Cybersécurité des DM

•Télécharger en tant que PPTX, PDF•

0 j'aime•436 vues

Cyrille Michaud

Présentation des Rendez-vous Experts Medtech

Santé

www.md101consulting.com
09/06/2016 MD101 Consulting 1

www.md101consulting.com
Rendons à César
• Le prix Turing va
aux deux inventeurs
de la cryptographie
à clé publique:
• Whitfield Diffie and
Martin Hellman
09/06/2016 MD101 Consulting 2

www.md101consulting.com
Acteurs de la Cybersécurité
Cybersécurité
Cyber
criminels
Fabricants de
DM
Fournisseurs
d’infras et IT
Organisations
Gvt
Hôpitaux,
libéraux
09/06/2016 MD101 Consulting 3

www.md101consulting.com
Réglementation
Europe
93/42/CE
95/46/CE
EU (futur)
MDR
GPDR /
NIS
USA
21 CFR
HIPAA /
HITECH
09/06/2016 MD101 Consulting 4

www.md101consulting.com
La réglementation des DM
• Directive 93/42 CEE
• Exigences essentielles
– Sécurité électrique, mécanique, …
– ICI : Sécurité informatique?
• Nouveau règlement 2016
• Etat de l’art?
– IEC 62304 norme harmonisée
09/06/2016 MD101 Consulting 5

www.md101consulting.com
Obligations
• Reponsabilité du fabricant
• Sécurité inhérente à la conception
– Safety and privacy by design
• Publication des incidents
09/06/2016 MD101 Consulting 6

www.md101consulting.com
La jungle des normes en
matière de sécurité
09/06/2016 MD101 Consulting 7
IEC/TR 80002-1
IEC 80001-1-7
IEC 80001-2-8
IEC 80001-2-1 IEC 80002-3
IEC 62443-1-1IEC 62443-2-1
IEC 62443-3-1 IEC/TR 62443-3-1
ISO 27001 ISO 27002
ISO 27003 ISO 27004
ISO 27005

www.md101consulting.com
Cybersécurité et cycle de vie
du DM
09/06/2016 MD101 Consulting 8
Début
Conception, développement Tests, Validation
Mise sur le
marché
Analyse de
Risques
Surveillance
analyse de
risques
Surveillance post-marché
Fin de vie

www.md101consulting.com
Approche de la FDA
Identify Protect Detect Respond Recover
09/06/2016 MD101 Consulting 9

www.md101consulting.com
Conception développement
• Méthodologie basée
sur NSIT
Cybersecurity
• Similaire à
méthodologie ANSSI
09/06/2016 MD101 Consulting 10

www.md101consulting.com
Surveillance post-marché
• Information de post-
production
• Information Sharing
Analysis
Organizations
• Surveillance des
SOUP
• Encore draft
09/06/2016 MD101 Consulting 11

www.md101consulting.com
Analyse de risques
• Cause / Evt initiateur
– Accès non autorisé, falsification, attaque
• Phénomème dangereux
– Perte/accès données, perte fonction, ranson
• Dommage
– Atteinte sécurité patient/personnes/infras
– Divulgation données
• Probabilité = 100% ?
09/06/2016 MD101 Consulting 12

www.md101consulting.com
09/06/2016 MD101 Consulting 13
Merci !

Recommandé

PodcastingMiguel Tortello

$C:\documents and settings\usuario\escritorio\respaldo carlyla ramos 18 4-10\m...$ $C:\documents and settings\usuario\escritorio\respaldo carlyla ramos 18 4-10\m...$

C:\documents and settings\usuario\escritorio\respaldo carlyla ramos 18 4-10\m...guest2fcf8f0

Граф ГагаринEkaterina Rybakova

Buen uso de internetMari Ruano Bueno

NeighborsCsaba Juhasz

Attracting and Retaining MillennialsTim Finnigan

Utilize a Disruptive Analytics Approach to Deliver Great Digital ExperiencesRyan Bateman

BodyHadush kidane

Recommandé

PodcastingMiguel Tortello

$C:\documents and settings\usuario\escritorio\respaldo carlyla ramos 18 4-10\m...$ $C:\documents and settings\usuario\escritorio\respaldo carlyla ramos 18 4-10\m...$

C:\documents and settings\usuario\escritorio\respaldo carlyla ramos 18 4-10\m...guest2fcf8f0

Граф ГагаринEkaterina Rybakova

Buen uso de internetMari Ruano Bueno

NeighborsCsaba Juhasz

Attracting and Retaining MillennialsTim Finnigan

Utilize a Disruptive Analytics Approach to Deliver Great Digital ExperiencesRyan Bateman

