IoT, Sécurité et Santé: un cocktail détonnant ? 2016/03/15 – Aix-en-Provence
DELEGATION ISACA
AFAI SUD-EST
La Délégation S...
IoT, Sécurité et Santé: un cocktail détonnant ? 2016/03/15 – Aix-en-Provence
DELEGATION ISACA
AFAI SUD-ESTSOMMAIRE
1. Obje...
IoT, Sécurité et Santé: un cocktail détonnant ? 2016/03/15 – Aix-en-Provence
DELEGATION ISACA
AFAI SUD-EST
1. Objets conne...
IoT, Sécurité et Santé: un cocktail détonnant ? 2016/03/15 – Aix-en-Provence
DELEGATION ISACA
AFAI SUD-EST1. Objets connec...
IoT, Sécurité et Santé: un cocktail détonnant ? 2016/03/15 – Aix-en-Provence
DELEGATION ISACA
AFAI SUD-EST1. Objets connec...
IoT, Sécurité et Santé: un cocktail détonnant ? 2016/03/15 – Aix-en-Provence
DELEGATION ISACA
AFAI SUD-EST1. Objets connec...
IoT, Sécurité et Santé: un cocktail détonnant ? 2016/03/15 – Aix-en-Provence
DELEGATION ISACA
AFAI SUD-EST1. Objets connec...
IoT, Sécurité et Santé: un cocktail détonnant ? 2016/03/15 – Aix-en-Provence
DELEGATION ISACA
AFAI SUD-EST1. Objets connec...
IoT, Sécurité et Santé: un cocktail détonnant ? 2016/03/15 – Aix-en-Provence
DELEGATION ISACA
AFAI SUD-EST
1. Objets conne...
IoT, Sécurité et Santé: un cocktail détonnant ? 2016/03/15 – Aix-en-Provence
DELEGATION ISACA
AFAI SUD-EST1. Objets connec...
IoT, Sécurité et Santé: un cocktail détonnant ? 2016/03/15 – Aix-en-Provence
DELEGATION ISACA
AFAI SUD-EST1. Objets connec...
IoT, Sécurité et Santé: un cocktail détonnant ? 2016/03/15 – Aix-en-Provence
DELEGATION ISACA
AFAI SUD-EST1. Objets connec...
IoT, Sécurité et Santé: un cocktail détonnant ? 2016/03/15 – Aix-en-Provence
DELEGATION ISACA
AFAI SUD-EST1. Objets connec...
IoT, Sécurité et Santé: un cocktail détonnant ? 2016/03/15 – Aix-en-Provence
DELEGATION ISACA
AFAI SUD-EST1. Objets connec...
IoT, Sécurité et Santé: un cocktail détonnant ? 2016/03/15 – Aix-en-Provence
DELEGATION ISACA
AFAI SUD-EST1. Objets connec...
IoT, Sécurité et Santé: un cocktail détonnant ? 2016/03/15 – Aix-en-Provence
DELEGATION ISACA
AFAI SUD-EST
2. Objets conne...
IoT, Sécurité et Santé: un cocktail détonnant ? 2016/03/15 – Aix-en-Provence
DELEGATION ISACA
AFAI SUD-EST2. Objets connec...
IoT, Sécurité et Santé: un cocktail détonnant ? 2016/03/15 – Aix-en-Provence
DELEGATION ISACA
AFAI SUD-EST2. Objets connec...
IoT, Sécurité et Santé: un cocktail détonnant ? 2016/03/15 – Aix-en-Provence
DELEGATION ISACA
AFAI SUD-EST
2. Objets conne...
IoT, Sécurité et Santé: un cocktail détonnant ? 2016/03/15 – Aix-en-Provence
DELEGATION ISACA
AFAI SUD-EST2. Objets connec...
IoT, Sécurité et Santé: un cocktail détonnant ? 2016/03/15 – Aix-en-Provence
DELEGATION ISACA
AFAI SUD-EST
2. Objets conne...
IoT, Sécurité et Santé: un cocktail détonnant ? 2016/03/15 – Aix-en-Provence
DELEGATION ISACA
AFAI SUD-EST2. Objets connec...
