AXIANS CYBERSECURITY PARIS - APSSIS · ISO22301 SMCAProtection Continuité d’activité des données des cartes bancaires RGPD/GDPR des données à caractère personnel Cobit / ITIL

Quelle sécurité pour les équipements médicaux?

AXIANS CYBERSECURITY PARIS

2

VINCI, ACTEUR MONDIAL DES MÉTIERS DES CONCESSIONS ET DE LA CONSTRUCTION

Énergies Concessions Routes Construction

38,1 Mds€ de chiffre d’affaires en 2016

183 000 collaborateurs

Présent dans plus de

110 pays

Présentation Axians Cybersecurity Paris 2018

Plus de

https://www.vinci.com/

http://www.vinci-energies.com/


http://www.vinci-construction.com/fr/

http://www.vinci-concessions.com/fr/

http://www.eurovia.com/fr

3

VINCI ENERGIES AU SEIN DE VINCI

L’UN DES PÔLES D’ACTIVITÉS DE VINCI


10,2

Mds€ de chiffre d’affaires en 2016

51

pays d’implantation dont 30 hors d’Europe

1 600

entreprises

64 500

collaborateurs


http://www.axians.fr/fr/

http://www.actemium.fr/fr/

http://www.omexom.com/fr/

http://www.vinci-facilities.com/fr

http://www.citeos.fr/

4

AXIANS SPÉCIALISTE DE L’ICT

Angola

Autriche

Belgique

République Tchèque

Danemark

France métropolitaine et

Outre-mer

Allemagne

Côte d'Ivoire

Maroc

Mozambique

Pologne

Portugal

Espagne

Suède

Suisse

Les Pays Bas

Royaume-Uni

USA

Tunisie

2 Mds De chiffre d'affaires en 2017

210

Entreprises

9,000

Collaborateurs

22

Pays


Présentation Axians Cybersecurity Paris 2018 5


CYBERSECURITY


CONFORMITÉ ET GESTION DES RISQUES

ISO27001

SMSI

Sécurité de

l’Information

ISO22301

SMCA

Continuité

d’activité

PCI DSS

Sécurité des

données des cartes

bancaires

RGPD/GDPR

Protection des

données à caractère

personnel

Cobit / ITIL

Gouvernance et

Gestion des

services IT

LPM / RGS

Loi de

programmation

militaire

ISO27005

Analyse de

risques

•Gestion de la sécurité des environnements industriels (SCADA)

•ISO27017 & ISO 27018 et sécurité des environnements Cloud

•Sécurité des environnements connectés (IoT/IoE)

•Intégration de la sécurité dans les SDLC / Projets

•Classification des données

•Politiques et chartes de sécurité

•Indicateurs et KPI

•Gestion des changements

•Gestion des campagnes de sensibilisation

Services AlliaCERT


ALLIACERT | COMPUTER EMERGENCY RESPONSE TEAM

• Veille en vulnérabilités et menaces

• Cyber-surveillance

• Threat Intelligence

• Réponse aux incidents

• Gestion de crise

• Analyses forensiques

Paris

Tunis

Kuala Lumpur


IOT SOC / CERT


Panorama des menaces et vulénrabilités

Les appareils sont connectés aux patients physiquement

Les données obtenues à partir des appareils sont stockées sur papier ou localement

Les appareils sont des produits « physiques »

Les soins sont administrés à la main dans un établissement de santé

L'accès physique est nécessaire pour afficher les données de santé


ENTRE HIER ET AUJOURD’HUI…

Les appareils sont connectés en sans fil aux patients et à d’autres applications

Les données obtenues à partir des appareils sont stockées dans le cloud

Les dispositifs comprennent des logiciels et des bases de santé

Les soins sont accessibles aux patients grâce à des applications

Les données de santé peuvent être accessibles depuis n'importe où

Hier Aujourd’hui

SCOTT ERVEN ET MARK COLLAO / DERBYCON 2015

21 appareils d’anesthésie, 488 équipements de cardiologie, 133 systèmes d’injection, 31 stimulateurs cardiaques, 97 IRM, 323 appareils d’imagerie médicale sont vulnérables

Plusieurs de ces équipements sont répertoriés par Shodan, le moteur de recherche des IoT

Accès SSH distants, failles de consoles Web, mots de passe par défaut, très anciennes vulnérabilité, etc.


