La sécurité du système d’information des établissements de ... ?· La sécurité du système d’information…

Download La sécurité du système d’information des établissements de ... ?· La sécurité du système d’information…

Post on 12-Sep-2018

212 views

Category:

Documents

0 download

TRANSCRIPT

<ul><li><p>La scurit du systme dinformationdes tablissements de sant</p><p>Cdric CARTAU</p><p>2012PRESSES DE LCOLE DES HAUTES TUDES EN SANT PUBLIQUE</p><p>Cartau.indb 1Cartau.indb 1 23/04/12 16:2123/04/12 16:21</p></li><li><p>Principe de Sutton : si vous avez une ide, sachez que quelquun la dj eue avant vous.(Mme cette ide, je lai pique quelquun dautre.)</p><p>Cartau.indb 4Cartau.indb 4 23/04/12 16:2123/04/12 16:21</p></li><li><p>Remerciements</p><p>Je remercie Philippe Peyret, directeur dhpital et enseignant lcole des hautes tudes en sant publique (EHESP), pour sa confi ance et son soutien dans ce projet.Je remercie galement mon diteur, Denis Couet, pour avoir cru en cetouvrage et apport ses rponses mes questionnements tout au long de la phase dcriture.Jai constat que les assistants ddition et les relecteurs sont rarement cits dans les remerciements dun ouvrage. Yann Thouault na pourtant pas mnag ses efforts dans la relecture de ces pages et ce titre je le remercie pour sa patience.</p><p>Cartau.indb 5Cartau.indb 5 23/04/12 16:2123/04/12 16:21</p></li><li><p>7</p><p>INTRODUCTION</p><p>La scurit du systme dinformation (SI) est un sujet rcent dans le monde de la sant. En tmoignent les manifestations et salons divers qui lui sont consacrs : les Assises de la scurit et des systmes dinformation 1, un modle du genre et certainement le plus prestigieux dentre eux, ne comportent une section ddie au monde hospitalier que depuis 2010. Le centre hospitalier du Mans accueillait, en 2011, le premier Congrs national sur la scurit des systmes dinformation de sant (SIS).</p><p>Limportance de cette thmatique rsulte de linformatisation croissante, voire galopante, du systme dinformation hospitalier (SIH) et de la dpendance organisationnelle quelle induit. En France, la presse relate rgulirement desprojets trs ambitieux de numrisation et donc dinformatisation dans desdomaines aussi varis que limagerie mdicale, le traitement du linge, lagolocalisation des patients dans un service durgences, larchivage des dossiers patient, etc. Or, si tout le monde saccorde sur le fait que linforma-tisation peut notablement amliorer les processus de prise en charge du patient, chacun garde en mmoire des incidents divers (virus informatique, incendie dans une salle technique informatique) qui ont parfois caus lirr-parable, comme pinal en 2006 2.</p><p>Cet ouvrage a pour objectif de prsenter les enjeux de la scurit du SI, ses procdures et ses mthodes dans les tablissements de sant, publics ou privs, et dans les tablissements mdico-sociaux, notamment :</p><p> la structure dune dmarche gnrale de prise en compte de la scurit du SI ;</p><p> la gouvernance gnrale de la dmarche scurit ; les grandes familles de technologies impliques ; les principaux aspects juridiques et jurisprudentiels ;</p><p>1. Voir le site des Assises (www.lesassisesdelasecurite.com).2. Surexposition de patients pendant un traitement de radiothrapie, due la modi fi cation </p><p>du paramtrage dun logiciel sans validation a priori (www.ladocumentationfrancaise.fr/rapports-publics/074000198/index.shtml).</p><p>Cartau.indb 7Cartau.indb 7 23/04/12 16:2123/04/12 16:21</p></li><li><p>La scurit du systme dinformation des tablissements de sant</p><p>8</p><p> les grands projets actuels touchant la scurit du SI ; certains aspects connexes (fi nancement, scurisation des projets, etc.).Le propos ne se limite pas la technique. Il ne sagit pas ici de dcrire </p><p>en dtail les dispositifs dantivirus, de clustering de serveurs ou de cryptage. Dans chacun de ces domaines, une bibliographie trs fournie est disponible 3 (la cryptologie, par exemple, pourrait occuper elle seule plusieurs dizaines de volumes). Il sagit au contraire dapporter une vision systmique de lascurit du SI dans le monde de la sant, en proposant aux managers des tablissements une dmarche structure et structurante, et en insistant surles points cls qui ncessitent une vigilance particulire, ainsi que sur les piges viter.</p><p>Ce livre intresse tous les acteurs du monde sanitaire lgitimement pr-occups par la conservation, la protection et la diffusion des informations individuelles de sant. Il sadresse plus particulirement aux :</p><p> chefs dtablissement ; mdecins responsables de linformation mdicale ; directeurs du systme dinformation (DSI) dsireux davoir une connais-</p><p>sance synthtique et systmique de la scurit du SI dans leur tablissement ; directeurs techniques attachs une direction du systme dinfor-</p><p>mation (DSI), nomms aussi responsables du systme dinformation (RSI) ou chefs de centre ;</p><p> qualiticiens qui souhaiteraient acqurir les connaissances relatives ce qui nest rien dautre que de la qualit dans le domaine des SI ;</p><p> responsables de la scurit du systme dinformation (RSSI) ; prestataires de services privs (socits de services en ingnierie </p><p>informatique, diteurs, constructeurs) et semi-publics (syndicats inter-hospitaliers, groupements de coopration sanitaire, etc.) qui souhaitent mieux comprendre les proccupations des tablissements de sant relatives la scurisation de leur SI.</p><p>Le chapitre 1 fi xe le cadre gnral de la scurit du SI, en retraant unebrve histoire de la discipline et en la positionnant face ses nou-veaux enjeux.</p><p>Dans le chapitre 2, nous exposons les fondamentaux : le modle OSI, ladistinction matrise douvrage et matrise duvre. Il y est aussi question de la thorie gnrale de la scurit du SI. Un court descriptif des corpus juridique et normatif y est galement prsent. Nous terminons par les fondamentaux de la cryptographie.</p><p>La gouvernance gnrale de la scurit des SI dans un tablissement (desant ou autre) fait lobjet du chapitre 3 : comment piloter lapproche scurit au regard des instances existantes et des organisations ? Nous yabordons galement le dcoupage gnral des projets en scurit du SI.</p><p>3. Une partie est cite dans la bibliographie en fi n douvrage.</p><p>Cartau.indb 8Cartau.indb 8 23/04/12 16:2123/04/12 16:21</p></li><li><p>Introduction</p><p>Le chapitre 4 aborde la mise en place dune dmarche structure de type ISO dans le domaine de la scurit du SI.</p><p>Le chapitre 5 dcrit les sept grands projets en scurit du SI : les plans de continuit et de reprise dactivit (PCA-PRA), le projet Identity Access Management (IAM), la sauvegarde, le bloc daccs, la scurisation du parc, la gestion des traces, la mise en uvre dune activit dhbergement.</p><p>Enfi n, nous abordons dans les chapitres 6 et 7 les aspects fi nanciers et des domaines connexes de la scurit du SI (la scurisation des achats, la scurisation du mode projet).</p><p>Cartau.indb 9Cartau.indb 9 23/04/12 16:2123/04/12 16:21</p></li><li><p>11</p><p>1.1. La rvolution informatique pour les gens presss</p><p>1.1.1. Lre prcambrienne</p><p>Toutes les disciplines scientifi ques connaissent des rvolutions majeures : Pythagore et la racine carre de 2, Galois et la thorie des ensembles pourles mathmatiques, Newton et la pomme, Einstein et la relativit pour laphysique Linformatique est une discipline jeune elle na tout au plus que 70ans, et sans rentrer dans des dbats dexperts, on peut considrer quune de ses rvolutions majeures est sans conteste lapparition du Personal Computer (PC) en 1981, et surtout de linformatique ouverte juste ensuite.</p><p>Avant cette date, linformatique de lpoque tait un monde feutr oquelques socits mastodontes rgnaient en matre sur un march tota-lement captif.