IoT, Sécurité et Santé: un cocktail détonnant ? 2016/03/15 – Aix-en-Provence
DELEGATION ISACA
AFAI SUD-EST2. Objets connec...
IoT, Sécurité et Santé: un cocktail détonnant ? 2016/03/15 – Aix-en-Provence
DELEGATION ISACA
AFAI SUD-EST
CONCLUSION & EC...
IoT, Sécurité et Santé: un cocktail détonnant ? 2016/03/15 – Aix-en-Provence
DELEGATION ISACA
AFAI SUD-EST1. Pratique et C...
Prochain SlideShare
Chargement dans…5
×

IoT, Sécurité et Santé: un cocktail détonnant ?

423 vues

Publié le

IoT, Sécurité et Santé: un cocktail détonnant ?

Publié dans : Technologie
0 commentaire
3 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
423
Sur SlideShare
0
Issues des intégrations
0
Intégrations
5
Actions
Partages
0
Téléchargements
29
Commentaires
0
J’aime
3
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

IoT, Sécurité et Santé: un cocktail détonnant ?

  1. 1. IoT, Sécurité et Santé: un cocktail détonnant ? 2016/03/15 – Aix-en-Provence DELEGATION ISACA AFAI SUD-EST La Délégation Sud-Est de L’ISACA/AFAI vous a invité à participer à une conférence : IoT, Sécurité et Santé: un cocktail détonnant ? Mardi 15 mars 2016, 18h30, Institut Supérieur des Sciences de Gestion, Aix-en-Provence Cette conférence animée par M. Frédéric VILANOVA, CISA, dirigeant d’EFFECTIVE YELLOW qui nous présente les recommandations de l'ISACA relatives aux IoTs (Internet of Things – Objets Connectés). M. Edmond CISSE, Security Risk Manager, URAEUS CONSULT, partage avec nous sa vision prospective des risques de sécurité liés à l'usage d’objets connectés dans le domaine de la santé. Mardi 15 mars 2015 18h30/20h - Aix-en-Provence - Faculté d’Economie et Gestion , 3 av. Robert Schuman M. Jean-Yves OBERLE, Délégué régional AFAI Sud-Est clôturera la conférence en présentant la dynamique de l’association et ses projets pour 2016. Un cocktail dinatoire vous sera ensuite proposé.
  2. 2. IoT, Sécurité et Santé: un cocktail détonnant ? 2016/03/15 – Aix-en-Provence DELEGATION ISACA AFAI SUD-ESTSOMMAIRE 1. Objets connectés et recommandations de l’ISACA M. Frederic VILANOVA 20 minutes 2. Objets connectés, Sécurité et Santé M. Edmond CISSE 20 minutes Conclusion & Echanges
  3. 3. IoT, Sécurité et Santé: un cocktail détonnant ? 2016/03/15 – Aix-en-Provence DELEGATION ISACA AFAI SUD-EST 1. Objets connectés et recommandations de l’ISACA 1.1 Définir l’objet connecté et sa proposition de valeur 1.2 Points à considérer en pratique 1. Objets connectés et recommandations de l’ISACA
  4. 4. IoT, Sécurité et Santé: un cocktail détonnant ? 2016/03/15 – Aix-en-Provence DELEGATION ISACA AFAI SUD-EST1. Objets connectés et recommandations de l’ISACA 1.1 Définir l’objet connecté et sa proposition de valeur Quid? « L’internet des objets est un réseau de réseaux qui permet, via des systèmes d’identification électronique normalisés et unifiés, et des dispositifs mobiles sans fil, d’identifier directement et sans ambiguïté des entités numériques et des objets physiques et ainsi de pouvoir récupérer, stocker, transférer et traiter, sans discontinuité entre les mondes physiques et virtuels, les données s’y rattachant. » source : L’Internet des objets de Pierre-Jean Benghozi, Sylvain Bureau et Françoise Massit-Folléa (Edition MSH) Types de Systèmes Identification (dont lecteurs) Capteurs Connexion Intégration Traitement des données Réseaux ENJEUX Reconnaitre chaque objet unique Recueillir les données du niveau objet Recueillir les informations présentes dans l’environnement pour enrichir les fonctionnalités du dispositif Connecter les systèmes entre eux Intégrer les systèmes pour que les données soient transmises d’une couche à l’autre Stocker et analyser les données pour lancer des actions ou pour aider à la prise de décisions. Transférer les données dans les mondes physiques et virtuels. OLD TECHNO Code barres, RFID basique… Thermomètre, hydromètre… Câbles… Middlewares Excel, ERP, CRM… Internet, Ethernet… NEW TECHNO RFID complexe, Surface Acoustic Waves, puces optiques, ADN empreinte génétique… Capteurs miniaturisés, Nanotechnologies … Bluetooth, Near Field Communi cation, Wifi, Lifi (Led)… Middlewares évolués Datawarehouse 3D (compatible puces RFID), Web sémantique (formatage via Resource Description Framework) Réseau ECP global…
