View
4.143
Download
0
Category
Preview:
Citation preview
Cybersécurité et santé Les risques liés aux SI
Sécurité des systèmes d’informationCybersécurité
7 octobre 2015
Philippe LoudenotFonctionnaire de sécurité des systèmes d’information
ministères chargés des affaires sociales
………………………………………………………………………………………………………………………………………………………..
….
….
………………………………………………………………………………………………………………………………………………………..
.…
.…
.…HFDS - FSSI
Premier ministre
HFDS / HFDS Adj.
Secrétaire généralde la défense et
de la sécurité nationale
Ministères
DéfenseIntérieur
Affaires étrangèresFinanciers
Chargés des affaires sociales…
• Code de la défense, notamment ses
articles L. 2321-1 et R1143-1 à R1143-8
• Circulaire du Premier ministre du 17 juillet
2014
Sécurité des systèmes d’informationCybersécurité2
FSSI ANSSI
AAI
RSSI
AAI
RSSI
Santé
DAC
ARS
Opérateurs
ES/EMS
HFDS
FSSI
AAI
RSSI
AAI
RSSI
Travail
DAC
SD
Opérateurs
Etbs
AAI
RSSI
AAI
RSSI
Sports
DAC
SD
Opérateurs
Etbs
………………………………………………………………………………………………………………………………………………………..
….
….
………………………………………………………………………………………………………………………………………………………..
.…
.…
.…Réglementation
Administrations de l’État Secteur privéCitoyen
RGS PSSI E
PGSSI-S
Sécurité des systèmes d’informationCybersécurité
eIDAS
………………………………………………………………………………………………………………………………………………………..
….
….
………………………………………………………………………………………………………………………………………………………..
.…
.…
.…SSI ?
Organisme (Entreprise)
RM
Sécurité des Systèmes d’information
Sécurité des systèmes d’informationCybersécurité4
Sécurité informatique
RSI
Sécurité des Systèmes d’informationCybersécurité
(Protection de l’information)RSSI
………………………………………………………………………………………………………………………………………………………..
….
….
………………………………………………………………………………………………………………………………………………………..
.…
.…
.…
Complexification des SI
Sécurité des systèmes d’informationCybersécurité
………………………………………………………………………………………………………………………………………………………..
….
….
………………………………………………………………………………………………………………………………………………………..
.…
.…
.…
SIS : problématique
Risque métier
Risque légal
• Obligations légales non respectées
• Double saisie du PMSI
• Gestion budgétaire altérée
• Déploiement / utilisation CPS non contrôlé
Maîtrise des risques IT, Métier,
Légaux
Sécurité des systèmes d’informationCybersécurité
Risque IT
• Gestion approximative des actifs IT
• Multiples failles de sécurité
• Comportements et usages déviants
• Hétérogénéité des versions des logiciels
• Indisponibilité et mauvaise performance
métier
• Non-interopérabilité des SI cliniques
• Fiabilité altérée des diagnostics
• Fuite de données, données corrompues
• Efficience des procédures
ConformitéIntégrité
Supervision
………………………………………………………………………………………………………………………………………………………..
….
….
………………………………………………………………………………………………………………………………………………………..
.…
.…
.…
Une réalité
66%
34%
Incidents
Attaques
Sécurité des systèmes d’informationCybersécurité
11 %
89%
bloquées
Attaques
………………………………………………………………………………………………………………………………………………………..
….
….
………………………………………………………………………………………………………………………………………………………..
.…
.…
.…Origines
Sécurité des systèmes d’informationCybersécurité8
………………………………………………………………………………………………………………………………………………………..
….
….
………………………………………………………………………………………………………………………………………………………..
.…
.…
.…
• agent / tiers / prestataire
• smartphone/tablette/USB
• systèmes obsolètes
• systèmes non à jour des correctifs de sécurité / pas de MCS
De multiples points d’entrée
Sécurité des systèmes d’informationCybersécurité
pas de MCS
• malveillances
• déviances par rapport aux protocoles
• erreurs humaines
• mauvaise organisation
Impact métier Impact Management
Versions périmées Responsabilité pénale
Sécurité des systèmes d’informationCybersécurité10
Versions périmées
Mauvaise interprétation des
résultats
Erreurs de mesures
Erreurs de diagnostic
Responsabilité pénale
Réputation
Coûts et non ROI
Retard dossier patients
des EDS ont (avaient) plus de 8 versions par SI cliniques critiques5 versions différentes de viewer DICOMApplis en µmol/l et mmol/l
SI cliniques « concurrents » non interopérables Problématique :
Mesure du niveau de conformité applicative ?
Sécurité des systèmes d’informationCybersécurité11
Inscription avec des adresses professionnelles
• les mots de passe utilisés sont-ils différents ?
• quels sont les droits liés aux comptes ?
………………………………………………………………………………………………………………………………………………………..
….
….
………………………………………………………………………………………………………………………………………………………..
.…
.…
.…Résultat
Base SIH centrale :• 25393 identifiants + mots de passe « en clair »
• 41 comptes génériques équivalents « root » ou « admin »• Archives en libre accès (souvent photocopieur à disposition)• Divers matériels connectés et non protégés
– Photocopieurs, bioméd., GTC…
Sécurité des systèmes d’informationCybersécurité12
Contrôle de l’ensemble des appareils connectés de l’EDS en 1 matinée
………………………………………………………………………………………………………………………………………………………..
….
….
………………………………………………………………………………………………………………………………………………………..
.…
.…
.…Conséquences
• Fichiers perdus
• Ralentissement / Interruption des missions
• Facteur de coûts directs et indirects :
– 5 000€ (EHPAD) <Surfacturation téléphonique<40 000€ (CH)
– 2j/h <Intervention <136j/h
– Mise à niveau à prévoir (organisationnelle et technique)
Sécurité des systèmes d’informationCybersécurité
– Potentiellement un risque juridique fort (SI non conformes, fuites de données personnelles…)
URGENCE : maîtriser les risques induits par les systèmes d’information et leur utilisation pour réduire les risques métiers et ainsi les risques légaux et financiers.
………………………………………………………………………………………………………………………………………………………..
….
….
………………………………………………………………………………………………………………………………………………………..
.…
.…
.…
Amélioration
90% desincidents
proviennent de sourcesinternes
20% de mesuresadéquates de base
règlent 80% des
Sécurité des systèmes d’informationCybersécurité
internesrèglent 80% des
problèmesLa sécurité n’estpas un problème
de moyens mais degouvernance, decompétences etd’appropriation
………………………………………………………………………………………………………………………………………………………..
….
….
………………………………………………………………………………………………………………………………………………………..
.…
.…
.…Pour éviter que le pilotage du risque ressemble à ça
Sécurité des systèmes d’informationCybersécurité
………………………………………………………………………………………………………………………………………………………..
….
….
………………………………………………………………………………………………………………………………………………………..
.…
.…
.…
• Définir clairement le périmètre SSI : CARTOGRAPHIE- Informatique;
- Biomédical;
- Infra …
• Inventorier les actifs, les applications, les flux;
• Gérer des risques;
• Impliquer l’ensemble des acteurs du monde de la santé (internes, constructeurs, éditeurs…);
Pré requis
Sécurité des systèmes d’informationCybersécurité
constructeurs, éditeurs…);
• Ajouter des clauses SSI dans les procédures d’achats;- MAJ de l’environnement
• Eviter le :
- « tout ce qui n’est pas explicitement interdit est autorisé ».
• Communiquer : chaîne d’alerte SSI.
………………………………………………………………………………………………………………………………………………………..
….
….
………………………………………………………………………………………………………………………………………………………..
.…
.…
.…
Rôle de l’AQSSI
• Pilotage• Stratégique
Porter la stratégie de sécurité
Organiser et contrôler le
déploiement de la Politique de
Sécurité (PSSI).
Sécurité des systèmes d’informationCybersécurité
• Opérationnel• Sponsor
S’assurer de l’efficience des
actions de sécurité
Permettre aux intervenants en
charge de cybersécurité
d’accomplir leur mission et les
appuyer
………………………………………………………………………………………………………………………………………………………..
….
….
………………………………………………………………………………………………………………………………………………………..
.…
.…
.…
� Quelles sont les « valeurs » d’un organisme ?
� Quel est leur niveau de sensibilité ou de criticité ?
� De qui, de quoi doit-on se protéger ?
� Quels sont les risques réellement encourus ?
� Ces risques sont-ils supportables et jusqu’à quel niveau ?
Questions simples mais réponses précises!
Sécurité des systèmes d’informationCybersécurité
� Quel est le niveau actuel de sécurité de l’Etablissement ?
� Quel est le niveau de sécurité que l’on souhaite atteindre ?
� Comment passer du niveau actuel au niveau désiré ?
� Quelles sont les contraintes effectives ?
� Quels sont les moyens disponibles ?
� Que faire en cas de « crise » ?
………………………………………………………………………………………………………………………………………………………..
….
….
………………………………………………………………………………………………………………………………………………………..
.…
.…
.…Chaîne d’alerte cyber
Plus l’information circule, plus elle crée de la
valeur
Ne pas avoir honte de s’être fait
pirater,
Le voir est déjà une marque d’un
système géré !
Si de surcroît vous
Sécurité des systèmes d’informationCybersécurité
ssi@sg.social.gouv.frUn domaine de confiance
Si de surcroît vousfaites« remonter » l’information,
vous rendez service àtoute la communauté
………………………………………………………………………………………………………………………………………………………..
….
….
………………………………………………………………………………………………………………………………………………………..
.…
.…
.…Thank you for being so … Patient
Questions ?
Sécurité des systèmes d’informationCybersécurité
Recommended