2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama

Cybersécurité et santé Les risques liés aux SI

Sécurité des systèmes d’informationCybersécurité

7 octobre 2015

Philippe LoudenotFonctionnaire de sécurité des systèmes d’information

ministères chargés des affaires sociales

………………………………………………………………………………………………………………………………………………………..

….

….

………………………………………………………………………………………………………………………………………………………..

.…

.…

.…HFDS - FSSI

Premier ministre

HFDS / HFDS Adj.

Secrétaire généralde la défense et

de la sécurité nationale

Ministères

DéfenseIntérieur

Affaires étrangèresFinanciers

Chargés des affaires sociales…

• Code de la défense, notamment ses

articles L. 2321-1 et R1143-1 à R1143-8

• Circulaire du Premier ministre du 17 juillet

2014

Sécurité des systèmes d’informationCybersécurité2

FSSI ANSSI

AAI

RSSI

AAI

RSSI

Santé

DAC

ARS

Opérateurs

ES/EMS

HFDS

FSSI

AAI

RSSI

AAI

RSSI

Travail

DAC

SD

Opérateurs

Etbs

AAI

RSSI

AAI

RSSI

Sports

DAC

SD

Opérateurs

Etbs

………………………………………………………………………………………………………………………………………………………..

….

….

………………………………………………………………………………………………………………………………………………………..

.…

.…

.…Réglementation

Administrations de l’État Secteur privéCitoyen

RGS PSSI E

PGSSI-S


eIDAS

………………………………………………………………………………………………………………………………………………………..

….

….

………………………………………………………………………………………………………………………………………………………..

.…

.…

.…SSI ?

Organisme (Entreprise)

RM

Sécurité des Systèmes d’information


Sécurité informatique

RSI

Sécurité des Systèmes d’informationCybersécurité

(Protection de l’information)RSSI

………………………………………………………………………………………………………………………………………………………..

….

….

………………………………………………………………………………………………………………………………………………………..

.…

.…

.…

Complexification des SI


………………………………………………………………………………………………………………………………………………………..

….

….

………………………………………………………………………………………………………………………………………………………..

.…

.…

.…

SIS : problématique

Risque métier

Risque légal

• Obligations légales non respectées

• Double saisie du PMSI

• Gestion budgétaire altérée

• Déploiement / utilisation CPS non contrôlé

Maîtrise des risques IT, Métier,

Légaux


Risque IT

• Gestion approximative des actifs IT

• Multiples failles de sécurité

• Comportements et usages déviants

• Hétérogénéité des versions des logiciels

• Indisponibilité et mauvaise performance

métier

• Non-interopérabilité des SI cliniques

• Fiabilité altérée des diagnostics

• Fuite de données, données corrompues

• Efficience des procédures

ConformitéIntégrité

Supervision

………………………………………………………………………………………………………………………………………………………..

….

….

………………………………………………………………………………………………………………………………………………………..

.…

.…

.…

Une réalité

66%

34%

Incidents

Attaques


11 %

89%

bloquées

Attaques

………………………………………………………………………………………………………………………………………………………..

….

….

………………………………………………………………………………………………………………………………………………………..

.…

.…

.…Origines


………………………………………………………………………………………………………………………………………………………..

….

….

………………………………………………………………………………………………………………………………………………………..

.…

.…

.…

• agent / tiers / prestataire

• smartphone/tablette/USB

• systèmes obsolètes

• systèmes non à jour des correctifs de sécurité / pas de MCS

De multiples points d’entrée


pas de MCS

• malveillances

• déviances par rapport aux protocoles

• erreurs humaines

• mauvaise organisation

Impact métier Impact Management

Versions périmées Responsabilité pénale


Versions périmées

Mauvaise interprétation des

résultats

Erreurs de mesures

Erreurs de diagnostic

Responsabilité pénale

Réputation

Coûts et non ROI

Retard dossier patients

des EDS ont (avaient) plus de 8 versions par SI cliniques critiques5 versions différentes de viewer DICOMApplis en µmol/l et mmol/l

SI cliniques « concurrents » non interopérables Problématique :

Mesure du niveau de conformité applicative ?


Inscription avec des adresses professionnelles

• les mots de passe utilisés sont-ils différents ?

• quels sont les droits liés aux comptes ?

………………………………………………………………………………………………………………………………………………………..

….

….

………………………………………………………………………………………………………………………………………………………..