  5. 5. IoT, Sécurité et Santé: un cocktail détonnant ? 2016/03/15 – Aix-en-Provence DELEGATION ISACA AFAI SUD-EST1. Objets connectés et recommandations de l’ISACA 1.1 Définir l’objet connecté et sa proposition de valeur IOT Fonctionnement Schématique Transmission Mbed Device Server Big Data Acquisition des données Capteurs (portables, non portables), informatique embarquée Embeded Operating System, Embeded Application (ARM) =« boite noire » applicative pré-chargée dans l’objet connecté. Transmission des données EnOcean, NFC Bluetooth, Wi-Fi, Weightless, GSM, 3G, 4G LTE, ANT, Dash7, Ethernet, GPRS, PLC / Powerline, QR Codes, EPC WiMax, X-10, 802.15.4, Z- Wave, Zigbee… Plateformes fédératives ETSI M2M… Standard ETSI M2M est une initiative européenne qui a pour objectif de normaliser les fonctions des objets connectés de façon à rendre les applications indépendantes des capteurs. Exemples : Plateforme Thingpark , LPWAN Low Power Wide Area Network: - Réseau SIGFOX http://makers.sigfox.com/ - Réseau LORA https://www.lora-alliance.org/What-Is-LoRa/Technology Analyse des données Logiciels, Applications, Middleware Frameworks, Plateformes, Infrastructures Exemple: Microsoft Azure IOT Platform Little Data mbed Os
  6. 6. IoT, Sécurité et Santé: un cocktail détonnant ? 2016/03/15 – Aix-en-Provence DELEGATION ISACA AFAI SUD-EST1. Objets connectés et recommandations de l’ISACA 1.1 Définir l’objet connecté et sa proposition de valeur IOT Fonctionnement Schématique (complément) Maintenance « live » et protocole M2M Il faut songer à l’interopérabilité M2M IOT (Machine to Machine) de façon industrielle… Par exemple mettre en place des protocoles d’interopérabilité permettant notamment un accusé de réception qui soit juridiquement valide et opérationnel en situation de crise. Exemple: OPC Unified Architecture (OPC UA) - développé par l’Open Platform Communication Foundation, plus de trois ans de specifications, premier en 2006, norme actuelle = 1.02 - Support de la redondance (équipements critiques dédoublés, le second servant en cas de panne du premier) - Battement de Coeur pour connections bidirectionnelles:IOT et server contrôle mutuellement le fait qu’ils soient “vivants”, ou interrompus - Mise en buffer de données et aquittement des données transmises: les connexions perdues ne conduisent plus à des données perdues, on retourne chercher les blocs perdus. Little Data mbed Os Transmission Mbed Device Server Big Data
  7. 7. IoT, Sécurité et Santé: un cocktail détonnant ? 2016/03/15 – Aix-en-Provence DELEGATION ISACA AFAI SUD-EST1. Objets connectés et recommandations de l’ISACA 1.1 Définir l’objet connecté et sa proposition de valeur Business value proposition 2013: 9 milliards d’objets connectés dans le monde; 2014: 15 milliards; 2020: 80 milliards Etude Idate, 2013/09 l’Internet des Objets représente un marché dont l’unité est le millier de milliards de dollars. Entre 3 et 6 objets connectés en moyenne par personne: prédiction pour 2020. Contribution à la valeur ajoutée en % des objets connectés par secteurs en 2020 Mbed Device Server Big Data EtudeIdate,2013/09
