenir un nouveau mot de passe choisi, ce qui leur donne un accès facile au réseau, sans avoir à pirater le mot de passe initial.
Specops Secure Service Desk a été conçu pour prévenir ce type d’attaque et réduire la vulnérabilité liée à l’ingénierie sociale. Il permet aux trusts de renforcer la vérification sécurisée des utilisateurs grâce à des méthodes d’authentification multifacteur et de consolider l’ensemble de leur infrastructure de sécurité IT.
Prochaines étapes en cybersécurité pour les trusts du NHS
Notre recommandation pour les trusts du NHS souhaitant renforcer leur posture en cybersécurité est de commencer par renforcer leur première ligne de défense — à savoir leurs utilisateurs et leurs mots de passe.
Il est conseillé de démarrer par une analyse de situation et de réaliser un audit des mots de passe pour identifier les vulnérabilités associées ; Specops Password Auditor a été développé pour détecter rapidement ces failles et générer des rapports exportables en quelques minutes.
