Upload
vodien
View
213
Download
0
Embed Size (px)
Citation preview
Cybercriminalité et santéActualité, réalités, SSI et PGSSI-S
LES RENCONTRES QUALITE EFFICIENCE – ARS PAYS DE LOIRE
UNE CONFÉRENCE DE L’APSSIS – V INCENT TRELY, PRÉSIDENT FONDATEUR
1
Vincent TRELYExpert SI, SSIPrésident Fondateur de l’APSSIS
Informations et réflexionsautour de la Sécurité des SIde santé
L’ARS Pays de Loire invite l’APSSIS
LA CYBERCRIMINALITÉ, UN FLÉAU DE SOCIÉTÉ !
Enfants en danger, Entreprises ruinéesEtats menacés, Citoyens espionnés, Internautes détroussés, PC hors service…
Les TIC offrent de vraies révolutions positives dans nos existences, mais la vigilance et l’acculturation des usagers est primordiale
Mais des moyens d’agir pour se protégerMais des moyens d’agir pour se protéger
• Des technologies• Des logiciels• Des experts
Un minimum de culture du risque est nécessaire à nos générations
LA CYBERCRIMINALITÉ, UN FLÉAU DE SOCIÉTÉ !
INFORMATIONS GENERALES
Un état des lieux inspiré des Conférences de Gérard PELIKS, EADS CASSIDIAN
LES ACTEURS DE L’INSÉCURITÉEtat
Axe économique Axe politico militaire
CyberguerreCyberespionnage
Entreprise
Cybercriminalité Cyberhacktivisme
Guerre par l’informationGuerre pour l’informationGuerre contre l’information
LA DISPONIBILITÉ DE L’INFORMATION TIENT PARFOIS À UN FIL…
Vélizy, mai 2011
PRÉSIDENCE ESPAGNOLE DE L’UNION EUROPÉENNE
PRÉSIDENCE ESPAGNOLE DE L’UNION EUROPÉENNE
Estonie 2007 : perturbation massive d’un pays
Confiker 2008 : blocage des avions de la marine … et des appareils médicaux
Géorgie 2008 : guerre sur les réseaux et les dénis de services
Iran 2010 : Le ver Stuxnet était dans la centrifugeuse, attaque sur les SCADA…
Bercy 2011 : les APT et le G20
CYBERGUÉRILLA, CYBERCOMBAT DE RUE OU CYBERGUERRE ?
Bercy 2011 : les APT et le G20
Areva 2011 : Intrusions et vols
Sony 2011 : 100 millions de comptes piratés
DigiNotar 2011 : perte de confiance envers les certificats numériques
Juillet 2009 , création de l’ANSSI
Flame juin 2012 : La boîte à outils de l‘espionnage
CYBERGUÉRILLA, CYBERCOMBAT DE RUE OU CYBERGUERRE ? 2012…
Anonymous 2012 : les « associations de malfaiteurs »
Wiper avril 2012 : blocage des terminaux pétroliers de l’IRANFévrier 2012 , Piranet
Rapport BockelElysée avril 2012 : Les informations sensibles piratées ?
Gauss août 2012 : Espionnage sur les transactions bancaires au Liban
Cyber Europe
Rapport Bockel
Et les multiples révélations sur l’espionnage mondial orchestrée par la NSA…
STUXNET … MÊME EN FRANCE
L’INVASION DES MALWARES
Rapport de PandaLabs début 2012 :
• 26 millions de nouvelles souches de malwares en • 26 millions de nouvelles souches de malwares en circulation en 2011
• Entre 63000 et 73000 nouvelles menaces lancées chaque jour
• Moyenne mondiale des ordinateurs infectés : 39%• 50%+ d’ordinateurs infectés en Chine, Taïwan et
Thaïlande
TOUS SONT MENACÉS !
En 2010, le nombre de mobiles connectés à Internet a dépassé celui des stations (PC, serveurs)
connectés à Internet.
AUCUN FORMAT, AUCUN PÉRIPHÉRIQUE NE SONT À L’ABRI !
100 000 attaques sur Androïd depuis début 2012
Trend Micro, octobre 2012
14
La sécurité dans la mobilité, aujourd’hui, n’existe pratiquement pas
Aucun format, aucun périphérique n’est à l’abri
QUE FONT LES LOGICIELS MALVEILLANTS AVEC VOTRE SMARTPHONE ?
Rapport de PandaLabs 2011
LL’’invasion des malwaresinvasion des malwares
Rien que ces derniers mois…Rien que ces derniers mois…
Rien que ces derniers mois…Rien que ces derniers mois…
Rien que ces derniers mois…Rien que ces derniers mois…
Rien que ces derniers mois…Rien que ces derniers mois…
Rien que ces derniers mois…Rien que ces derniers mois…
C’est tous les jours, dans la presse, qu’on nous relate le best of de la cybercriminalité
Et ces derniers jours :Et ces derniers jours :
SES OUTILS SONT COMMUNICANTS, DOIVENT L’ÊTRE ET C’EST IRRÉVERSIBLE !
Plus de 30 000 applications médicales en ligne.