  8. 8. IoT, Sécurité et Santé: un cocktail détonnant ? 2016/03/15 – Aix-en-Provence DELEGATION ISACA AFAI SUD-EST1. Objets connectés et recommandations de l’ISACA 1.1 Définir l’objet connecté et sa proposition de valeur Business value proposition Benefits - Prévenir mieux et suffisamment tôt - Inclure des services à haute valeur ajoutée - Faire évoluer les frontières entre le professionnel, le privé voire l’intime (santé). - Gérer l’énergie - Interopérer: applications diverses, objets connectés divers, réseaux variés... - Miniaturiser pour rendre mobile voire implanter… - Intégrer: multi-capteurs - Induire: Big Data, BI, Data Analysis - Protéger et Sécuriser: Privacy, Gouvernance des Données, Décision de l’acteur Concerns
  9. 9. IoT, Sécurité et Santé: un cocktail détonnant ? 2016/03/15 – Aix-en-Provence DELEGATION ISACA AFAI SUD-EST 1. Objets connectés et recommandations de l’ISACA 1.1 Définir l’objet connecté et sa proposition de valeur 1.2 Points à considérer en pratique 1. Objets connectés et recommandations de l’ISACA
  10. 10. IoT, Sécurité et Santé: un cocktail détonnant ? 2016/03/15 – Aix-en-Provence DELEGATION ISACA AFAI SUD-EST1. Objets connectés et recommandations de l’ISACA 1.2 Points à considérer en pratique Des dispositifs connectés utilisés de plus en plus et dans tous les domaines - Téléphone Mobile => Smartphone permettant d’accéder à des serveurs de données, GPS - Dispositifs médicaux (nous allons y revenir avec Edmond) - Dispositifs portables sportifs, intégrés aux vêtements ou non - Dispositifs intelligents destines à la maison et à la famille - Voitures intelligentes disposant d’un CAN (Controller Area Network), d’un CANbus et de capteurs variés Des constructeurs de dispositifs intelligents qui n’y incluent pas la sécurité - Start-Ups et PME font flores en IoT et la sécurité ou la confidentialité des données n’est ps leur premier soucis industriel et commercial - Recours à la Programmation Agile sans se plier aux bonnes pratiques de conception sécurisée et sans suffisament de rigueur lors des tests. - Souvent pas de sécurité intégrée à la construction (“built-security”) - Accès à distance aux IoTs via une plateforme logicielle sur internet… Emergence du NoAT (Network of All Things)
  11. 11. IoT, Sécurité et Santé: un cocktail détonnant ? 2016/03/15 – Aix-en-Provence DELEGATION ISACA AFAI SUD-EST1. Objets connectés et recommandations de l’ISACA 1.2 Points à considérer en pratique Rien de grave ne peut survenir avec les objects connectés en matière de sécurité ou de confidentialité - Faux, le plus souvent il existe des chemins d’accès bien autres que le point d’accès normal au dispositif. L’étude de tous les accès permet de comprendre les risques en sécurité, confidentialité et sureté Addresser la sécurité et la protection de la vie privée tue l’innovation - Faux, au contraire, le public souhaite être protégé dans l’usage des dispositifs innovants. La sécurité et la confidentialité doivent être des standards industriels. Faux arguments contre les contrôles de sécurité et de confidentialité La sécurité est trop chère pour être incorporée au dispositif - Faux, il s’agit d’un choix industriel et stratégique: à gros traits “soit on investit en sécurité, soit on investit en marketing”, selon le dosage choisi, le risqué peut être très fort… La protection de la vie privée ne peut pas être incorporée au dispositif - Faux, voir l’ISACA Privacy Principles and Program Management Guide Les consommateurs n’ont cure de la protection de la vie privée - Faux, les consommateurs souhaitent disposer de contrôles intégrés au dispositif connecté 7 catégories de notre vie privée Privacy of the person Privacy of behaviour and actions Privacy of communication Privacy of association Privacy of data and image (information) Privacy of thoughts and feelings Privacy of location and space (territorial)
  12. 12. IoT, Sécurité et Santé: un cocktail détonnant ? 2016/03/15 – Aix-en-Provence DELEGATION ISACA AFAI SUD-EST1. Objets connectés et recommandations de l’ISACA 1.2 Points à considérer en pratique - Les objets connectés se comportent comme des collecteurs de donnée, des agents de stockage, des agents de traitement, des agents serveurs, des chemin d’accès entre dispositifs… - Le risqué associé avec chaque dispositif pour chacun de ces types d’action doit être analysé, notamment en matière d’impact sur la vie privée, et mitigé. Les micropuces disposent de capacités de stockage croissantes Les IoTs, les dispositifs connectés, doivent intégrer sécurité et protection de la vie privée  il faut les protéger et les effacer lorsque l’on n’en a plus besoin  Les données collectées doivent se limiter au strict objectif d’usage du dispositif (ex: reconnaissance biométrique) Beaucoup de dispositifs connectés sont contrôlés par des Apps qui ont elle-mêmes beaucoup de vunérabilités en sécurité et en protection de la vie privée… Beaucoup de contrôles sont intégrés au dispositif sur la base d’anciens risques qui ne comprenaient par ceux issus des nouvelles interfaces d’utilisation. - Le recours à des contrôles en fonction du lieu peut être très pertinent pour sécuriser un dispositif connecté… - Il y a peu de lois qui portent sur la sécurité et de la protection de la vie privée en cas d’usage d’objets connectés => ceci empêche d’intégrer par défaut la sécurité et la confidentialité - Enquête ISACA IoT Risk and Value considerations (USA 2015): 49% des interrogés pensent les IoTs comme vecteurs de menace, 25% sont concernés par le risque de non protection de la vie privée
  13. 13. IoT, Sécurité et Santé: un cocktail détonnant ? 2016/03/15 – Aix-en-Provence DELEGATION ISACA AFAI SUD-EST1. Objets connectés et recommandations de l’ISACA 1.2 Points à considérer en pratique Points de vigilance - Donner à quelqu’un le rôle et la responsabilité de manager les développements IoTS - Suivre les standards émergeants IEEE Privacy and Security architecture for Consumer Wireless Devices WorkingGroup (Juillet 2015) https://standards.ieee.org/develop/wg/P1912_WG.html Open Web Application Security Project (OWASP) https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project NIST Engineering Laboratory CPS PWG (CyberPhysical Systems Public Working Group) http://www.nist.gov/cps/cps- pwg-workshop.cfm - Intégrer des contrôles de sécurité et de confidentialité dès la conception l’IoT et dans sa fabrication. Utiliser des concepts de sécurité valables longtemps et au-delà de l’Iot (SI) - Intégrer une authentification forte (pas une simple adresse Ip), obliger à changer le mot de passer pour le premier démarrage - Crypter les données transmises en Wifi / Lifi mais aussi celles qui sont stockées dans l’IoT - Log des accès à l’IoT - Intégrer un antivirus (antimalware) dans l’IoT - Protéger les points d’entrée (contre les scans de port et outils de penetration) - Maintenir l’IoT à jour (appliquer les patches) - Sécuriser le perimetre de l’IoT (Apps, Cloud…) - Observer les tierces parties (qui supportent l’IoT ou son écosystème, App, Cloud…) - Considérer les problèmes de vie privée et de sûreté - Etablir des règles spécifiques pour les dispositifs IoTs et leurs frontiètes (règles à intégrer à la construction de l’IoT)
  14. 14. IoT, Sécurité et Santé: un cocktail détonnant ? 2016/03/15 – Aix-en-Provence DELEGATION ISACA AFAI SUD-EST1. Objets connectés et recommandations de l’ISACA 1.2 Points à considérer en pratique Une passerelle est un dispositif qui se tient sur la frontière entre un domaine de contrôle et un autre, ou bien entre un réseau et un autre Durcir les passerelles (Gateway) http://www.isaca.org/cyber/cyber- security-articles/Pages/get-smart-the- internet-of-things-requires-an- evolution-of-network-gateways.aspx Documentation ISACA IOT Risk & Value Considerations - White Paper http://www.isaca.org/knowledge-center/research/researchdeliverables/pages/internet-of-things-risk-and-value-considerations.aspx
