Les hĂŽpitaux modernes nâont jamais Ă©tĂ© aussi connectĂ©s. Entre la dĂ©matĂ©rialisation des dossiers mĂ©dicaux, la gestion numĂ©rique du personnel, les plateformes de prise de rendez-vous et les outils comptables externalisĂ©s, câest tout un Ă©cosystĂšme qui repose dĂ©sormais sur le numĂ©rique. Cette transformation digitale accĂ©lĂ©rĂ©e Ă©tait inĂ©vitable⊠mais elle sâest souvent faite sans gouvernance de sĂ©curitĂ© adaptĂ©e.
Voir l’article : CybersĂ©curitĂ© & conformitĂ© dans la santĂ© : obligations vitales pour un secteur sous tension
Et dans cette course effrĂ©nĂ©e Ă la modernisation, un invitĂ© discret sâest incrustĂ© dans le SI : le Shadow SaaS.
Sous cette appellation se cachent des dizaines dâoutils non validĂ©s par la DSI, mais largement utilisĂ©s par les agents, les cadres, voire parfois les services RH ou comptables : plateformes RH externes, services de planification en ligne, fichiers partagĂ©s via Google Drive ou OneDrive personnel, messageries type WhatsApp utilisĂ©es en interne, et jâen passe.
Pourquoi est-ce un problÚme� Parce que ces services échappent totalement au radar des équipes SSI :
- pas de journalisation,
- pas de politique de mot de passe,
- pas de supervision de sécurité,
- pas de MFA,
- et surtout⊠des connexions croisées avec des identifiants Active Directory recyclés.
Et quand lâAD commence Ă ĂȘtre exposĂ©, ce nâest plus un problĂšme de Shadow IT, câest un plan dâattaque.
Cet article explore comment des outils pĂ©riphĂ©riques apparemment anodins peuvent devenir les premiers dominos dâun effondrement complet du systĂšme dâinformation hospitalier. Spoiler : tout commence rarement par le service informatique. Câest souvent la RH, la compta ou la direction qui dĂ©clenchent la cascade.
𧩠I. Shadow SaaS Ă lâhĂŽpital : petits outils, gros ennuis
Bienvenue dans le monde merveilleux du Shadow SaaS hospitalier. Ce nâest pas un malware. Ce nâest pas un ransomware. Câest bien pire : câest un outil cloud non autorisĂ© mais massivement utilisĂ©, installĂ© avec amour par des agents dĂ©brouillards⊠et totalement invisible pour la DSI.
đ§ŻDĂ©finition express :
Le Shadow SaaS, câest ce service en ligne â RH, messagerie, agenda partagĂ©, gestion des absences ou tableau Excel collaboratif â crĂ©Ă© en 3 minutes chrono avec une adresse Gmail perso, sans aucun cadre de sĂ©curitĂ©, mais qui finit par contenir :
- les plannings de service,
- les absences médicales,
- des numéros RPPS,
- ou pire, les identifiants AD collĂ©s dans une note âpour ne pas oublierâ.
On lâa tous vu : une plateforme RH externe pour gĂ©rer les remplacements dâinfirmiers. Pratique, gratuite, utilisĂ©e par tout le monde⊠jusquâau jour oĂč elle se fait pirater ou revend sur un forum underground. Et lĂ , surprise : des mots de passe Active Directory sont dans la base. Game over.
đ§ Typologie des Shadow SaaS hospitaliers
| Type d’outil | Exemples frĂ©quents | Risques associĂ©s |
|---|---|---|
| RH externalisĂ© | plateformes de gestion de planning, recrutement dâintĂ©rimaires, gestion des congĂ©s | Credentials AD rĂ©utilisĂ©s, absence de MFA |
| Comptabilité cloud | outils de devis/facturation SaaS ou liaison avec experts-comptables | Exfiltration silencieuse de données, ouverture réseau sortante non filtrée |
| Partage de fichiers | Google Drive perso, Dropbox, OneDrive familial | Fuites de données, accÚs non maßtrisé, liens publics indexés par Google |
| Communication non officielle | WhatsApp, Signal, Discord (oui, Discord mĂ©dical existe đŹ) | Aucune traçabilitĂ©, canaux de diffusion non filtrĂ©s, capture dâĂ©cran ou fuites humaines |
đŹ Pourquoi ça existe encore en 2025 ?
- Parce que les utilisateurs veulent que ça âfonctionne maintenantâ, pas âaprĂšs validation de la DSI dans 3 moisâ.
- Parce que les outils internes sont souvent rigides, moches, ou complÚtement inadaptés aux besoins métiers.
- Parce que personne nâose interdire un outil qui âa lâair de bien marcherâ.
- Parce quâon prĂ©fĂšre dire âon ne savait pasâ plutĂŽt que âon a validĂ© sans lire les CGUâ.
RĂ©sultat : ces services fleurissent dans les coins sombres du SI hospitalier, lĂ oĂč le RSSI ne regarde jamais, et forment un Ă©cosystĂšme parallĂšle et incontrĂŽlable, Ă la merci du moindre pirate dĂ©butant.
𧚠II. Du Shadow SaaS Ă lâattaque en profondeur : effet domino dans les couloirs
Le problĂšme avec le Shadow SaaS, ce nâest pas juste quâil existe. Câest quâil agit comme un cheval de Troie au badge visiteur : poli, pratique, inoffensif en apparence. Et puis un jour, quelquâun clique sur le mauvais lien, et câest tout le SI hospitalier qui commence Ă suinter la compromission.
Bienvenue dans le scĂ©nario classique dâun hĂŽpital moderne⊠façon thriller cyber.
đ 1. Les failles dâentrĂ©e : merci RH, merci compta
Tout commence souvent lĂ oĂč on ne sây attend pas :
- Une assistante RH qui utilise la mĂȘme combinaison email/mot de passe pour lâoutil de gestion des congĂ©s et pour se connecter au domaine.
- Une plateforme de paie en ligne accessible sans MFA, avec une interface dâadministration nĂ©gligemment partagĂ©e par mail.
- Un tableur de planning sur Google Drive, ouvert « en modification » Ă tous les services⊠et aussi au bot de scraping dâun pirate russe.
Et comme lâhĂŽpital est un lieu oĂč tout le monde court partout, personne ne vĂ©rifie si les comptes sont cloisonnĂ©s, si les accĂšs sont chiffrĂ©s, ou si lâoutil est conforme RGPD.
đž 2. Progression latĂ©rale : un badge volĂ© et tout sâĂ©croule
Un attaquant malin rĂ©cupĂšre un mot de passe depuis lâappli RH.
Grùce à un vieux token OAuth ou une session active sur un poste pas à jour, il entre dans le réseau.
Et lĂ , câest Disneyland :
- Scan réseau,
- Enumération des partages SMB,
- DĂ©couverte dâun script batch avec des identifiants en dur (spoiler : yâen a toujours),
- Rebond sur un serveur mĂ©tier connectĂ© Ă lâAD.
Le tout sans lever la moindre alerte.
PourquoiâŻ? Parce que le point dâentrĂ©e nâest pas âITâ : câest RH, câest finance, câest âhors pĂ©rimĂštre SIâ.
Mais le pont vers lâAD, lui, existe toujours. Et il est en bois.
đ° 3. Le cĆur de cible : Active Directory, ou comment tout tombe dâun coup
DĂšs quâon touche Ă lâAD, le jeu change :
- Escalade de privilĂšges : de simple utilisateur RH Ă Domain Admin en 48h.
- DĂ©ploiement de ransomware via GPO : rapide, silencieux, net.
- Désactivation des protections EDR via une politique centralisée.
- Fuite massive de données médicales, fichiers patients, infos sensibles.
Le tout en utilisant des accĂšs valides, lĂ©gitimes, âpropres sur le papierâ.
Et tu veux le pire ? Dans certains cas, la compromission de lâAD est dĂ©tectĂ©e aprĂšs lâarrĂȘt des blocs opĂ©ratoires.
Parce que jusquâau moment oĂč tout tombe, le SI semblait âfonctionnerâ.
â ïž RĂ©sumĂ© du carnage possible :
- Un outil RH oublié,
- Un mot de passe recyclé,
- Une absence de MFA,
- Une absence de supervision,
- Et lâAD se transforme en marionnette entre les mains dâun groupe de ransomware Ă 15$ le mois.
đ”ïž III. Cas concrets : quand la fiction devient rĂ©alitĂ©
On pourrait croire que tout ça relĂšve de la thĂ©orie. Une belle histoire pour faire peur aux RSSI avant dâaller dormir.
Mais non. Les incidents se multiplient. Et surtout, ils ne viennent pas toujours du service informatique.
đŁ CHSF de Corbeil-Essonnes (2022) : la masterclass du chaos
Un compte compromis. Une infrastructure paralysĂ©e. Des patients redirigĂ©s. Une rançon Ă 2 millions dâeuros. Et trois mois de galĂšre.
Lâattaque du Centre Hospitalier Sud Francilien est lâexemple parfait de ce qui se passe quand un simple point dâentrĂ©e mĂšne Ă lâAD.
- Point dâaccĂšs initial inconnu (VPN, email, ou Shadow IT non supervisĂ©),
- Escalade silencieuse jusquâĂ lâAD,
- DĂ©ploiement massif de ransomware via GPO,
- Blocage complet des systĂšmes : imagerie, labo, urgences, pharmacie.
đŹ âOn a tout basculĂ© en mode papier, mĂȘme les prescriptionsâ tĂ©moignait un mĂ©decin du CHSF.
Et le plus tragique : rien ne prouve que lâentrĂ©e sâest faite par une faille âtechniqueâ connue. Câest peut-ĂȘtre un outil RH, un compte mail, ou un Excel en ligne qui a fait tomber lâhĂŽpital.
Voir l’article Public SĂ©nat : Cyberattaque de lâhĂŽpital de Corbeil-Essonnes : « Lockbit contribue Ă attaquer les secteurs sensibles
đ Leakerâs Paradise : les credentials hospitaliers en vente libre
- En 2023, plusieurs forums underground proposaient des accĂšs AD valides dâĂ©tablissements de santĂ© français.
- SourcesâŻ? Des exfiltrations via OneDrive partagĂ©, une campagne de phishing RH ciblĂ©e, ou⊠un outil dâastreinte dĂ©veloppĂ© en no-code avec un token dâadmin hardcodĂ©.
đ§ Exemple rĂ©el :
Une secrétaire médicale utilisait un Google Sheet partagé avec des identifiants de connexion à un portail interne.
Le lien Ă©tait public, indexĂ© par Google, et consultable depuis nâimporte oĂč.
Découvert par un chercheur en cybersécurité⊠2 mois plus tard.
đŹ WhatsApp, Discord, et les messages mĂ©dicaux
Oui, ça existe.
Des internes qui gĂšrent les transmissions via WhatsApp ou Discord, parce que âcâest plus pratique que lâappli interneâ.
- Messages vocaux contenant des diagnostics partagés sur des groupes non protégés.
- Photos dâordonnances ou dâĂ©crans envoyĂ©es sans chiffrement.
- AccÚs aux messages depuis des téléphones non verrouillés, parfois volés ou piratés.
Et tout ça⊠en dehors de toute supervision SI. Shadow SaaS dans sa forme la plus dangereuse : mobile, instantané, humain.
đ„ Le shadow SaaS + lâAD = combo fatal
Quand tu mixes :
- un outil SaaS RH,
- un mot de passe recyclé,
- une absence de MFA,
- et une mauvaise segmentation réseau,
âŠtu obtiens un chemin direct vers le cĆur du SI, avec une porte grande ouverte et un paillasson marquĂ© « Admin ».
đïž IV. Pourquoi lâActive Directory devrait dormir avec un Ćil ouvert
Il est lĂ , discret, solide, omniprĂ©sent : lâActive Directory (AD).
Le bon vieux rĂ©pertoire dâentreprise. Il gĂšre les comptes, les groupes, les droits, les stratĂ©gies, les authentifications… Il est le cerveau du SI.
Et pourtant, personne ne le surveille vraiment, sauf quand il est déjà trop tard.
đ§ LâAD dans un hĂŽpital, câest tout
Dans un Ă©tablissement de santĂ©, lâAD ne sert pas juste à « ouvrir une session Windows ».
Il gĂšre :
- les accĂšs aux dossiers patients (PMSI, DPI, DMP),
- les connexions aux portails professionnels (RPPS, laboratoire, prescription),
- les serveurs métiers (pharmacie, PACS, imagerie, finance),
- les GPO qui peuvent déployer (ou désactiver) un antivirus,
- les authentifications centralisées (Kerberos, LDAP, SSO, Radius, etc.),
- parfois mĂȘme… les scripts de sauvegarde automatisĂ©s.
Bref : si tu prends lâAD, tu prends tout.
Câest le roi du chĂąteau. Et tout le monde a oubliĂ© de lui mettre une armure.