</p><p>Ces socits ne vendaient pas des matriels et des logiciels (la premire facturation spare dun logiciel date du milieu des annes 1960), mais dessystmes complets censs effectuer les oprations complexes : la paie, la gestion conomique, la facturation. Les quipes dIBM (souvent) dbar-quaient alors chez lheureux client ayant eu la chance (et les moyens) dacqurir son informatique, et mettaient en place la fois les mainframes 1 et les terminaux, dveloppaient et adaptaient des logiciels en COBOL, enFORTRAN 2, sous des systmes de fi chiers ISAM (lanctre des bases de donnes relationnelles).</p><p>1. Gros ordinateurs de la taille dune armoire normande. Le secteur bancaire et lescompagnies dassurances utilisent encore massivement ce genre dinformatique, assurant ainsi des entreprises telles quIBM une confortable rente de situation.</p><p>2. Langages de programmation anciens. Le FORTRAN, apparu dans les annes 1950, est le premier langage compil de lhistoire informatique. Le COBOL est un langage plus rcent, qui continue de faire tourner une grande partie des logiciels en fonction-nement dans le monde.</p><p>CHAPITRE </p><p>Cadre gnral de la scuritdu systme dinformation</p><p>Cartau.indb 11Cartau.indb 11 23/04/12 16:2123/04/12 16:21</p></li><li><p>La scurit du systme dinformation des tablissements de sant</p><p>12</p><p>Les systmes en question taient constitus, pour la partie hardware (matriel) de mainframe, sorte dnormes serveurs, et pour la partie software (logiciel) de logiciels conus et crits dans des langages propritaires. Horsde question de remettre en comptition son fournisseur sur le logiciel : leclient tait pieds et poings lis pour toute la dure de vie de son infor-matique. IBM ne fonctionnait quavec IBM, Bull quavec Bull, Digital quavec Digital.</p><p>Peu de pannes de rseau : les rseaux de lpoque fonctionnaient eux aussi dans des protocoles propritaires et quipaient dabord le service informatique (jusque dans les annes 1960) puis les services administratifs avec lapparition des terminaux passifs quelques annes plus tard.</p><p> nous qui sommes habitus voir des ordinateurs sur tous les bureaux, cest une poque qui nous semble lointaine. Mais il faut se souvenir quavant lapparition massive des modles transactionnels, il ny avait pas de termi-naux la disposition de lutilisateur. La seule interface possible entre unmainframe et les services mtier (comptabilit, paie, etc.) tait de passer par le guichet informatique, qui prenait en compte votre demande (parfois), rentrait les donnes dans le mainframe (sous la forme de cartes perfores ou laide de terminaux spciaux ddis). Lorsque le mainframe avait termin les travaux prcdents, il excutait la tche ncessaire votre demande et rendait le rsultat sur des imprimantes bruyantes.</p><p>VOLUTION OU RVOLUTION ?</p><p>Une exprience intressante consiste demander une assemble dtudiants de citerlinvention (au sens de nouveaut ) la plus rcente en informatique. Ilest rarequils arrivent trouver quelque chose de plus rcent que linvention du Web (1994, Tim Berners-Lee).</p><p>Contrairement une ide largement rpandue, il y a peu de vritables nouveauts eninformatique. La plupart du temps, le march recycle des concepts anciens et les remet au got du jour : les bases de donnes relationnelles ont t inventes en 1970, le client-serveur la fi n des annes 1980, les langages de programmation compils audbut des annes 1950.</p><p>Le primtre du SI se limitait souvent aux trois applications de base : gestion des ressources humaines (GRH), gestion conomique et finan-cire(GEF) et gestion administrative.</p><p>La scurit du SI de lpoque se rsumait deux proccupations : sassurer que les logiciels tournant sur les mainframes taient le plus </p><p>possible exempts de bugs majeurs ; sassurer que les mainframes avaient des composants suffi samment </p><p>redondants (disques durs, alimentation, etc.) pour ne tomber que trs rare-ment en panne et atteindre ainsi le Graal de la disponibilit (99,999 %, soit environ 5min darrt cumules par an).