actualité, réalités, ssi et pgssi-s · le système d’information, c’est aussi les...

39
Cybercriminalité et santé Actualité, réalités, SSI et PGSSI-S LES RENCONTRES QUALITE EFFICIENCE – ARS P AYS DE LOIRE UNE CONFÉRENCE DE L ’APSSIS – VINCENT TRELY, PRÉSIDENT FONDATEUR 1

Upload: vodien

Post on 13-Sep-2018

216 views

Category:

Documents


0 download

TRANSCRIPT

Page 1: Actualité, réalités, SSI et PGSSI-S · Le système d’information, c’est aussi les nouveautés (BYOD, AVEC, ... ISO 27002 Code of Practice ISO 27003 Implementation guide ISO

Cybercriminalité et santéActualité, réalités, SSI et PGSSI-S

LES RENCONTRES QUALITE EFFICIENCE – ARS PAYS DE LOIRE

UNE CONFÉRENCE DE L’APSSIS – V INCENT TRELY, PRÉSIDENT FONDATEUR

1

Page 2: Actualité, réalités, SSI et PGSSI-S · Le système d’information, c’est aussi les nouveautés (BYOD, AVEC, ... ISO 27002 Code of Practice ISO 27003 Implementation guide ISO

Vincent TRELYExpert SI, SSIPrésident Fondateur de l’APSSIS

Informations et réflexionsautour de la Sécurité des SIde santé

L’ARS Pays de Loire invite l’APSSIS

Page 3: Actualité, réalités, SSI et PGSSI-S · Le système d’information, c’est aussi les nouveautés (BYOD, AVEC, ... ISO 27002 Code of Practice ISO 27003 Implementation guide ISO

LA CYBERCRIMINALITÉ, UN FLÉAU DE SOCIÉTÉ !

Enfants en danger, Entreprises ruinéesEtats menacés, Citoyens espionnés, Internautes détroussés, PC hors service…

Les TIC offrent de vraies révolutions positives dans nos existences, mais la vigilance et l’acculturation des usagers est primordiale

Mais des moyens d’agir pour se protégerMais des moyens d’agir pour se protéger

• Des technologies• Des logiciels• Des experts

Un minimum de culture du risque est nécessaire à nos générations

Page 4: Actualité, réalités, SSI et PGSSI-S · Le système d’information, c’est aussi les nouveautés (BYOD, AVEC, ... ISO 27002 Code of Practice ISO 27003 Implementation guide ISO

LA CYBERCRIMINALITÉ, UN FLÉAU DE SOCIÉTÉ !

INFORMATIONS GENERALES

Un état des lieux inspiré des Conférences de Gérard PELIKS, EADS CASSIDIAN

Page 5: Actualité, réalités, SSI et PGSSI-S · Le système d’information, c’est aussi les nouveautés (BYOD, AVEC, ... ISO 27002 Code of Practice ISO 27003 Implementation guide ISO

LES ACTEURS DE L’INSÉCURITÉEtat

Axe économique Axe politico militaire

CyberguerreCyberespionnage

Entreprise

Cybercriminalité Cyberhacktivisme

Guerre par l’informationGuerre pour l’informationGuerre contre l’information

Page 6: Actualité, réalités, SSI et PGSSI-S · Le système d’information, c’est aussi les nouveautés (BYOD, AVEC, ... ISO 27002 Code of Practice ISO 27003 Implementation guide ISO

LA DISPONIBILITÉ DE L’INFORMATION TIENT PARFOIS À UN FIL…

Vélizy, mai 2011

Page 7: Actualité, réalités, SSI et PGSSI-S · Le système d’information, c’est aussi les nouveautés (BYOD, AVEC, ... ISO 27002 Code of Practice ISO 27003 Implementation guide ISO

