Point de situation cybersécurité« Santé »

………………………………………………………………………………………………………………………………………………………..….….………………………………………………………………………………………………………………………………………………………..

.…

.…

.…Information

………………………………………………………………………………………………………………………………………………………..….….………………………………………………………………………………………………………………………………………………………..

.…

.…

.…Définition – Système d’information

3 Elaborer

Détruire

Stocker

Traiter

Acheminer

Virus

MdP SIHtraitement SCADA€

dossier

PrésenterPatient

€

Ensemble des moyens humains et matériels ayant pour finalité

………………………………………………………………………………………………………………………………………………………..….….………………………………………………………………………………………………………………………………………………………..

.…

.…

.…Complexification des SI

4

………………………………………………………………………………………………………………………………………………………..….….………………………………………………………………………………………………………………………………………………………..

.…

.…

.…SI en santé (ES/EMS)

SIH DM

GTB

OC

GTC

@

Risque IT

• Gestion approximative des actifs IT

• Multiples failles de sécurité

• Comportements et usages déviants

• Hétérogénéité des versions des logiciels

• Indisponibilité et mauvaise performance

Risque métier

• Non-interopérabilité des SI cliniques

• Fiabilité altérée des diagnostics

• Fuite de données, données corrompues

• Efficience des procédures

Risque légal

• Obligations légales non respectées

• Double saisie du PMSI

• Gestion budgétaire altérée

• Déploiement CPS non contrôlé

SIS : problématique

Maîtrise des risques IT,

Métier, Légaux

ConformitéIntégrité

Supervision

………………………………………………………………………………………………………………………………………………………..….….………………………………………………………………………………………………………………………………………………………..

.…

.…

.…Organisation SSI

• la loi n°2013-1168 du 18 décembre 2013, « le Premier ministre définit la politique et coordonne l’action gouvernementale en matière de sécurité et de défense des systèmes d’information.

• La sécurité de l’information relève des responsabilités propres à chaque ministre dans le domaine dont il a la charge. Il est assisté par un haut fonctionnaire de défense et de sécurité (HFDS) dont les attributions sont fixées par le code de la défense. Le HFDS relève directement du ministre et dispose d’un service spécialisé.

• Un fonctionnaire de sécurité des systèmes d’information (FSSI) est désigné par le ministre et généralement placé sous l’autorité du HFDS. Il anime la politique de sécurité des systèmes d’information et en contrôle l’application.

Chaîne fonctionnelle de la Sécurité des Systèmes d’Information (SSI)

• AQSSI (Autorité Qualifiée de Sécurité des Systèmes d’Information), qui est l’autorité hiérarchique (la personne juridiquement responsable)

• Le RSSI désigné par l’AQSSI qui leur remet une « lettre de mission » explicitant leurs attributions. Le RSSI étant un maillon important de la chaîne fonctionnelle SSI, sa désignation doit faire l’objet d’une attention particulière

………………………………………………………………………………………………………………………………………………………..….….………………………………………………………………………………………………………………………………………………………..

.…

.…

.…Une réalité

Nb Incidents traités sur 2 mois

Santé

Travail

Sports66%

34%

Du 01/01/15 au 11/02/15 (Santé)

Incidents

Attaques

11 %

89%

bloquées

réussies

Attaques

8041

14

………………………………………………………………………………………………………………………………………………………..….….………………………………………………………………………………………………………………………………………………………..

.…

.…

.…anecdotes qui mériteraient une conférence.

• Les grandes catastrophes auraient pour la plupart pu être évitées par des solutions et procédures contrôlées simples :

• Plate forme pétrolière BP :– le système de sécurité de la vanne avait été désactivé, car générant trop de

faux positifs

• Société Générale Kerviel :– le trader était aussi le concepteur de l’outil de trading

• Fukushima :– Les ingénieurs étaient persuadés que la pompe de refroidissement était

ouverte

• Le virus Stuxnet :– utilisait le mot de passe par défaut des équipements Siemens

• Drame du Hesel :– par manque de contrôles un trop grand nombre de spectateurs sans billets

assistent au match

Et dans la santé…

………………………………………………………………………………………………………………………………………………………..….….………………………………………………………………………………………………………………………………………………………..

.…

.…

.…De multiples points d’entrée

• responsabilité d’un tiers / prestataire• smartphone/tablette/USB• systèmes hétérogènes / MCS• malveillances• déviances par rapport aux protocoles• erreurs humaines• mauvaise organisation

173,5 jours

Qui prennent de l’ampleur à cause de détections tardives :

Mobilisation de 20 à 150 jours / hommes

………………………………………………………………………………………………………………………………………………………..….….………………………………………………………………………………………………………………………………………………………..

.…

.…

.…Résultats

• Fichiers perdus• Induction d’erreurs• Ralentissement / Interruption des missions / perte de chances

– Incident délétère pour les patients

• Facteur de coûts directs et indirects :

– 5 000€ (EHPAD) <Surfacturation téléphonique<40 000€ (CH)

– 2j/h <Intervention <36j/h

– Mise à niveau à prévoir (organisationnelle et technique)

– Potentiellement un risque juridique fort (SI non conformes, fuites de données personnelles…)

Il est urgent de maîtriser les risques induits par les systèmes d’information et leur utilisation pour réduire les risques métiers et ainsi les risques légaux.