</p><p>Cartau.indb 12Cartau.indb 12 23/04/12 16:2123/04/12 16:21</p></li><li><p>Chapitre 1. Cadre gnral de la scurit du systme dinformation </p><p>13</p><p>Point de virus (les premiers recenss datent du dbut des annes 1970), de malware et autres troyan dans ce monde prcambrien. Point de hoax, dephishing et autres attaques par ingnierie sociale 3 il faut dire que lesterminaux passifs de lpoque avaient autant dintelligence quune amibe unicellulaire.</p><p>De temps en temps, la presse spcialise ressort des numros anniver-saire dans lesquels on peut quelquefois lire les dclarations fracassantes et visionnaires de certains gourous ou PDG de socits informatiques dilya quelques dcennies. On apprend ainsi que le PDG dIBM dans les annes 1960 avait publiquement affi rm quil ny aurait dans le monde un march que pour 10 ordinateurs tout au plus , et que Bill Gates (ancien PDG et fondateur de Microsoft), vers le milieu des annes 1980, considrait que sur un PC la prsence de 640 Ko de mmoire vive serait plus que suffi sante.</p><p>1.1.2. Linformatique ouverte</p><p>Lapparition du PC a vritablement boulevers la donne. Dune part, lecot des matriels a considrablement chut, du fait de la baisse structu-relle du cot des composants de base (mmoire, disques durs, processeurs). Dautre part, les matriels ont pu tre assembls par beaucoup de nouvelles socits pourvu que des spcifi cations techniques de connexion et dint-gration soient respectes. Cest la grande ide du PC : si le matriel est capable de sinterfacer avec un composant logiciel de bas niveau (le Basic Input Output System ou BIOS : ce fameux cran de paramtrage dans lequel on peut entrer en tapant sur une des touches de fonction de son PC au moment du dmarrage), nimporte qui peut assembler un PC et le revendre. Dautre part (et cest la consquence logique de la concurrence dans le sec-teur de la production de matriel), certaines socits se sont spcialises dans la production de logiciels pour les clients fi naux, quils soient parti-culiers ou entreprises.</p><p>La concurrence naissante et effrne a t dans ce domaine un accl-rateur de la baisse des prix. Il est toujours amusant de discuter avec un ancien ayant connu lpoque bnie des mainframes, priode quil voque non sans motion en pensant aux marges commerciales normes et aux clients captifs, aux voitures de fonction et leurs siges en cuir, et aux repas dans des restaurants haut de gamme avec les PDG de leurs meilleurs clients.</p><p>Attention, cela signifi e que le ticket dentre a fortement baiss, mais pas que linformatique est devenue meilleur march. En effet, pour le client de lpoque, tout le bnfi ce du choix de mainframes tait de pouvoir sap-puyer sur un fournisseur qui matrisait toute la chane technique, depuis </p><p>3. Attaques informatiques courantes visant pour certaines prendre le contrle dun ordinateur.</p><p>Cartau.indb 13Cartau.indb 13 23/04/12 16:2123/04/12 16:21</p></li><li><p>La scurit du systme dinformation des tablissements de sant</p><p>14</p><p>la machine quil fabriquait lui-mme jusquaux logiciels quil crivait lui-mme et qui tournaient sur ses propres matriels. La charge dintgration et le risque tait alors entirement supporte par le fournisseur.</p><p>Cette dualit existe toujours. Le monde des PC est un monde ouvert dans lequel vous avez le choix de la marque de votre machine, le choix devotre systme dexploitation (Operating System ou OS) et le choix des logiciels. Les tarifs sont trs serrs, mais cest au prix de quelques petits soucis (certes moins nombreux quil y a quelques annes) dassemblage de votre systme, de compatibilit (carte vido, imprimante externe et ses drivers, etc.). A contrario, le monde Apple est un monde totalement ferm : le mme constructeur matrise toute la chane depuis le matriel (choix limit de processeurs et de cartes vido), lOS (Mac OS X) et les drivers. Leprix est en gnral un peu plus lev que son quivalent dans le mondePC (20 % environ), mais avec le bnfi ce dune machine stable. Le choix des logiciels est par contre plus limit.</p><p>1....</p></li></ul>

Recommended

View more >