  15. 15. IoT, Sécurité et Santé: un cocktail détonnant ? 2016/03/15 – Aix-en-Provence DELEGATION ISACA AFAI SUD-EST1. Objets connectés et recommandations de l’ISACA 1.2 Points à considérer en pratique La protection des donnés IoT est partiellement encadrée par le droit notamment pour transformer les données issues du quantified-self en données médicales. La concentration de larges volumes de données « métier » expose l’entreprise à toutes sortes d’indiscrétions et d’attaques. Les plates-formes IoT sont donc particulièrement sensibles en termes de sécurité: •La traçabilité des événements (fonctionnels et d’administration) et des traitements. •L’authentification des objets émetteurs / récepteurs d’événements, souvent par certificat (AWS IoT par exemple). •Le chiffrement des canaux de communication ou des payloads (de la charge utile, hors entête de routage, supportés par certains protocoles). •Le chiffrement des données stockées (au niveau métier ou infrastructure). •Le durcissement des accès aux API de requêtes (authentification forte, surveillance, audit). Étant donné que l’IoT est un système ouvert sur Internet, deux patterns majeurs soutiennent la sécurité de l’IoT : •La fédération d’identité (nécessité d’apprécier son ouverture et ses risques). •La PKI. Ces services peuvent être fournis, ou non, par la plate-forme applicative IOT. Durcir les plateformes applicatives
  16. 16. IoT, Sécurité et Santé: un cocktail détonnant ? 2016/03/15 – Aix-en-Provence DELEGATION ISACA AFAI SUD-EST 2. Objets connectés, Sécurité et Santé 2.1 Etat de l’art de la santé connectée 2.2 Bénéfices des objets connectés en santé 2.3 Risques et parades 2. Objets connectés, Sécurité et Santé
  17. 17. IoT, Sécurité et Santé: un cocktail détonnant ? 2016/03/15 – Aix-en-Provence DELEGATION ISACA AFAI SUD-EST2. Objets connectés, Sécurité et Santé 2.1 Etat de l’art en santé connectée ☞ La télémédecine étend la portée géographique des services de santé Etat de l’Art de la Santé Connectée ☞ Le dossier patient électronique améliore la continuité de soins du patient grâce à un accès distant aux données médicales ☞ Le système Santé a rejoint l’Internet des Objets. L’industrie de la Santé sera leader dans l’adoption d’IoT en 2020 avec près de 26 M d’objets. ☞ Le Bring-Your-Own-Device s’invite dans la Santé en autorisant les médecins et cliniciens d’accéder au fil de l’eau aux données des patients ☞ La chirurgie robotique améliore la qualité de soin et la sécurité du patient ☞ Les équipements médicaux connectés aux réseaux de l’hôpital et à Internet comptent les appareils contrôlés à distance
  18. 18. IoT, Sécurité et Santé: un cocktail détonnant ? 2016/03/15 – Aix-en-Provence DELEGATION ISACA AFAI SUD-EST2. Objets connectés, Sécurité et Santé 2.1 Etat de l’art en santé connectée Objets Connectés dédies à la Santé… Moniteur défibrillateur Sensor-Enabled Pill Lecteur de glycémieScanner Physiologique Tweeting Bra Da Vinci Surgical System
  19. 19. IoT, Sécurité et Santé: un cocktail détonnant ? 2016/03/15 – Aix-en-Provence DELEGATION ISACA AFAI SUD-EST 2. Objets connectés, Sécurité et Santé 2.1 Etat de l’art en santé connectée . 2.2 Bénéfices des Objets connectés en santé 2.3 Risques et parades 2. Objets connectés, Sécurité et Santé
  20. 20. IoT, Sécurité et Santé: un cocktail détonnant ? 2016/03/15 – Aix-en-Provence DELEGATION ISACA AFAI SUD-EST2. Objets connectés, Sécurité et Santé 2.2 Bénéfice des Objets connectés en santé Bénéfices des Objets Connectés en Santé… ☞ permettre aux individus de gérer leur propre santé avec plus d’autonomie et une proactivité sur leur bien-être et pathologie  baisse de 64% des réadmissions des patients dont les niveaux de pression artérielle et la saturation en oxygène ont été surveillés à distance ☞ améliorer la qualité de vie et la sécurité des patients grâce à une surveillance discrète continue et des évaluations à distance ☞ faciliter la gestion clinique des sujets atteints de maladies graves en permettant leur surveillance à distance et les interventions cliniques ☞ améliorer la prévention grâce un incroyable gisement de données et rendre le système de santé plus efficace tout en réduisant les coûts  Optimisation de la prise en charge des patients à l’hôpital et diminution des ruptures de stock grâce au monitoring à distance et une gestion automatique de stock de matériel