PRÉSIDENCE ESPAGNOLE DE L’UNION EUROPÉENNE

Page 8: Actualité, réalités, SSI et PGSSI-S · Le système d’information, c’est aussi les nouveautés (BYOD, AVEC, ... ISO 27002 Code of Practice ISO 27003 Implementation guide ISO

PRÉSIDENCE ESPAGNOLE DE L’UNION EUROPÉENNE

Page 9: Actualité, réalités, SSI et PGSSI-S · Le système d’information, c’est aussi les nouveautés (BYOD, AVEC, ... ISO 27002 Code of Practice ISO 27003 Implementation guide ISO

Estonie 2007 : perturbation massive d’un pays

Confiker 2008 : blocage des avions de la marine … et des appareils médicaux

Géorgie 2008 : guerre sur les réseaux et les dénis de services

Iran 2010 : Le ver Stuxnet était dans la centrifugeuse, attaque sur les SCADA…

Bercy 2011 : les APT et le G20

CYBERGUÉRILLA, CYBERCOMBAT DE RUE OU CYBERGUERRE ?

Bercy 2011 : les APT et le G20

Areva 2011 : Intrusions et vols

Sony 2011 : 100 millions de comptes piratés

DigiNotar 2011 : perte de confiance envers les certificats numériques

Juillet 2009 , création de l’ANSSI

Page 10: Actualité, réalités, SSI et PGSSI-S · Le système d’information, c’est aussi les nouveautés (BYOD, AVEC, ... ISO 27002 Code of Practice ISO 27003 Implementation guide ISO

Flame juin 2012 : La boîte à outils de l‘espionnage

CYBERGUÉRILLA, CYBERCOMBAT DE RUE OU CYBERGUERRE ? 2012…

Anonymous 2012 : les « associations de malfaiteurs »

Wiper avril 2012 : blocage des terminaux pétroliers de l’IRANFévrier 2012 , Piranet

Rapport BockelElysée avril 2012 : Les informations sensibles piratées ?

Gauss août 2012 : Espionnage sur les transactions bancaires au Liban

Cyber Europe

Rapport Bockel

Et les multiples révélations sur l’espionnage mondial orchestrée par la NSA…

Page 11: Actualité, réalités, SSI et PGSSI-S · Le système d’information, c’est aussi les nouveautés (BYOD, AVEC, ... ISO 27002 Code of Practice ISO 27003 Implementation guide ISO

STUXNET … MÊME EN FRANCE

Page 12: Actualité, réalités, SSI et PGSSI-S · Le système d’information, c’est aussi les nouveautés (BYOD, AVEC, ... ISO 27002 Code of Practice ISO 27003 Implementation guide ISO

L’INVASION DES MALWARES

Rapport de PandaLabs début 2012 :

• 26 millions de nouvelles souches de malwares en • 26 millions de nouvelles souches de malwares en circulation en 2011

• Entre 63000 et 73000 nouvelles menaces lancées chaque jour

• Moyenne mondiale des ordinateurs infectés : 39%• 50%+ d’ordinateurs infectés en Chine, Taïwan et

Thaïlande

Page 13: Actualité, réalités, SSI et PGSSI-S · Le système d’information, c’est aussi les nouveautés (BYOD, AVEC, ... ISO 27002 Code of Practice ISO 27003 Implementation guide ISO

TOUS SONT MENACÉS !

En 2010, le nombre de mobiles connectés à Internet a dépassé celui des stations (PC, serveurs)

connectés à Internet.

Page 14: Actualité, réalités, SSI et PGSSI-S · Le système d’information, c’est aussi les nouveautés (BYOD, AVEC, ... ISO 27002 Code of Practice ISO 27003 Implementation guide ISO

AUCUN FORMAT, AUCUN PÉRIPHÉRIQUE NE SONT À L’ABRI !

100 000 attaques sur Androïd depuis début 2012

Trend Micro, octobre 2012

14

La sécurité dans la mobilité, aujourd’hui, n’existe pratiquement pas

Page 15: Actualité, réalités, SSI et PGSSI-S · Le système d’information, c’est aussi les nouveautés (BYOD, AVEC, ... ISO 27002 Code of Practice ISO 27003 Implementation guide ISO

Aucun format, aucun périphérique n’est à l’abri

Page 16: Actualité, réalités, SSI et PGSSI-S · Le système d’information, c’est aussi les nouveautés (BYOD, AVEC, ... ISO 27002 Code of Practice ISO 27003 Implementation guide ISO

QUE FONT LES LOGICIELS MALVEILLANTS AVEC VOTRE SMARTPHONE ?

Page 17: Actualité, réalités, SSI et PGSSI-S · Le système d’information, c’est aussi les nouveautés (BYOD, AVEC, ... ISO 27002 Code of Practice ISO 27003 Implementation guide ISO

Rapport de PandaLabs 2011

LL’’invasion des malwaresinvasion des malwares

Page 18: Actualité, réalités, SSI et PGSSI-S · Le système d’information, c’est aussi les nouveautés (BYOD, AVEC, ... ISO 27002 Code of Practice ISO 27003 Implementation guide ISO

Rien que ces derniers mois…Rien que ces derniers mois…

Page 19: Actualité, réalités, SSI et PGSSI-S · Le système d’information, c’est aussi les nouveautés (BYOD, AVEC, ... ISO 27002 Code of Practice ISO 27003 Implementation guide ISO

Rien que ces derniers mois…Rien que ces derniers mois…

Page 20: Actualité, réalités, SSI et PGSSI-S · Le système d’information, c’est aussi les nouveautés (BYOD, AVEC, ... ISO 27002 Code of Practice ISO 27003 Implementation guide ISO

Rien que ces derniers mois…Rien que ces derniers mois…

Page 21: Actualité, réalités, SSI et PGSSI-S · Le système d’information, c’est aussi les nouveautés (BYOD, AVEC, ... ISO 27002 Code of Practice ISO 27003 Implementation guide ISO

Rien que ces derniers mois…Rien que ces derniers mois…

Page 22: Actualité, réalités, SSI et PGSSI-S · Le système d’information, c’est aussi les nouveautés (BYOD, AVEC, ... ISO 27002 Code of Practice ISO 27003 Implementation guide ISO

Rien que ces derniers mois…Rien que ces derniers mois…

C’est tous les jours, dans la presse, qu’on nous relate le best of de la cybercriminalité

Page 23: Actualité, réalités, SSI et PGSSI-S · Le système d’information, c’est aussi les nouveautés (BYOD, AVEC, ... ISO 27002 Code of Practice ISO 27003 Implementation guide ISO

Et ces derniers jours :Et ces derniers jours :

Page 24: Actualité, réalités, SSI et PGSSI-S · Le système d’information, c’est aussi les nouveautés (BYOD, AVEC, ... ISO 27002 Code of Practice ISO 27003 Implementation guide ISO
Page 25: Actualité, réalités, SSI et PGSSI-S · Le système d’information, c’est aussi les nouveautés (BYOD, AVEC, ... ISO 27002 Code of Practice ISO 27003 Implementation guide ISO

SES OUTILS SONT COMMUNICANTS, DOIVENT L’ÊTRE ET C’EST IRRÉVERSIBLE !

Plus de 30 000 applications médicales en ligne.

Voir « Le Petit Traité du Bonheur 2.0 » - ce qui nous attend, à très court terme

Page 26: Actualité, réalités, SSI et PGSSI-S · Le système d’information, c’est aussi les nouveautés (BYOD, AVEC, ... ISO 27002 Code of Practice ISO 27003 Implementation guide ISO

SES OUTILS SONT COMMUNICANTS, DOIVENT L’ÊTRE ET C’EST IRRÉVERSIBLE !

Page 27: Actualité, réalités, SSI et PGSSI-S · Le système d’information, c’est aussi les nouveautés (BYOD, AVEC, ... ISO 27002 Code of Practice ISO 27003 Implementation guide ISO

SES OUTILS SONT COMMUNICANTS, DOIVENT L’ÊTRE ET C’EST IRRÉVERSIBLE !

Page 28: Actualité, réalités, SSI et PGSSI-S · Le système d’information, c’est aussi les nouveautés (BYOD, AVEC, ... ISO 27002 Code of Practice ISO 27003 Implementation guide ISO

AFFAIRES RÉCENTES DEVANT PORTER À RÉFLEXION…

Page 29: Actualité, réalités, SSI et PGSSI-S · Le système d’information, c’est aussi les nouveautés (BYOD, AVEC, ... ISO 27002 Code of Practice ISO 27003 Implementation guide ISO

LES ÉTABLISSEMENTS DE SANTÉ SONT

PARTICULIÈREMENT SENSIBLES À CE TYPE

D’INFECTION…

Page 30: Actualité, réalités, SSI et PGSSI-S · Le système d’information, c’est aussi les nouveautés (BYOD, AVEC, ... ISO 27002 Code of Practice ISO 27003 Implementation guide ISO

ATTAQUE SUR LES SCADA (*) …

LA SANTÉ : NOUVELLE CIBLE

(*) Supervisory Control And Data Acquisition

Page 31: Actualité, réalités, SSI et PGSSI-S · Le système d’information, c’est aussi les nouveautés (BYOD, AVEC, ... ISO 27002 Code of Practice ISO 27003 Implementation guide ISO

�Le système d’information, c’est l’ensemble des moyens, des procédureset des processus qui génèrent, traitent, gèrent, consignent et protègentl’information de l’entreprise.

�Souvent associé à l’informatique et aux systèmes informatiques (PC,serveurs, stockage, logiciels métiers ou logiciels généraux), le systèmed ’ information, c’est également le papier, l ’ information blanche(publique), l’information grise (privée, confidentielle, stratégique) et(publique), l’information grise (privée, confidentielle, stratégique) etl’information noire (à la limite de la légalité, très confidentielle ou trèsstratégique).

�L’aspect clairement stratégique du système d’ information en fait unélément clé de l’entreprise et un élément identifié comme cible pour lereste du monde (pirates, espions, mécontents …)

�Le système d’information, c’est aussi les nouveautés (BYOD, AVEC,CLOUD, BIG DATA…) et il faut « se les assimiler »…

Bonne nouvelle : c’est encadré, comme la Qualité !

Page 32: Actualité, réalités, SSI et PGSSI-S · Le système d’information, c’est aussi les nouveautés (BYOD, AVEC, ... ISO 27002 Code of Practice ISO 27003 Implementation guide ISO

UN ENVIRONNEMENT COMPLEXE !

Page 33: Actualité, réalités, SSI et PGSSI-S · Le système d’information, c’est aussi les nouveautés (BYOD, AVEC, ... ISO 27002 Code of Practice ISO 27003 Implementation guide ISO

PAYSAGE SSI / SANTÉ

Page 34: Actualité, réalités, SSI et PGSSI-S · Le système d’information, c’est aussi les nouveautés (BYOD, AVEC, ... ISO 27002 Code of Practice ISO 27003 Implementation guide ISO

NORMES ISO

• Ensemble de normes pour la conception et la mise en œuvred’un système de gestion de la sécurité de l’information

Page 35: Actualité, réalités, SSI et PGSSI-S · Le système d’information, c’est aussi les nouveautés (BYOD, AVEC, ... ISO 27002 Code of Practice ISO 27003 Implementation guide ISO

QU’EST-CE QU’UN SMSI ?

• La sécurité du système d’information se gère globalement auniveau de l’établissement par la mise en place d’un systèmede management.