đ Faiblesses structurelles classiques
Et lĂ , on sort le bingo du cauchemar IT :
- đ Mots de passe partagĂ©s entre services et comptes techniques,
- đ GPO mal verrouillĂ©es, accessibles depuis des comptes de service,
- đ€ Comptes de service jamais dĂ©sactivĂ©s depuis 2018,
- đ Scripts batch avec credentials en clair dans \partages\public\utils\
- đ€ Pas dâalerting SIEM digne de ce nom sur les accĂšs AD critiques,
- đłïž Pas de honeypot ni de piĂšge sur les objets sensibles.
đ Shadow SaaS : le vecteur de compromission invisible
Câest lĂ que le Shadow SaaS devient lâennemi parfait :
- Aucun log visible sur lâAD,
- Pas de supervision centralisée,
- Outils « off », en dehors du périmÚtre réseau,
- Et pourtant, utilisés par des comptes AD valides.
Tu ne peux pas défendre ce que tu ne vois pas.
Et comme lâAD se connecte parfois Ă ces outils via SSO ou identifiants rĂ©utilisĂ©s, il devient le pantin dâoutils non maĂźtrisĂ©s.
𧚠Une faille = tout sâĂ©croule
Exemple typique :
Un outil de gestion des remplacements intérimaires en ligne.
UtilisĂ© avec le login AD dâune cadre RH.
Pas de MFA.
Lâoutil est compromis.
Les identifiants sont valides.
Un attaquant sâen sert pour rebondir.
Et en 24h, câest lâAD qui est touchĂ©.
Et lĂ , plus personne ne peut :
- ouvrir une session,
- accéder aux dossiers patients,
- prescrire un médicament,
- envoyer un mail.
On revient aux fax, aux stylos, aux post-its.
LâAD, ce nâest pas un serveur comme un autre. Câest la clef de voĂ»te de tout le SI hospitalier.
đ ïž V. Ce que les hĂŽpitaux peuvent (et doivent) faire
âCâest bon, on a un antivirus.â
âOn a coupĂ© les droits dâadmin sur les PC, ça suffit.â
âCâest pas grave, câest que lâappli RH.â
Ces phrases sont les derniĂšres paroles avant une compromission.
Mais bonne nouvelle : tout nâest pas foutu.
Ă condition de prendre le Shadow SaaS au sĂ©rieux, de revaloriser lâActive Directory, et surtout de sortir la cybersĂ©curitĂ© du seul service IT.
đșïž 1. Cartographier lâinvisible (Shadow SaaS inclus)
Tu ne peux pas sécuriser ce que tu ne vois pas.
Et câest lĂ que la premiĂšre action est aussi la plus redoutĂ©e : faire la chasse au Shadow SaaS.
â Ă faire :
- Audit complet des outils utilisés dans les services : passe RH, finance, qualité, direction⊠tout le monde y passe.
- Analyse du trafic DNS/HTTP sortant : quels domaines sont appelés depuis le réseau interne ?
- Inspection des e-mails internes : combien de fois âWeTransferâ, âGoogle Driveâ, âFramadateâ, âHelloSignâ apparaissent ?
- Entrevue sans langue de bois avec les utilisateurs : âQuels outils utilisez-vous quand lâoutil interne ne fait pas le job ?â
đ§ Tu risques de dĂ©couvrir :
- des agendas médicaux sur Calendly,
- des plannings dâastreinte sur Notion,
- des partages de prescription via WhatsApp Web,
- des formulaires patients sur Google Forms.
𧱠2. Renforcer les fondations (sans béton de 1998)
Quand tu as identifié les outils et les flux, il est temps de renforcer la structure.
Et lâAD, câest ta pierre angulaire.
đ Pour lâActive Directory :
- MFA obligatoire, y compris pour les cadres et les comptes techniques (âmais ça les gĂȘneâ = pas une excuse).
- Changement des mots de passe techniques tous les 3 mois (avec gestionnaire de secrets si besoin).
- Audit PowerShell régulier : comptes inactifs, objets sensibles, GPO modifiées récemment.
- Script dâalerte sur les Ă©vĂ©nements critiques : connexion dâun admin, ajout Ă un groupe, modification de GPO.
- Mise en place de honeypots ou comptes leurres pour détecter les mouvements latéraux.
đĄ Pour le Shadow SaaS :
- DLP et CASB si le budget le permet (ou proxies bien configurés si tu veux du low-cost intelligent).
- Blocage DNS des services interdits, ou redirection vers une page de sensibilisation.
- Monitoring du trafic sortant : oui, Google Drive est pratique. Mais il nâa rien Ă faire dans un service de soins non autorisĂ©.
