actualité, réalités, ssi et pgssi-s · le système d’information, c’est aussi les...

Cybercriminalité et santéActualité, réalités, SSI et PGSSI-S

LES RENCONTRES QUALITE EFFICIENCE – ARS PAYS DE LOIRE

UNE CONFÉRENCE DE L’APSSIS – V INCENT TRELY, PRÉSIDENT FONDATEUR

1

Vincent TRELYExpert SI, SSIPrésident Fondateur de l’APSSIS

Informations et réflexionsautour de la Sécurité des SIde santé

L’ARS Pays de Loire invite l’APSSIS

LA CYBERCRIMINALITÉ, UN FLÉAU DE SOCIÉTÉ !

Enfants en danger, Entreprises ruinéesEtats menacés, Citoyens espionnés, Internautes détroussés, PC hors service…

Les TIC offrent de vraies révolutions positives dans nos existences, mais la vigilance et l’acculturation des usagers est primordiale

Mais des moyens d’agir pour se protégerMais des moyens d’agir pour se protéger

• Des technologies• Des logiciels• Des experts

Un minimum de culture du risque est nécessaire à nos générations

LA CYBERCRIMINALITÉ, UN FLÉAU DE SOCIÉTÉ !

INFORMATIONS GENERALES

Un état des lieux inspiré des Conférences de Gérard PELIKS, EADS CASSIDIAN

LES ACTEURS DE L’INSÉCURITÉEtat

Axe économique Axe politico militaire

CyberguerreCyberespionnage

Entreprise

Cybercriminalité Cyberhacktivisme

Guerre par l’informationGuerre pour l’informationGuerre contre l’information

LA DISPONIBILITÉ DE L’INFORMATION TIENT PARFOIS À UN FIL…

Vélizy, mai 2011

PRÉSIDENCE ESPAGNOLE DE L’UNION EUROPÉENNE

PRÉSIDENCE ESPAGNOLE DE L’UNION EUROPÉENNE

Estonie 2007 : perturbation massive d’un pays

Confiker 2008 : blocage des avions de la marine … et des appareils médicaux

Géorgie 2008 : guerre sur les réseaux et les dénis de services

Iran 2010 : Le ver Stuxnet était dans la centrifugeuse, attaque sur les SCADA…

Bercy 2011 : les APT et le G20

CYBERGUÉRILLA, CYBERCOMBAT DE RUE OU CYBERGUERRE ?

Bercy 2011 : les APT et le G20

Areva 2011 : Intrusions et vols

Sony 2011 : 100 millions de comptes piratés

DigiNotar 2011 : perte de confiance envers les certificats numériques

Juillet 2009 , création de l’ANSSI

Flame juin 2012 : La boîte à outils de l‘espionnage

CYBERGUÉRILLA, CYBERCOMBAT DE RUE OU CYBERGUERRE ? 2012…

Anonymous 2012 : les « associations de malfaiteurs »

Wiper avril 2012 : blocage des terminaux pétroliers de l’IRANFévrier 2012 , Piranet

Rapport BockelElysée avril 2012 : Les informations sensibles piratées ?

Gauss août 2012 : Espionnage sur les transactions bancaires au Liban

Cyber Europe

Rapport Bockel

Et les multiples révélations sur l’espionnage mondial orchestrée par la NSA…

STUXNET … MÊME EN FRANCE

L’INVASION DES MALWARES

Rapport de PandaLabs début 2012 :

• 26 millions de nouvelles souches de malwares en • 26 millions de nouvelles souches de malwares en circulation en 2011

• Entre 63000 et 73000 nouvelles menaces lancées chaque jour

• Moyenne mondiale des ordinateurs infectés : 39%• 50%+ d’ordinateurs infectés en Chine, Taïwan et

Thaïlande

TOUS SONT MENACÉS !

En 2010, le nombre de mobiles connectés à Internet a dépassé celui des stations (PC, serveurs)

connectés à Internet.

AUCUN FORMAT, AUCUN PÉRIPHÉRIQUE NE SONT À L’ABRI !

100 000 attaques sur Androïd depuis début 2012

Trend Micro, octobre 2012

14

La sécurité dans la mobilité, aujourd’hui, n’existe pratiquement pas

Aucun format, aucun périphérique n’est à l’abri

QUE FONT LES LOGICIELS MALVEILLANTS AVEC VOTRE SMARTPHONE ?

Rapport de PandaLabs 2011

LL’’invasion des malwaresinvasion des malwares

Rien que ces derniers mois…Rien que ces derniers mois…

Rien que ces derniers mois…Rien que ces derniers mois…

Rien que ces derniers mois…Rien que ces derniers mois…

Rien que ces derniers mois…Rien que ces derniers mois…

Rien que ces derniers mois…Rien que ces derniers mois…

C’est tous les jours, dans la presse, qu’on nous relate le best of de la cybercriminalité

Et ces derniers jours :Et ces derniers jours :

SES OUTILS SONT COMMUNICANTS, DOIVENT L’ÊTRE ET C’EST IRRÉVERSIBLE !

Plus de 30 000 applications médicales en ligne.

Voir « Le Petit Traité du Bonheur 2.0 » - ce qui nous attend, à très court terme

SES OUTILS SONT COMMUNICANTS, DOIVENT L’ÊTRE ET C’EST IRRÉVERSIBLE !

SES OUTILS SONT COMMUNICANTS, DOIVENT L’ÊTRE ET C’EST IRRÉVERSIBLE !

AFFAIRES RÉCENTES DEVANT PORTER À RÉFLEXION…

LES ÉTABLISSEMENTS DE SANTÉ SONT

PARTICULIÈREMENT SENSIBLES À CE TYPE

D’INFECTION…

ATTAQUE SUR LES SCADA (*) …

LA SANTÉ : NOUVELLE CIBLE

(*) Supervisory Control And Data Acquisition

�Le système d’information, c’est l’ensemble des moyens, des procédureset des processus qui génèrent, traitent, gèrent, consignent et protègentl’information de l’entreprise.

�Souvent associé à l’informatique et aux systèmes informatiques (PC,serveurs, stockage, logiciels métiers ou logiciels généraux), le systèmed ’ information, c’est également le papier, l ’ information blanche(publique), l’information grise (privée, confidentielle, stratégique) et(publique), l’information grise (privée, confidentielle, stratégique) etl’information noire (à la limite de la légalité, très confidentielle ou trèsstratégique).

�L’aspect clairement stratégique du système d’ information en fait unélément clé de l’entreprise et un élément identifié comme cible pour lereste du monde (pirates, espions, mécontents …)

�Le système d’information, c’est aussi les nouveautés (BYOD, AVEC,CLOUD, BIG DATA…) et il faut « se les assimiler »…

Bonne nouvelle : c’est encadré, comme la Qualité !

UN ENVIRONNEMENT COMPLEXE !

PAYSAGE SSI / SANTÉ

NORMES ISO

• Ensemble de normes pour la conception et la mise en œuvred’un système de gestion de la sécurité de l’information

QU’EST-CE QU’UN SMSI ?

• La sécurité du système d’information se gère globalement auniveau de l’établissement par la mise en place d’un systèmede management.

• La norme ISO/IEC 27001 décrit ce système de managementapplicable à tout organisme et présente les mesuresorganisationnelles à mettre en œuvre.organisationnelles à mettre en œuvre.

• Par exemple, la norme ISO 27799 aborde ce système demanagement par rapport aux spécificités de la santé.

• ISO/IEC 27001 précise que ce système de management doits’inspirer de, voire s’inscrire dans, le système de mangementexistant au sein de l’organisme tel que celui de la qualité –ISO/IEC 9001 – ou de l’environnement – ISO/IEC 14001.

LA NORME ISO27001 POUR UN SYSTÈME DE GESTION DE LA SÉCURITÉ DE L’INFORMATION

ISO 27000Overview et Vocabulary

ISO 27001ISMS Requirements

ISO 27002Code of Practice

ISO 27003Implementation guide

ISO 27004 ISO 27005

ISO27001

ISO2700x

ActMaintenir et améliorer

PlanEtablir

DoImplanter et exploiter

CheckContrôler et réviser

Exigences pour la sécurité de l’information

Gestion de la sécurité de l’information

ISO 27007Auditor guideline

ISO 27006Accreditation bodies

ISO 27004Measurements

ISO 27005Risk Management

� Exigences d'un Système de Management de la Sécurité de l’Information (SMSI) pour la définition et la mise en œuvre d’un processus de gestion de la sécurité du SI

� Approche basée sur les risques� Certification possible des SMSI par des

organismes tiers

réviser

� Clause 4 - Système de Management de la Sécurité de l’Information

� Clause 5 - Gestion des responsabilités� Clause 6 - Audits internes du SMSI � Clause 7 - Revues du SMSI� Clause 8 - Amélioration du SMSI

Processus de gestion et d’amélioration continuer de la sécurité de l’information

MÉTHODES D’ANALYSE DE RISQUE SSI

• Il existe un très grand nombre de méthodes d’analyse de risque SSI dans le monde (CRAMM, Octave, mesari, Mehari, EBIOS, …)

• Des normes comme ISO27005 ou ISO 31000 • Des normes comme ISO27005 ou ISO 31000 (management du risque) donnent un cadre

• Deux méthodes d’analyse de risques les plus utilisées en France dans le domaine de la santé• EBIOS de l ’ANSSI

• MEHARI du CLUSIF

PGSSI-S

Objectifs :

• « Définir les niveaux d’exigence, règles et moyens juridiques, organisationnels, techniques et humains nécessaires pour garantir la sécurité de l’information dans les secteurs santé et médico-social »

• « Au bénéfice des patients, des professionnels et des établissements de santé »

38

Principes fondateurs rédigés

ALORS, EN CONCLUSION ?

De l’information – Tout le mondeDe la formation – RSSI, référentsDe l’usage conscient – Tout le mondeDe la méthode – Institutionnels et AgencesDes pratiques à faire évoluer, donc de la conduite du changement – Tout le monde

Pas de peur, de la vigilance et de l’usage de connaissances !

MERCI BEAUCOUP DE VOTRE ATTENTION

39