BodyHadush kidane

Conférence Internet des objets IoT M2M - CCI Bordeaux - 02 04 2015 - eDevicepolenumerique33

Module 7 rencontre des attentes des autorités règlementaires - loi 64Louis-Martin Landry

AG CITC - Présentation "Internet des objets: Quels défis pour l'avenir?" ¨Par...CITC-EuraRFID

La digitalisation dans l'industrie automobile et ses défis | LIEGE CREATIVE, ...LIEGE CREATIVE

Données PersonnellesSoft Computing

Compte-rendu atelier n°2 - 87e Congrès ADFFédération Française des Télécoms

GDPR : un voyage à 20 millions d'euros - par CRAYON FRANCEChloe Benech

Matinée Micropole GDPRMicropole Group

Libre circulationSociété Tripalio

Découvrir l'évaluation de l'impact de applications RFID sur la vie privéeCNRFID

Profluid infos numéro 82 - Janvier 2018PROFLUID

Mobilité dans l'entreprise - Facts & FiguresSwiss Data Forum Swiss Data Forum

CR Conférence #G9plus - Opérateurs télécom: dinosaures ou mutants ?Institut G9+

Protection des données personnelles - Sia Partners vous accompagne !Philippe Mignen

Code Barre 3 Dguest04942fd

Tcmp formation-telecommunications-le-panoramaCERTyou Formation

Bourse aux Technologies Industrie du Futur "Smart Manufacturing" du 22/03/2016BoursesTechnos

2169 bnFrederic Simottel

Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Identity Days

Contenu connexe

Similaire à Cybersécurité des DM

Conférence Internet des objets IoT M2M - CCI Bordeaux - 02 04 2015 - eDevicepolenumerique33

Module 7 rencontre des attentes des autorités règlementaires - loi 64Louis-Martin Landry

AG CITC - Présentation "Internet des objets: Quels défis pour l'avenir?" ¨Par...CITC-EuraRFID

La digitalisation dans l'industrie automobile et ses défis | LIEGE CREATIVE, ...LIEGE CREATIVE

Données PersonnellesSoft Computing

Compte-rendu atelier n°2 - 87e Congrès ADFFédération Française des Télécoms

GDPR : un voyage à 20 millions d'euros - par CRAYON FRANCEChloe Benech

Matinée Micropole GDPRMicropole Group

Libre circulationSociété Tripalio

Découvrir l'évaluation de l'impact de applications RFID sur la vie privéeCNRFID

Profluid infos numéro 82 - Janvier 2018PROFLUID

Mobilité dans l'entreprise - Facts & FiguresSwiss Data Forum Swiss Data Forum

CR Conférence #G9plus - Opérateurs télécom: dinosaures ou mutants ?Institut G9+

Protection des données personnelles - Sia Partners vous accompagne !Philippe Mignen

Code Barre 3 Dguest04942fd

Tcmp formation-telecommunications-le-panoramaCERTyou Formation

Bourse aux Technologies Industrie du Futur "Smart Manufacturing" du 22/03/2016BoursesTechnos

2169 bnFrederic Simottel

Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Identity Days

Similaire à Cybersécurité des DM (20)

Conférence Internet des objets IoT M2M - CCI Bordeaux - 02 04 2015 - eDevice

Module 7 rencontre des attentes des autorités règlementaires - loi 64

AG CITC - Présentation "Internet des objets: Quels défis pour l'avenir?" ¨Par...

La digitalisation dans l'industrie automobile et ses défis | LIEGE CREATIVE, ...

Données Personnelles

Compte-rendu atelier n°2 - 87e Congrès ADF

GDPR : un voyage à 20 millions d'euros - par CRAYON FRANCE

Matinée Micropole GDPR

Libre circulation

Découvrir l'évaluation de l'impact de applications RFID sur la vie privée

Profluid infos numéro 82 - Janvier 2018

Mobilité dans l'entreprise - Facts & Figures

CR Conférence #G9plus - Opérateurs télécom: dinosaures ou mutants ?

Protection des données personnelles - Sia Partners vous accompagne !

Code Barre 3 D

Tcmp formation-telecommunications-le-panorama

Bourse aux Technologies Industrie du Futur "Smart Manufacturing" du 22/03/2016

2169 bn

Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?