đ§ 3. Sensibiliser, former, impliquer (et pas que lâIT)
Le Shadow SaaS, ce nâest pas une erreur IT. Câest un cri dâalerte mĂ©tier : âon a besoin de mieuxâ.
Tu ne vas pas sécuriser le SI en punissant les utilisateurs : tu le feras en co-construisant avec eux.
đŻ Ce quâil faut viser :
- Former les RH, comptables, cadres de santĂ©, agents administratifs : Shadow SaaS, MFA, mots de passe, phishing â en version âutile & terrainâ.
- CrĂ©er un âcatalogue dâoutils autorisĂ©sâ, mis Ă jour et promu activement (sinon ils iront ailleurs).
- Ritualiser des ârevues dâoutils mĂ©tiersâ : chaque trimestre, on revoit ce qui est utilisĂ©, pourquoi, et comment on peut le sĂ©curiser.
- Politique claire & bien communiquée : ce qui est interdit, ce qui est toléré, ce qui est validé.
đŹ âLe problĂšme, ce nâest pas que les gens contournent. Câest que personne ne leur explique pourquoi câest dangereux.â
đ„ 4. Et surtout⊠arrĂȘter de croire que ça nâarrive quâaux autres
Des hÎpitaux piratés, il y en a toutes les semaines.
Des credentials hospitaliers revendus, tous les mois.
Des mouvements latéraux via Shadow SaaS ? Tous les jours.
Et si tu nâas pas encore Ă©tĂ© impactĂ©, ce nâest pas que tu es bon.
Câest juste que le terrain nâest pas encore miné⊠ou pas encore dĂ©clenchĂ©.
Le temps de la cybersécurité passive est terminé.
Câest maintenant un sujet de gouvernance globale, de gestion des risques mĂ©tier, et de bon sens collectif.
𧏠VI. Lâennemi est dĂ©jĂ dans la salle dâattente
Il ne porte pas de capuche. Il nâutilise pas de 0-day. Il ne tape pas frĂ©nĂ©tiquement sur un clavier vert.
Non, lâennemi est calme, discret, motivé⊠et intĂ©grĂ©.
Câest un outil RH « trop pratique ».
Un tableau Excel partagé « entre collÚgues ».
Un mot de passe réutilisé « juste cette fois ».
Câest ce petit Shadow SaaS installĂ© avec les meilleures intentions du monde, et qui finira par ouvrir la porte Ă tout ce que tu voulais Ă©viter.
đ§ Ce nâest pas une cyberattaque, câest une culture dâentreprise mal fichue
Parce quâau fond :
- Ce nâest pas le phishing le vrai problĂšme, câest lâabsence de MFA.
- Ce nâest pas lâoutil externe, câest le fait quâil ait Ă©tĂ© utilisĂ© sans cadrage, sans sĂ©curitĂ©, sans visibilitĂ©.
- Ce nâest pas un manque de compĂ©tence, câest un manque de gouvernance.
Et quand le Shadow SaaS sâinstalle en douce dans les services support, il installe aussi un pont invisible vers lâActive Directory.
Et lĂ , tout devient possible :
- usurpation,
- rebond,
- escalade,
- ransomware.
đ€ LâAD nâa rien demandĂ© Ă personne, mais il prend tout
Il est lĂ , lâAD, stoĂŻque, fidĂšle, fidĂšle comme un vieux chien fatiguĂ©.
Il supporte les erreurs de conception, les scripts moisis, les GPO pas testées.
Mais quand le Shadow SaaS explose Ă la figure du SI, câest encore lui qui se fait traĂźner dehors, menottĂ© par les hackers.
Et pendant ce temps-lĂ , en salle de pause :
âAh bonâŻ? Mais câĂ©tait juste lâappli des planningsâŠâ
â°ïž Lâironie, câest que ce nâest jamais le service IT qui fait tomber lâhĂŽpital
Ce sont :
- des outils tiers jamais audités,
- des habitudes RH pas challengées,
- des outils dâaide Ă la dĂ©cision glanĂ©s sur Google,
- des âjuste pour testerâ qui restent en prod pendant 4 ans.
Alors non, la cybersécurité hospitaliÚre ne se joue pas que dans les firewalls ou les mises à jour Windows.
Elle se joue dans les comportements du quotidien, dans la culture de la sécurité, dans la cohérence des choix numériques.
đĄïž En conclusion
LâActive Directory ne dort plus que dâun Ćil,
Le Shadow SaaS sâest incrustĂ© au service RH,
Et pendant ce temps, les pirates patientent⊠dans la salle dâattente.