Voir « Le Petit Traité du Bonheur 2.0 » - ce qui nous attend, à très court terme
SES OUTILS SONT COMMUNICANTS, DOIVENT L’ÊTRE ET C’EST IRRÉVERSIBLE !
SES OUTILS SONT COMMUNICANTS, DOIVENT L’ÊTRE ET C’EST IRRÉVERSIBLE !
AFFAIRES RÉCENTES DEVANT PORTER À RÉFLEXION…
LES ÉTABLISSEMENTS DE SANTÉ SONT
PARTICULIÈREMENT SENSIBLES À CE TYPE
D’INFECTION…
ATTAQUE SUR LES SCADA (*) …
LA SANTÉ : NOUVELLE CIBLE
(*) Supervisory Control And Data Acquisition
�Le système d’information, c’est l’ensemble des moyens, des procédureset des processus qui génèrent, traitent, gèrent, consignent et protègentl’information de l’entreprise.
�Souvent associé à l’informatique et aux systèmes informatiques (PC,serveurs, stockage, logiciels métiers ou logiciels généraux), le systèmed ’ information, c’est également le papier, l ’ information blanche(publique), l’information grise (privée, confidentielle, stratégique) et(publique), l’information grise (privée, confidentielle, stratégique) etl’information noire (à la limite de la légalité, très confidentielle ou trèsstratégique).
�L’aspect clairement stratégique du système d’ information en fait unélément clé de l’entreprise et un élément identifié comme cible pour lereste du monde (pirates, espions, mécontents …)
�Le système d’information, c’est aussi les nouveautés (BYOD, AVEC,CLOUD, BIG DATA…) et il faut « se les assimiler »…
Bonne nouvelle : c’est encadré, comme la Qualité !
UN ENVIRONNEMENT COMPLEXE !
PAYSAGE SSI / SANTÉ
NORMES ISO
• Ensemble de normes pour la conception et la mise en œuvred’un système de gestion de la sécurité de l’information
QU’EST-CE QU’UN SMSI ?
• La sécurité du système d’information se gère globalement auniveau de l’établissement par la mise en place d’un systèmede management.
• La norme ISO/IEC 27001 décrit ce système de managementapplicable à tout organisme et présente les mesuresorganisationnelles à mettre en œuvre.organisationnelles à mettre en œuvre.
• Par exemple, la norme ISO 27799 aborde ce système demanagement par rapport aux spécificités de la santé.
• ISO/IEC 27001 précise que ce système de management doits’inspirer de, voire s’inscrire dans, le système de mangementexistant au sein de l’organisme tel que celui de la qualité –ISO/IEC 9001 – ou de l’environnement – ISO/IEC 14001.
LA NORME ISO27001 POUR UN SYSTÈME DE GESTION DE LA SÉCURITÉ DE L’INFORMATION
ISO 27000Overview et Vocabulary
ISO 27001ISMS Requirements
ISO 27002Code of Practice
ISO 27003Implementation guide
ISO 27004 ISO 27005
ISO27001
ISO2700x
ActMaintenir et améliorer
PlanEtablir
DoImplanter et exploiter
CheckContrôler et réviser
Exigences pour la sécurité de l’information
Gestion de la sécurité de l’information
ISO 27007Auditor guideline
ISO 27006Accreditation bodies
ISO 27004Measurements
ISO 27005Risk Management
� Exigences d'un Système de Management de la Sécurité de l’Information (SMSI) pour la définition et la mise en œuvre d’un processus de gestion de la sécurité du SI
� Approche basée sur les risques� Certification possible des SMSI par des
organismes tiers
réviser
� Clause 4 - Système de Management de la Sécurité de l’Information
� Clause 5 - Gestion des responsabilités� Clause 6 - Audits internes du SMSI � Clause 7 - Revues du SMSI� Clause 8 - Amélioration du SMSI
Processus de gestion et d’amélioration continuer de la sécurité de l’information
MÉTHODES D’ANALYSE DE RISQUE SSI
• Il existe un très grand nombre de méthodes d’analyse de risque SSI dans le monde (CRAMM, Octave, mesari, Mehari, EBIOS, …)
• Des normes comme ISO27005 ou ISO 31000 • Des normes comme ISO27005 ou ISO 31000 (management du risque) donnent un cadre
• Deux méthodes d’analyse de risques les plus utilisées en France dans le domaine de la santé• EBIOS de l ’ANSSI
• MEHARI du CLUSIF
PGSSI-S
Objectifs :
• « Définir les niveaux d’exigence, règles et moyens juridiques, organisationnels, techniques et humains nécessaires pour garantir la sécurité de l’information dans les secteurs santé et médico-social »
• « Au bénéfice des patients, des professionnels et des établissements de santé »
38
Principes fondateurs rédigés
ALORS, EN CONCLUSION ?
De l’information – Tout le mondeDe la formation – RSSI, référentsDe l’usage conscient – Tout le mondeDe la méthode – Institutionnels et AgencesDes pratiques à faire évoluer, donc de la conduite du changement – Tout le monde
Pas de peur, de la vigilance et de l’usage de connaissances !
MERCI BEAUCOUP DE VOTRE ATTENTION
39