  21. 21. IoT, Sécurité et Santé: un cocktail détonnant ? 2016/03/15 – Aix-en-Provence DELEGATION ISACA AFAI SUD-EST 2. Objets connectés, Sécurité et Santé 2.1 Etat de l’art en santé connectée . 2.2 Objets connectés dédiés à la santé 2.3 Risques et parades 2. Objets connectés, Sécurité et Santé
  22. 22. IoT, Sécurité et Santé: un cocktail détonnant ? 2016/03/15 – Aix-en-Provence DELEGATION ISACA AFAI SUD-EST2. Objets connectés, Sécurité et Santé 2.3 Risques et parades Risques associés aux loT dans la Santé… ☞ les informations recueillies par ces «objets» sont exposées aux cyber- attaques par des pirates à la recherche de ces précieuses données de santé. ☞ dispositifs non sécurisés vulnérables à toutes sortes de malwares ou attaques peuvent être exploités avec des risques de dommages physiques ☞ constituter autant de brèches dans le système de soins auquel ils sont intégrés et accroître le risque sécurité des appareils médicaux ☞ collecter, échanger, stocker, transmettre des données personnelles des consommateurs (habitudes, l'emplacement, les conditions physiques ...)  pompe à insuline implantée piratée administrant des doses incorrectes Scénarios de cyberattaques  stimulateurs et les défibrillateurs piratés délivrant des chocs mortels ☞ propagation de dispositifs médicaux bas de gamme contrevenant aux réglementations de protection et de sécurité des fonctionnalités de base dont dépends la vie des usagers
  23. 23. IoT, Sécurité et Santé: un cocktail détonnant ? 2016/03/15 – Aix-en-Provence DELEGATION ISACA AFAI SUD-EST2. Objets connectés et domaine de la Santé 2.3 Risques et parades ☞ élaborer des politiques et des pratiques qui imposent des limites raisonnables à la collecte et la conservation des données de consommation (minimisation des données) ☞ rassurer les usagers du fait que leurs données de santé personnelles identifiables collectées ne seront pas utilisées à leur insu (avis et choix) Parades Réduire les risques de cybersécurité afin d’assurer l'intégrité, la disponibilité, la confidentialité et la traçabilité des données médicales personnelles. ☞ ENISA/HIPAA doivent protéger les données sensibles de la santé (diagnostic médical, noms des médicaments, conditions de santé…) recueillies par des applications de santé intégrées dans des appareils en vente libre. ☞ intégrer la sécurité dés la phase de conception avec un suivi des appareils tout au long de leur cycle de vie et, dans la mesure du possible, appliquer des patch dés qu’une vulnérabilité est découverte
  24. 24. IoT, Sécurité et Santé: un cocktail détonnant ? 2016/03/15 – Aix-en-Provence DELEGATION ISACA AFAI SUD-EST CONCLUSION & ECHANGES CONCLUSION & ECHANGES ☞ La conformité ne garantit pas un niveau de sécurité adéquat ☞ La cybersécurité doit être prise plus au sérieux par les acteurs du domaine de la santé (centres de soins, assureurs, fabricants, législateur…) ☞ Les stratégies utilisées par la santé publique pour lutter contre les épidémies sont applicables à la lutte contre les cyberattaques ☞ Les fabricants des dispositifs médicaux doivent renforcer la sécurité de leurs produits
  25. 25. IoT, Sécurité et Santé: un cocktail détonnant ? 2016/03/15 – Aix-en-Provence DELEGATION ISACA AFAI SUD-EST1. Pratique et Continuité: la DSIO de l’Hôpital St Joseph Merci pour votre attention Nous sommes à votre écoute Echanges libres… Edmond CISSE Frederic VILANOVA frederic.vilanova@effectiveyellow.comedcisse@uraeus-consult.com

×