• La norme ISO/IEC 27001 décrit ce système de managementapplicable à tout organisme et présente les mesuresorganisationnelles à mettre en œuvre.organisationnelles à mettre en œuvre.

• Par exemple, la norme ISO 27799 aborde ce système demanagement par rapport aux spécificités de la santé.

• ISO/IEC 27001 précise que ce système de management doits’inspirer de, voire s’inscrire dans, le système de mangementexistant au sein de l’organisme tel que celui de la qualité –ISO/IEC 9001 – ou de l’environnement – ISO/IEC 14001.

Page 36: Actualité, réalités, SSI et PGSSI-S · Le système d’information, c’est aussi les nouveautés (BYOD, AVEC, ... ISO 27002 Code of Practice ISO 27003 Implementation guide ISO

LA NORME ISO27001 POUR UN SYSTÈME DE GESTION DE LA SÉCURITÉ DE L’INFORMATION

ISO 27000Overview et Vocabulary

ISO 27001ISMS Requirements

ISO 27002Code of Practice

ISO 27003Implementation guide

ISO 27004 ISO 27005

ISO27001

ISO2700x

ActMaintenir et améliorer

PlanEtablir

DoImplanter et exploiter

CheckContrôler et réviser

Exigences pour la sécurité de l’information

Gestion de la sécurité de l’information

ISO 27007Auditor guideline

ISO 27006Accreditation bodies

ISO 27004Measurements

ISO 27005Risk Management

� Exigences d'un Système de Management de la Sécurité de l’Information (SMSI) pour la définition et la mise en œuvre d’un processus de gestion de la sécurité du SI

� Approche basée sur les risques� Certification possible des SMSI par des

organismes tiers

réviser

� Clause 4 - Système de Management de la Sécurité de l’Information

� Clause 5 - Gestion des responsabilités� Clause 6 - Audits internes du SMSI � Clause 7 - Revues du SMSI� Clause 8 - Amélioration du SMSI

Processus de gestion et d’amélioration continuer de la sécurité de l’information

Page 37: Actualité, réalités, SSI et PGSSI-S · Le système d’information, c’est aussi les nouveautés (BYOD, AVEC, ... ISO 27002 Code of Practice ISO 27003 Implementation guide ISO

MÉTHODES D’ANALYSE DE RISQUE SSI

• Il existe un très grand nombre de méthodes d’analyse de risque SSI dans le monde (CRAMM, Octave, mesari, Mehari, EBIOS, …)

• Des normes comme ISO27005 ou ISO 31000 • Des normes comme ISO27005 ou ISO 31000 (management du risque) donnent un cadre

• Deux méthodes d’analyse de risques les plus utilisées en France dans le domaine de la santé• EBIOS de l ’ANSSI

• MEHARI du CLUSIF

Page 38: Actualité, réalités, SSI et PGSSI-S · Le système d’information, c’est aussi les nouveautés (BYOD, AVEC, ... ISO 27002 Code of Practice ISO 27003 Implementation guide ISO

PGSSI-S

Objectifs :

• « Définir les niveaux d’exigence, règles et moyens juridiques, organisationnels, techniques et humains nécessaires pour garantir la sécurité de l’information dans les secteurs santé et médico-social »

• « Au bénéfice des patients, des professionnels et des établissements de santé »

38

Principes fondateurs rédigés

Page 39: Actualité, réalités, SSI et PGSSI-S · Le système d’information, c’est aussi les nouveautés (BYOD, AVEC, ... ISO 27002 Code of Practice ISO 27003 Implementation guide ISO

ALORS, EN CONCLUSION ?

De l’information – Tout le mondeDe la formation – RSSI, référentsDe l’usage conscient – Tout le mondeDe la méthode – Institutionnels et AgencesDes pratiques à faire évoluer, donc de la conduite du changement – Tout le monde

Pas de peur, de la vigilance et de l’usage de connaissances !

MERCI BEAUCOUP DE VOTRE ATTENTION

39