.…

.…

.…Résultat

Base SIH centrale :• 25393 identifiants + mots de passe « en clair »

• 41 comptes génériques équivalents « root » ou « admin »• Archives en libre accès (souvent photocopieur à disposition)• Divers matériels connectés et non protégés

– Photocopieurs, bioméd., GTC…


Contrôle de l’ensemble des appareils connectés de l’EDS en 1 matinée

………………………………………………………………………………………………………………………………………………………..

….

….

………………………………………………………………………………………………………………………………………………………..

.…

.…

.…Conséquences

• Fichiers perdus

• Ralentissement / Interruption des missions

• Facteur de coûts directs et indirects :

– 5 000€ (EHPAD) <Surfacturation téléphonique<40 000€ (CH)

– 2j/h <Intervention <136j/h

– Mise à niveau à prévoir (organisationnelle et technique)


– Potentiellement un risque juridique fort (SI non conformes, fuites de données personnelles…)

URGENCE : maîtriser les risques induits par les systèmes d’information et leur utilisation pour réduire les risques métiers et ainsi les risques légaux et financiers.

………………………………………………………………………………………………………………………………………………………..

….

….

………………………………………………………………………………………………………………………………………………………..

.…

.…

.…

Amélioration

90% desincidents

proviennent de sourcesinternes

20% de mesuresadéquates de base

règlent 80% des


internesrèglent 80% des

problèmesLa sécurité n’estpas un problème

de moyens mais degouvernance, decompétences etd’appropriation

………………………………………………………………………………………………………………………………………………………..

….

….

………………………………………………………………………………………………………………………………………………………..

.…

.…

.…Pour éviter que le pilotage du risque ressemble à ça


………………………………………………………………………………………………………………………………………………………..

….

….

………………………………………………………………………………………………………………………………………………………..

.…

.…

.…

• Définir clairement le périmètre SSI : CARTOGRAPHIE- Informatique;

- Biomédical;

- Infra …

• Inventorier les actifs, les applications, les flux;

• Gérer des risques;

• Impliquer l’ensemble des acteurs du monde de la santé (internes, constructeurs, éditeurs…);

Pré requis


constructeurs, éditeurs…);

• Ajouter des clauses SSI dans les procédures d’achats;- MAJ de l’environnement

• Eviter le :

- « tout ce qui n’est pas explicitement interdit est autorisé ».

• Communiquer : chaîne d’alerte SSI.

………………………………………………………………………………………………………………………………………………………..

….

….

………………………………………………………………………………………………………………………………………………………..

.…

.…

.…

Rôle de l’AQSSI

• Pilotage• Stratégique

Porter la stratégie de sécurité

Organiser et contrôler le

déploiement de la Politique de

Sécurité (PSSI).


• Opérationnel• Sponsor

S’assurer de l’efficience des

actions de sécurité

Permettre aux intervenants en

charge de cybersécurité

d’accomplir leur mission et les

appuyer

………………………………………………………………………………………………………………………………………………………..

….

….

………………………………………………………………………………………………………………………………………………………..

.…

.…

.…

� Quelles sont les « valeurs » d’un organisme ?

� Quel est leur niveau de sensibilité ou de criticité ?

� De qui, de quoi doit-on se protéger ?

� Quels sont les risques réellement encourus ?

� Ces risques sont-ils supportables et jusqu’à quel niveau ?

Questions simples mais réponses précises!


� Quel est le niveau actuel de sécurité de l’Etablissement ?

� Quel est le niveau de sécurité que l’on souhaite atteindre ?

� Comment passer du niveau actuel au niveau désiré ?

� Quelles sont les contraintes effectives ?

� Quels sont les moyens disponibles ?

� Que faire en cas de « crise » ?

………………………………………………………………………………………………………………………………………………………..

….

….

………………………………………………………………………………………………………………………………………………………..

.…

.…

.…Chaîne d’alerte cyber

Plus l’information circule, plus elle crée de la

valeur

Ne pas avoir honte de s’être fait

pirater,

Le voir est déjà une marque d’un

système géré !

Si de surcroît vous


[email protected] domaine de confiance

Si de surcroît vousfaites« remonter » l’information,

vous rendez service àtoute la communauté

………………………………………………………………………………………………………………………………………………………..

….

….

………………………………………………………………………………………………………………………………………………………..

.…

.…

.…Thank you for being so … Patient

Questions ?


2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama

Technology

Transcript of 2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama