2. www.md101consulting.com
Rendons à César
• Le prix Turing va
aux deux inventeurs
de la cryptographie
à clé publique:
• Whitfield Diffie and
Martin Hellman
09/06/2016 MD101 Consulting 2
3. www.md101consulting.com
Acteurs de la Cybersécurité
Cybersécurité
Cyber
criminels
Fabricants de
DM
Fournisseurs
d’infras et IT
Organisations
Gvt
Hôpitaux,
libéraux
09/06/2016 MD101 Consulting 3
7. www.md101consulting.com
La jungle des normes en
matière de sécurité
09/06/2016 MD101 Consulting 7
IEC/TR 80002-1
IEC 80001-1-7
IEC 80001-2-8
IEC 80001-2-1 IEC 80002-3
IEC 62443-1-1IEC 62443-2-1
IEC 62443-3-1 IEC/TR 62443-3-1
ISO 27001 ISO 27002
ISO 27003 ISO 27004
ISO 27005
8. www.md101consulting.com
Cybersécurité et cycle de vie
du DM
09/06/2016 MD101 Consulting 8
Début
Conception, développement Tests, Validation
Mise sur le
marché
Analyse de
Risques
Surveillance
analyse de
risques
Surveillance post-marché
Fin de vie
Invention de 1976
chacun peut fermer le cadenas mais seul le détenteur de la clé peut l’ouvrir
méthode de chiffrement des données dans laquelle chaque partie dispose d’une paire de clés, l'une, la clé publique qui peut être partagée publiquement, et l'autre, appelée clé privée, qui doit rester secrète et n’est connue que par une unique entité
Organisations Gvt: ASIP santé, ANSM, MHRA
Objectifs
Sécurité des biens et personnes
Respect de la réglementation
Contraintes
Changements législatifs ou de missions
Moyens de pression
Inspections, certifications
Hôpitaux, médecins libéraux
Objectifs:
Prendre en charge le patient
Sécuriser les données
Contraintes
Respecter le budget
Respecter les directives gvt,
exemple : Politique Générale de Sécurité́ des Systèmes d’Information de Santé (PGSSI-S)
Fournisseurs d’infra et services IT
Fournisseurs d’infras: S3 aux UK, Hébergeurs de données de Santé
Objectifs
Vendre leur solution sécurisée
Contraintes
Certifications Gvt
Moyens de pression
Sur le fabricant
Fabricants de DM
Objectifs
Vendre les DM ou des services
Contraintes
Marquage CE, FDA
Guidances
Europe:
Futur règlement
GDPR: General Data Protection Regulation
NIS: Network Information Systems Regulation
Identification of assets, threats and vulnerabilities
Assessment of impact on device, end-users and patient
Assessment of likelihood
Define mitigation actions
Cause:
Accès ou usage non autorisé, par usurpation d’identité, spoofing, usurpation de privilège, accès non prévu)
Falsification ou modification frauduleuse des données (data tampering)
Attaques type flooding (saturation intentionnelle du système)
Phenomene dangereux
Indisponibilité des données et/ou du logiciel
Perte d’intégrité des données
Altération des fonctionnalités du logiciel
Perte de la confidentialité des données
Perte de traçabilité des actions (imputabilité)
Déni de service
Dommage
Atteinte à la sécurité et à la confidentialité des données patient
Effets indésirables de degrés de gravité variables:
Simple gêne à l’utilisation (utilisation reportée) >>
Diagnostic ou traitement inadapté
Proba:
2 raisonnements sont possibles : P1 < 1 (car il faut qu’une attaque soit effectuée), ou P1=1 (considérant qu’une attaque aura lieu un jour)
7.1.2 tous cas possibles :
-défaut de spécification de la cyber sécurité
-faille de sécurité due à un défaut de conception,
-faille de sécurité due à un défaut matériel
-faille de sécurité due à logiciel tiers
-facteur humains : mot de passe trop simple ou affiché au mur