Conférence #nwxtech2 : Sécurisation des serveurs Web par David Huré
Identification des menances portant sur les données
1. Hébergement de données de santé à caractère personnel Référentiel des menaces 1- Continuité de service 2- Confidentialité des données Limites et contraintes
2. Référentiel des types de menaces1 – continuité de service Disfonctionnement d’un poste de travail Disfonctionnement d’un composant réseau local Disfonctionnement d’une liaison telecom Disfonctionnement d’un composant réseau sur le site d’hébergement Disfonctionnement d’un composant logiciel ou matériel d’un serveur Disfonctionnement d’un serveur Disfonctionnement d’un composant d’un SAN Disfonctionnement d’un SAN Disfonctionnement d’un DataCenter Disfonctionnement simultané des 2 DataCenter
3. Référentiel des types de menaces2 – confidentialité des données A) Accès via une application hébergée B) Accès à l’infrastructure hors service applicatif hébergé Tentative d’accès illicite du site en production par une personne externe au centre de soin et à Asplenium par une personne du centre de soin, Par un employé Asplenium Acte volontaire ou involontaire (tel que spyware, usurpation d’identité) Liste des points d’entrée au S.I. Tentative d’accès illicite pendant les périodes de tests récurrents de mise à l’épreuve des procédures de sécurité Tentative d’accès illicite en cas de sinistre Tentative d’accès aux sauvegardes Accès aux données lors de la rétrocession des données au centre de soin Accès aux supports magnétiques après usage même sur matériel reconnu comme hors service
4. Limites et contraintes Formulaire d’accord à faire signer par la personne concernée Information du personnel Respect de la vie privée (CNIL) Engagement de moyens