WANNACRY

Un équipement Bayer MedRad utilisé pour

les analyses IRM infecté par le

ransomware WannaCry



AUTRES ATTAQUES


LES MOTEURS DE RECHERCHE





les chercheurs en sécurité de chez WhiteScope ont découvert 8 600 vulnérabilités dans les systèmes de pacemaker et les bibliothèques tierces

Les chercheurs ont découvert ces défauts dans sept produits différents, appartenant à quatre fabricants différents

Les programmeurs de pacemaker, et le stimulateur cardiaque implanté d’une même société ne s’authentifiaient pas mutuellement.

Pas besoin d’une authentification des médecins

Les systèmes de pacemaker stockent des données sur des supports non chiffrés


8 600 VULNÉRABILITÉS

Chantage à la crise cardiaque?


QUELLE EST LA PROCHAINE ÉTAPE?


POC AXIANS

Interception et

Manipulation des

données

Connexion Originelle

Application Mobile Oxymètre connecté

Nouvelle Connexion

Pont de données

Simule

l’équipement

médical

Simule

l’application

mobile

160

40%

Durée du POC : 2 Jours

Faible niveau d’authentification entre les équipements

Altération des données à la volée


POC AXIANS

Embedded • Binwalk

• Attify Badge tool

• Baudrate.py

• Openocd

• Flashrom

• Spiflash.py

Firmware and Software • Binwalk

• Firmware-Mod-Kit (FMK)

• Firmware Analysis Toolkit (FAT)

• radare2

• IDA Demo

• Dex2Jar

• JADx

• ROPGadget


TOOLKIT

Distributions

• AttifyOS https://github.com/adi0x90/attifyos

• Kali : www.kali.org/

• Parrotsec : https://www.parrotsec.org/

• Metasploit

Radio • GQRX

• GNURadio

• Ubertooth-Utils

• HackRF

• KillerBee / Attify ZigBee Framework

https://github.com/adi0x90/attifyos

https://github.com/adi0x90/attifyos

http://www.kali.org/

http://www.kali.org/

https://www.parrotsec.org/

https://www.parrotsec.org/


Quelle sécurité?

Firmwares obsolètes

Mises à jour et patches manquants

Comptes à privilèges codés en dur

Mots de passe par défaut

Services non nécessaires activés

Absence d’authentification

Applications Web et Services/ Interfaces non chiffrés

Sensibilisation

Supervision


LES FAILLES COMMUNES

Des capacités Hardwares limitées

Une sécurité des équipements limitée

Système d’exploitation peu sophistiqué

Absence d’authentification

Protocoles d’échange parfois non sécurisés

Sécurité des réseaux (Wifi, LAN) peu mise en œuvre

Sécurité des applications Backend

Parfois les constructeurs demandent de ne pas changer les paramètres par défaut

Fort besoin d’accès au vu de la nature des équipements et de l’utilisation


LES CHALLENGES


ECOSYSTÈME


QUEL FRAMEWORK?

• Network Segmentation and/or Network Access Control (NAC) for

critical medical IoT devices

• Secure Remote Access

• Secure Medical IoT Device Network Architecture

• Medical IoT Device Encryption

• Secure Device Access Control and Authentication

• Wireless Security Controls

• Patch Management Processes

• Software Version Control Processes

• Change Management Processes

• Medical IoT Device Vendor Risk Management Program

• Device Risk Profiling

• Control Profile Development

• Secure Disposal Processes

• Physical Device Security

• Device Risk Assessment Tool Development

• Logging and Monitoring for Malicious Activity

• Logging and Monitoring for configuration

• changes

• Intrusion detection and Incident Response

• Forensic Toolkit for Intrusion Analysis

• Established roles, responsibilities, and FTE

• Information Sharing and Analysis Organization (ISAO) Development and

Participation

• Medical IoT Security Strategy

• Medical IoT Risk Management Policy • Medical IoT Minimum Security Baseline (MSB)

• Device Inventory

• Device Attribute Collection

• Asset Management Policy and Process • Secure Device Procurement Processes

Risk

Management Device

Mgmt

Medical IoT

Governance

Network

Security

Device

Security

Monitoring

Config

Mgmt

Medical IoT

Framework

Phase 1 : Gouvernance, Stratégie et Planification

• Définir la stratégie de cybersécurité des équipements médicaux connectés en fonction des besoins opérationnels,

de gestion des risques et de conformité.

• Identifier les ressources pour mener à bien les activités quotidiennes, fournir l'architecture et le soutien à la mise en œuvre.

QUELLE DÉMARCHE?

Stratégie IoT intégrée dans la

sécurité de l'entreprise

Gouvernance de l'IoT médical et définition des politiques de

sécurité

Analyser et Gérer les risques IoT

Gestion des risques relatifs aux

fournisseurs d'IoT


Phase 2 : Déploiement et Mise en œuvre

• Mettre en œuvre les contrôles et mesures de sécurité

• Mettre en œuvre les concepts de Security By Design et Security By Default dans tous les déploiements et les acquisitions

QUELLE DÉMARCHE?

Cartographie, identification,

classification, utilisation et protection des flux de

données

Security by design, Amélioration du processus SDL

(Software / Systems Development Lifecycle)

Supervision & Détection

MCO/MCS

Développement d'un manuel d'intervention en cas d'incident médical

IoT


Phase 3 : Auditer / Analyser

• Analyser le niveau de résilience, de maturité, de conformité

QUELLE DÉMARCHE?

Audit de maturité, d’hygiène

Audit d’intrusion, de vulnérabilités

Analyse de conformité légale et réglementaire



INITIATIVES ET GROUPES DE TRAVAIL

INITIATIVES ET GROUPES DE TRAVAIL

• Enisa, Cadre de certification européen

• https://www.enisa.europa.eu/topics/standards/certification

• NIST Working Group : NISTIR 8200

• https://csrc.nist.gov/publications/detail/nistir/8200/draft

• IOT CyberSecurity Alliance

• https://www.iotca.org

• IOT Security Foundation

• www.iotsecurityfoundation.org/

• IOT Institute

• http://www.ioti.com/

• OWASP Security Guidance

• https://www.owasp.org/index.php/IoT_Security_Guidance

• Cloud Security Alliance IoT Working Group

• https://cloudsecurityalliance.org/group/internet-of-things/#_overview


https://www.enisa.europa.eu/topics/standards/certification

https://csrc.nist.gov/publications/detail/nistir/8200/draft

https://csrc.nist.gov/publications/detail/nistir/8200/draft

https://www.iotca.org/

http://www.iotsecurityfoundation.org/

http://www.ioti.com/

https://www.owasp.org/index.php/IoT_Security_Guidance

https://cloudsecurityalliance.org/group/internet-of-things/#_overview





1. Désactiver SMB

2. Évaluer le niveau de sécurité (autoévaluation, audit externe) avant toute mise en service

3. Cloisonner, filtrer

4. Mettre à jour, upgrader

5. Durcir, utiliser des mots de passe complexes, appliquer le principe de moindre privilèges

6. Utiliser des protocoles sécurisés

7. Inclure des clauses de cybersécurité dans les contrats des partenaires et dans les projets

8. Monitorer et contrôler

9. Sensibiliser, évangéliser

10. Initier une veille en sécurité

QUICK-WINS


Nous sommes dans une dynamique positive :

• Prise de conscience du législateur et des éditeurs (au moins les leaders)

• Plusieurs normes, standards, directives en cours.

Le monde des objets connectés reste encore très vulnérable.

Les acteurs peuvent vous accompagner, vous n’êtes plus seuls!

CONCLUSION


BE CERTAIN

Know thy self, know thy enemy. A thousand battles, a thousand victories. Sun Tzu (544 - 496 av JC)

Documents

AXIANS CYBERSECURITY PARIS - APSSIS · ISO22301 SMCAProtection Continuité d’activité des données des cartes bancaires RGPD/GDPR des données à caractère personnel Cobit / ITIL