Cybersécurité et santé
Les risques liés aux SI
Sécurité des systèmes
d’information
Cybersécurité
7 octobre 2015
Philippe L...
………………………………………………………………………………………………………………………………………………………..
….
….
……………………………………………………………………………………………………………………………………………………...
………………………………………………………………………………………………………………………………………………………..
….
….
……………………………………………………………………………………………………………………………………………………...
………………………………………………………………………………………………………………………………………………………..
….
….
……………………………………………………………………………………………………………………………………………………...
………………………………………………………………………………………………………………………………………………………..
….
….
……………………………………………………………………………………………………………………………………………………...
………………………………………………………………………………………………………………………………………………………..
….
….
……………………………………………………………………………………………………………………………………………………...
………………………………………………………………………………………………………………………………………………………..
….
….
……………………………………………………………………………………………………………………………………………………...
………………………………………………………………………………………………………………………………………………………..
….
….
……………………………………………………………………………………………………………………………………………………...
………………………………………………………………………………………………………………………………………………………..
….
….
……………………………………………………………………………………………………………………………………………………...
Impact métier Impact
Management
Versions périmées Responsabilité pénale
Sécurité des systèmes
d’information
Cybersécurité1...
Sécurité des systèmes
d’information
Cybersécurité11
Inscription avec des adresses professionnelles
• les mots de passe uti...
………………………………………………………………………………………………………………………………………………………..
….
….
……………………………………………………………………………………………………………………………………………………...
………………………………………………………………………………………………………………………………………………………..
….
….
……………………………………………………………………………………………………………………………………………………...
………………………………………………………………………………………………………………………………………………………..
….
….
……………………………………………………………………………………………………………………………………………………...
………………………………………………………………………………………………………………………………………………………..
….
….
……………………………………………………………………………………………………………………………………………………...
………………………………………………………………………………………………………………………………………………………..
….
….
……………………………………………………………………………………………………………………………………………………...
………………………………………………………………………………………………………………………………………………………..
….
….
……………………………………………………………………………………………………………………………………………………...
………………………………………………………………………………………………………………………………………………………..
….
….
……………………………………………………………………………………………………………………………………………………...
………………………………………………………………………………………………………………………………………………………..
….
….
……………………………………………………………………………………………………………………………………………………...
………………………………………………………………………………………………………………………………………………………..
….
….
……………………………………………………………………………………………………………………………………………………...
Prochain SlideShare
Chargement dans…5
×

2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama

3 668 vues

Publié le

Colloque sur la sécurité des systèmes d’information dans les établissements sanitaires et médico-sociaux - 7 octobre 2015
"Les risques liés à la sécurité des SI" Philippe LOUDENOT, FSSI/HFDS - Diaporama

Publié dans : Technologie
0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
3 668
Sur SlideShare
0
Issues des intégrations
0
Intégrations
1 694
Actions
Partages
0
Téléchargements
77
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama

  1. 1. Cybersécurité et santé Les risques liés aux SI Sécurité des systèmes d’information Cybersécurité 7 octobre 2015 Philippe Loudenot Fonctionnaire de sécurité des systèmes d’information ministères chargés des affaires sociales
  2. 2. ……………………………………………………………………………………………………………………………………………………….. …. …. ……………………………………………………………………………………………………………………………………………………….. .… .… .… HFDS - FSSI Premier ministre HFDS / HFDS Adj. Secrétaire général de la défense et de la sécurité nationale Ministères Défense Intérieur Affaires étrangères Financiers Chargés des affaires sociales… • Code de la défense, notamment ses articles L. 2321-1 et R1143-1 à R1143-8 • Circulaire du Premier ministre du 17 juillet 2014 Sécurité des systèmes d’information Cybersécurité2 FSSI ANSSI AAI RSSI AAI RSSI Santé DAC ARS Opérateurs ES/EMS HFDS FSSI AAI RSSI AAI RSSI Travail DAC SD Opérateurs Etbs AAI RSSI AAI RSSI Sports DAC SD Opérateurs Etbs
  3. 3. ……………………………………………………………………………………………………………………………………………………….. …. …. ……………………………………………………………………………………………………………………………………………………….. .… .… .… Réglementation Administrations de l’État Secteur privéCitoyen RGSPSSI E PGSSI-S Sécurité des systèmes d’information Cybersécurité eIDAS
  4. 4. ……………………………………………………………………………………………………………………………………………………….. …. …. ……………………………………………………………………………………………………………………………………………………….. .… .… .… SSI ? Organisme (Entreprise) RM Sécurité des Systèmes d’information Sécurité des systèmes d’information Cybersécurité4 Sécurité informatique RSI Sécurité des Systèmes d’information Cybersécurité (Protection de l’information) RSSI
  5. 5. ……………………………………………………………………………………………………………………………………………………….. …. …. ……………………………………………………………………………………………………………………………………………………….. .… .… .… Complexification des SI Sécurité des systèmes d’information Cybersécurité
  6. 6. ……………………………………………………………………………………………………………………………………………………….. …. …. ……………………………………………………………………………………………………………………………………………………….. .… .… .… SIS : problématique Risque métier Risque légal •Obligations légales non respectées •Double saisie du PMSI •Gestion budgétaire altérée •Déploiement / utilisation CPS non contrôlé Maîtrise des risques IT, Métier, Légaux Sécurité des systèmes d’information Cybersécurité Risque IT •Gestion approximative des actifs IT •Multiples failles de sécurité •Comportements et usages déviants •Hétérogénéité des versions des logiciels •Indisponibilité et mauvaise performance métier •Non-interopérabilité des SI cliniques •Fiabilité altérée des diagnostics •Fuite de données, données corrompues •Efficience des procédures Conformité Intégrité Supervision
  7. 7. ……………………………………………………………………………………………………………………………………………………….. …. …. ……………………………………………………………………………………………………………………………………………………….. .… .… .… Une réalité 66% 34% Incidents Attaques Sécurité des systèmes d’information Cybersécurité 11 % 89% bloquées Attaques
  8. 8. ……………………………………………………………………………………………………………………………………………………….. …. …. ……………………………………………………………………………………………………………………………………………………….. .… .… .… Réglementation Administrations de l’État Secteur privéCitoyen RGSPSSI E PGSSI-S Sécurité des systèmes d’information Cybersécurité eIDAS
  9. 9. ……………………………………………………………………………………………………………………………………………………….. …. …. ……………………………………………………………………………………………………………………………………………………….. .… .… .… Réglementation Administrations de l’État Secteur privéCitoyen RGSPSSI E PGSSI-S Sécurité des systèmes d’information Cybersécurité eIDAS
  10. 10. Impact métier Impact Management Versions périmées Responsabilité pénale Sécurité des systèmes d’information Cybersécurité10 Versions périmées Mauvaise interprétation des résultats Erreurs de mesures Erreurs de diagnostic Responsabilité pénale Réputation Coûts et non ROI Retard dossier patients des EDS ont (avaient) plus de 8 versions par SI cliniques critiques 5 versions différentes de viewer DICOM Applis en µmol/l et mmol/l SI cliniques « concurrents » non interopérables Problématique : Mesure du niveau de conformité applicative ?
  11. 11. Sécurité des systèmes d’information Cybersécurité11 Inscription avec des adresses professionnelles • les mots de passe utilisés sont-ils différents ? • quels sont les droits liés aux comptes ?