………………………………………………………………………………………………………………………………………………………..….….………………………………………………………………………………………………………………………………………………………..

.…

.…

.…Incident

Mineur **

Majeur

Critique

Fonctionnement normal *

* SI MCO et MCS en œuvre**En matière de SSI se méfier des élément considérés comme mineurs Cf. Cryptovirus

………………………………………………………………………………………………………………………………………………………..….….………………………………………………………………………………………………………………………………………………………..

.…

.…

.…Gestion des évènements SSI

Détection d’un incident

Alerte

Analyse

Qualification

Traitement / Appui

Capitalisation

Tout agent

Resp de proximité, AQSSI, sécu opér. FSSI

Resp de proximité, AQSSI, sécu opér. FSSI

AQSSI, sécu opér. FSSI

Cellule de crise / FSSI

Capitalisation

Alerte Autre Org.

………………………………………………………………………………………………………………………………………………………..….….………………………………………………………………………………………………………………………………………………………..

.…

.…

.… Constat

90% desincidents sont

de sourcesinternes

20% de mesuresadéquates de base

réglent 80% desproblèmes

La sécurité n’estpas un problème

de moyens mais degouvernance, decompétences etd’appropriation

………………………………………………………………………………………………………………………………………………………..….….………………………………………………………………………………………………………………………………………………………..

.…

.…

.…AQSSI

ARRÊTÉ DU 12 JUIN 2011 :

Désigne les AQSSI (autoritésqualifiées pour la sécurité dessystèmes d’information )

• rappelle leurs responsabilités

• décrit leurs obligations

C’est le responsable (juridique),pour sa structure, de la sécurité dessystèmes d'information est le D.G. Saresponsabilité en la matière ne peutêtre déléguée.

Il s’assure, à ce titre, del’application des instructionsministérielles sous l’autorité du hautfonctionnaire de défense et desécurité.

………………………………………………………………………………………………………………………………………………………..….….………………………………………………………………………………………………………………………………………………………..

.…

.…

.…Rôle de l’AQSSI

•Opérationnel• Sponsor

• Pilotage• Stratégique

Porter la stratégie de sécurité

Organiser et contrôler le

déploiement de la Politique de

Sécurité (PSSI).

S’assurer de l’efficience des

actions de sécurité

Permettre aux intervenants en

charge de cybersécurité

d’accomplir leur mission et les

appuyer

………………………………………………………………………………………………………………………………………………………..….….………………………………………………………………………………………………………………………………………………………..

.…

.…

.…PSSIE - RGS

Chaque entité met en place un dispositif de gestion des risques pour ses systèmes

d’information. Ce dispositif doit permettre une meilleure maîtrise de la sécurité des SI par

la mise en œuvre de mesures de protection proportionnées aux enjeux et en adéquation

avec les risques encourus.

Dans ce but, chaque entité :

•Met en place une organisation en application de la PSSIE

•Etablit un inventaire de ses SI et en évalue la sensibilité

•Conduit une analyse de risques pour ses SI, selon la méthode préconisée par le RGS et

met en place des mesures de sécurité applicables

•Conduit des actions de motivation : sensibilisation et formation à la SSI, communication

claires des sanctions encourues (Charte)

•Conduit des actions régulières de contrôle du niveau de sécurité de ses SI et met en

œuvre des actions correctives

•Met en place les processus lui permettant de faire face aux alertes, aux incidents de

sécurité et aux situations d’urgence

………………………………………………………………………………………………………………………………………………………..….….………………………………………………………………………………………………………………………………………………………..

.…

.…

.…Sur l’ensemble des MCAS

………………………………………………………………………………………………………………………………………………………..….….………………………………………………………………………………………………………………………………………………………..

.…

.…

.…Réglementation

Administrations de l’État Secteur privéCitoyen

Ministère

Ministère

établissements publics sous

tutelle

Services déconcentrés

RGS PSSI E

…

………………………………………………………………………………………………………………………………………………………..….….………………………………………………………………………………………………………………………………………………………..

.…

.…

.…OBJECTIF : LA JUSTE SÉCURITÉ

• Trop de sécurité nuit à la sécurité– À tout interdire, le risque est multiplié et imprévisible

(contournements)

– Sécuriser a un coût, ne gaspillons pas l’argent public (protégerce qui doit l’être, à sa juste valeur)

• Pas de sécurité nuit à la sécurité– Supposer que chacun est conscient des risques est un pari osé

– Penser que le SI n’intéresse personne est une hérésie

• Déterminer les niveaux de risques pour chaquepérimètre du SI

………………………………………………………………………………………………………………………………………………………..….….………………………………………………………………………………………………………………………………………………………..

.…

.…

.…

Chaîne d’alerte CyberPlus l’information circule, plus elle crée de la valeur

Ne pas avoir honte de s’être fait pirater,

Le voir est une marque d ’un système bien géré !

Si de surcroît vous

faites« remonter » l’information,

vous rendez service àtoute la communauté

………………………………………………………………………………………………………………………………………………………..….….………………………………………………………………………………………………………………………………………………………..

.…

.…

.…Et au-delà ?

22

Faites-vous encore confiance en vos systèmes d’information de

santé ?

Thank you for being so …

… patient