Een nachtwaker beëindigt zijn dienst, gaat naar huis en opent zijn laptop om een gedeelde planning via e-mail te controleren. Het thuisnetwerk Wi-Fi heeft niets te maken met de infrastructuur van het CHU van Reims, en de Zimbra-maildienst die hij raadpleegt, vervoert gegevens die verband houden met de ziekenhuisactiviteit. Weten hoe je verbinding maakt, is niet genoeg: je moet er ook voor zorgen dat de technische omgeving rond deze verbinding in orde is.
Verschillende medewerkers van het CHU maken deze handeling elke dag. Het adres mail.chu-reims.fr geeft toegang tot de Zimbra-webmail vanuit elke browser, maar de veiligheidsvoorwaarden variëren enorm afhankelijk van het netwerk, het apparaat en de gewoonten van ieder individu.
Zie ook : Ontdek Parijs zoals je het nog nooit hebt gezien: de hoofdstad vanuit de lucht
Deactiverende protocollen en HTTPS-toegang: wat de DSI aan de serverzijde heeft vergrendeld
Voordat we het hebben over wachtwoorden of Wi-Fi, moeten we begrijpen wat er aan de infrastructuurzijde is veranderd. Onversleutelde IMAP- en POP-toegang, die lange tijd werd getolereerd voor het configureren van een klassieke e-mailclient, wordt geleidelijk gedeactiveerd in de ziekenhuis-Zimbra-accounts. Deze evolutie volgt de aanbevelingen van de ANSSI over het versterken van de e-maildiensten die op het internet worden blootgesteld.
Concreet blijft alleen de HTTPS-toegang via een recente browser gegarandeerd voor externe raadpleging. De beveiligde ActiveSync of een mobiele applicatie die door de DSI is goedgekeurd, kan ook functioneren, maar de ervaringen hierover variëren afhankelijk van de diensten en de gebruikte smartphoneversies.
Ook interessant : Online uw financiën beheren: hoe u eenvoudig toegang krijgt tot uw bankruimte
Om toegang te krijgen tot de Zimbra-mail van CHU Reims vanuit uw huis, gaat u dus via de webbrowser en de officiële URL, waarbij u controleert of het HTTPS-slotje goed zichtbaar is in de adresbalk. Als uw browser een certificaatwaarschuwing weergeeft, ga dan niet verder met de verbinding.
Deze vergrendeling aan de serverzijde heeft een directe consequentie: de oude configuraties van Outlook of Thunderbird die enkele jaren geleden met onversleutelde IMAP-instellingen zijn ingesteld, werken niet meer. Het heeft geen zin om naar een omweg te zoeken; de DSI heeft deze deuren opzettelijk gesloten.
Thuisnetwerk Wi-Fi en Zimbra-mail: de concrete kwetsbaarheden die moeten worden gedicht
De zwakke schakel is niet Zimbra zelf, maar uw persoonlijke netwerk. Een router waarvan de firmware al jaren verouderd is, een Wi-Fi-wachtwoord dat met de hele buurt wordt gedeeld, een nog actieve WEP-protocol: dat zijn allemaal open deuren.
Controlepunten voor uw modem of router
- Schakel de Wi-Fi-encryptie over naar WPA2 of WPA3. WEP en WPA van de eerste generatie worden al lange tijd als gebroken beschouwd.
- Verander het beheerderswachtwoord van de modem (het wachtwoord dat vaak op “admin/admin” staat) om elke wijziging van de DNS-instellingen te voorkomen.
- Update de firmware van de router of de modem van de provider. Updates verhelpen regelmatig kwetsbaarheden die worden gebruikt om verkeer af te luisteren.
- Deactiveer WPS (Wi-Fi Protected Setup) als u het niet gebruikt, omdat dit mechanisme brute-force-aanvallen op de pincode vergemakkelijkt.
Een slecht geconfigureerd thuisnetwerk stelt al het verkeer bloot, inclusief de inloggegevens die op de Zimbra-inlogpagina worden ingevoerd. De HTTPS-encryptie beschermt de inhoud tijdens de overdracht, maar een “man-in-the-middle”-aanval op een gecompromitteerd netwerk kan leiden naar een valse inlogpagina.
Beheer van het Zimbra-wachtwoord CHU Reims: verder dan de gebruikelijke reflex
Het Zimbra-wachtwoord is gekoppeld aan het professionele account van het CHU. Sinds de versterking van de identiteitsbeheerbeleid in de ziekenhuisinstellingen, zijn de accounts gekoppeld aan het HR-referentiekader met automatische deactivering aan het einde van het contract. Men behoudt dus geen eeuwige toegang na een functiewisseling of vertrek.
Voor de dagelijkse verbinding maken enkele principes het verschil:
- Vink nooit “Aangemeld blijven” aan op een gedeelde computer of een apparaat dat niet strikt persoonlijk is.
- Gebruik een ander wachtwoord dan dat van uw persoonlijke e-mailbox. Als uw Gmail- of Orange-adres uitlekt in een gehackte database en u hetzelfde wachtwoord voor Zimbra gebruikt, is het professionele account gecompromitteerd.
- Geef de voorkeur aan een wachtwoordbeheerder (KeePass, Bitwarden) in plaats van opslag in de browser, vooral als andere mensen de Windows-sessie gebruiken.
In geval van vergeten, verloopt de reset via de DSI van het CHU, niet via een klassieke “wachtwoord vergeten”-link. Het is meer omslachtig, maar het is een extra beveiligingslaag: niemand kan uw toegang resetten met alleen een secundair e-mailadres.
Doorverwijzing naar een persoonlijk account: een praktijk om te verbannen
Automatisch e-mails van Zimbra doorsturen naar een Gmail- of Outlook-adres is verleidelijk om uw berichten te centraliseren. De ANSSI en de CNIL verbieden deze praktijk in de professionele ziekenhuisomgeving. De gegevens worden dan via derdenservers verzonden, buiten de beveiligingszone van het CHU, en de controle over hun vertrouwelijkheid verdwijnt volledig.
Browser en apparaat: kies de juiste versie van Zimbra voor externe toegang
De inlogpagina mail.chu-reims.fr biedt twee versies van de webclient aan: Modern en Classic. De keuze is niet alleen esthetisch.
De Modern-versie biedt een responsieve interface die zich aanpast aan de schermen van tablets en smartphones. Het werkt goed op actuele browsers (Firefox, Chrome, Edge, Safari). De Classic-versie is beter geschikt voor gebruikers die geavanceerde functies voor gedeelde agenda’s of complexe mappenbeheer nodig hebben, maar is ontworpen voor een desktopcomputer.
Update uw browser voor elke externe verbinding. De beveiligingslekken die in de updates van Chrome of Firefox worden verholpen, hebben regelmatig betrekking op de verwerking van SSL-certificaten en het sandboxen van tabbladen. Een verouderde browser is een open deur, zelfs op een goed geconfigureerd netwerk.
Op smartphones, vermijd de standaard Mail-app die slecht is geconfigureerd. Als de DSI van het CHU een specifieke mobiele applicatie goedkeurt voor ActiveSync-synchronisatie, gebruik dan die en geen andere.
De veiligheid van een externe toegang tot de Zimbra-mail van het CHU van Reims is afhankelijk van een keten: de server (beheerd door de DSI), het netwerk (uw verantwoordelijkheid thuis), het apparaat en de browser (bij te houden), en de verbindingsgewoonten (wachtwoord, afmelden, geen doorverwijzing). Elke schakel telt, en de meest kwetsbare is meestal degene die we zelf controleren.