  12. 12. ……………………………………………………………………………………………………………………………………………………….. …. …. ……………………………………………………………………………………………………………………………………………………….. .… .… .… Résultat Base SIH centrale : • 25393 identifiants + mots de passe « en clair » • 41 comptes génériques équivalents « root » ou « admin » • Archives en libre accès (souvent photocopieur à disposition) • Divers matériels connectés et non protégés – Photocopieurs, bioméd., GTC… Sécurité des systèmes d’information Cybersécurité12 Contrôle de l’ensemble des appareils connectés de l’EDS en 1 matinée
  13. 13. ……………………………………………………………………………………………………………………………………………………….. …. …. ……………………………………………………………………………………………………………………………………………………….. .… .… .… Conséquences • Fichiers perdus • Ralentissement / Interruption des missions • Facteur de coûts directs et indirects : – 5 000€ (EHPAD) <Surfacturation téléphonique<40 000€ (CH) – 2j/h <Intervention <136j/h – Mise à niveau à prévoir (organisationnelle et technique) Sécurité des systèmes d’information Cybersécurité – Potentiellement un risque juridique fort (SI non conformes, fuites de données personnelles…) URGENCE : maîtriser les risques induits par les systèmes d’information et leur utilisation pour réduire les risques métiers et ainsi les risques légaux et financiers.
  14. 14. ……………………………………………………………………………………………………………………………………………………….. …. …. ……………………………………………………………………………………………………………………………………………………….. .… .… .… Amélioration 90% des incidents proviennent de sources internes 20% de mesures adéquates de base règlent 80% des Sécurité des systèmes d’information Cybersécurité internes règlent 80% des problèmes La sécurité n’est pas un problème de moyens mais de gouvernance, de compétences et d’appropriation
  15. 15. ……………………………………………………………………………………………………………………………………………………….. …. …. ……………………………………………………………………………………………………………………………………………………….. .… .… .… Pour éviter que le pilotage du risque ressemble à ça Sécurité des systèmes d’information Cybersécurité
  16. 16. ……………………………………………………………………………………………………………………………………………………….. …. …. ……………………………………………………………………………………………………………………………………………………….. .… .… .… • Définir clairement le périmètre SSI : CARTOGRAPHIE - Informatique; - Biomédical; - Infra … • Inventorier les actifs, les applications, les flux; • Gérer des risques; • Impliquer l’ensemble des acteurs du monde de la santé (internes, constructeurs, éditeurs…); Pré requis Sécurité des systèmes d’information Cybersécurité constructeurs, éditeurs…); • Ajouter des clauses SSI dans les procédures d’achats; - MAJ de l’environnement • Eviter le : - « tout ce qui n’est pas explicitement interdit est autorisé ». • Communiquer : chaîne d’alerte SSI.
  17. 17. ……………………………………………………………………………………………………………………………………………………….. …. …. ……………………………………………………………………………………………………………………………………………………….. .… .… .… Rôle de l’AQSSI •Pilotage•Stratégique Porter la stratégie de sécurité Organiser et contrôler le déploiement de la Politique de Sécurité (PSSI). Sécurité des systèmes d’information Cybersécurité •Opérationnel •Sponsor S’assurer de l’efficience des actions de sécurité Permettre aux intervenants en charge de cybersécurité d’accomplir leur mission et les appuyer
  18. 18. ……………………………………………………………………………………………………………………………………………………….. …. …. ……………………………………………………………………………………………………………………………………………………….. .… .… .… Quelles sont les « valeurs » d’un organisme ? Quel est leur niveau de sensibilité ou de criticité ? De qui, de quoi doit-on se protéger ? Quels sont les risques réellement encourus ? Ces risques sont-ils supportables et jusqu’à quel niveau ? Questions simples mais réponses précises! Sécurité des systèmes d’information Cybersécurité Quel est le niveau actuel de sécurité de l’Etablissement ? Quel est le niveau de sécurité que l’on souhaite atteindre ? Comment passer du niveau actuel au niveau désiré ? Quelles sont les contraintes effectives ? Quels sont les moyens disponibles ? Que faire en cas de « crise » ?
  19. 19. ……………………………………………………………………………………………………………………………………………………….. …. …. ……………………………………………………………………………………………………………………………………………………….. .… .… .… Chaîne d’alerte cyber Plus l’information circule, plus elle crée de la valeur Ne pas avoir honte de s’être fait pirater, Le voir est déjà une marque d’un système géré ! Si de surcroît vous Sécurité des systèmes d’information Cybersécurité ssi@sg.social.gouv.fr Un domaine de confiance Si de surcroît vous faites« remonter » l’information, vous rendez service à toute la communauté
  20. 20. ……………………………………………………………………………………………………………………………………………………….. …. …. ……………………………………………………………………………………………………………………………………………………….. .… .… .… Thank you for being so … Patient Questions ? Sécurité des systèmes d’information Cybersécurité

×