Cybersécurité des DM

1. www.md101consulting.com 09/06/2016 MD101 Consulting 1

2. www.md101consulting.com Rendons à César • Le prix Turing va aux deux inventeurs de la cryptographie à clé publique: • Whitfield Diffie and Martin Hellman 09/06/2016 MD101 Consulting 2

3. www.md101consulting.com Acteurs de la Cybersécurité Cybersécurité Cyber criminels Fabricants de DM Fournisseurs d’infras et IT Organisations Gvt Hôpitaux, libéraux 09/06/2016 MD101 Consulting 3

4. www.md101consulting.com Réglementation Europe 93/42/CE 95/46/CE EU (futur) MDR GPDR / NIS USA 21 CFR HIPAA / HITECH 09/06/2016 MD101 Consulting 4

5. www.md101consulting.com La réglementation des DM • Directive 93/42 CEE • Exigences essentielles – Sécurité électrique, mécanique, … – ICI : Sécurité informatique? • Nouveau règlement 2016 • Etat de l’art? – IEC 62304 norme harmonisée 09/06/2016 MD101 Consulting 5

6. www.md101consulting.com Obligations • Reponsabilité du fabricant • Sécurité inhérente à la conception – Safety and privacy by design • Publication des incidents 09/06/2016 MD101 Consulting 6

7. www.md101consulting.com La jungle des normes en matière de sécurité 09/06/2016 MD101 Consulting 7 IEC/TR 80002-1 IEC 80001-1-7 IEC 80001-2-8 IEC 80001-2-1 IEC 80002-3 IEC 62443-1-1IEC 62443-2-1 IEC 62443-3-1 IEC/TR 62443-3-1 ISO 27001 ISO 27002 ISO 27003 ISO 27004 ISO 27005

8. www.md101consulting.com Cybersécurité et cycle de vie du DM 09/06/2016 MD101 Consulting 8 Début Conception, développement Tests, Validation Mise sur le marché Analyse de Risques Surveillance analyse de risques Surveillance post-marché Fin de vie

9. www.md101consulting.com Approche de la FDA Identify Protect Detect Respond Recover 09/06/2016 MD101 Consulting 9

10. www.md101consulting.com Conception développement • Méthodologie basée sur NSIT Cybersecurity • Similaire à méthodologie ANSSI 09/06/2016 MD101 Consulting 10

11. www.md101consulting.com Surveillance post-marché • Information de post- production • Information Sharing Analysis Organizations • Surveillance des SOUP • Encore draft 09/06/2016 MD101 Consulting 11

12. www.md101consulting.com Analyse de risques • Cause / Evt initiateur – Accès non autorisé, falsification, attaque • Phénomème dangereux – Perte/accès données, perte fonction, ranson • Dommage – Atteinte sécurité patient/personnes/infras – Divulgation données • Probabilité = 100% ? 09/06/2016 MD101 Consulting 12

13. www.md101consulting.com 09/06/2016 MD101 Consulting 13 Merci !

Notes de l'éditeur

Invention de 1976 chacun peut fermer le cadenas mais seul le détenteur de la clé peut l’ouvrir méthode de chiffrement des données dans laquelle chaque partie dispose d’une paire de clés, l'une, la clé publique qui peut être partagée publiquement, et l'autre, appelée clé privée, qui doit rester secrète et n’est connue que par une unique entité
Organisations Gvt: ASIP santé, ANSM, MHRA Objectifs Sécurité des biens et personnes Respect de la réglementation Contraintes Changements législatifs ou de missions Moyens de pression Inspections, certifications Hôpitaux, médecins libéraux Objectifs: Prendre en charge le patient Sécuriser les données Contraintes Respecter le budget Respecter les directives gvt, exemple : Politique Générale de Sécurité́ des Systèmes d’Information de Santé (PGSSI-S) Fournisseurs d’infra et services IT Fournisseurs d’infras: S3 aux UK, Hébergeurs de données de Santé Objectifs Vendre leur solution sécurisée Contraintes Certifications Gvt Moyens de pression Sur le fabricant Fabricants de DM Objectifs Vendre les DM ou des services Contraintes Marquage CE, FDA Guidances
Europe: Futur règlement GDPR: General Data Protection Regulation NIS: Network Information Systems Regulation
Identification of assets, threats and vulnerabilities Assessment of impact on device, end-users and patient Assessment of likelihood Define mitigation actions
Cause: Accès ou usage non autorisé, par usurpation d’identité, spoofing, usurpation de privilège, accès non prévu) Falsification ou modification frauduleuse des données (data tampering) Attaques type flooding (saturation intentionnelle du système) Phenomene dangereux Indisponibilité des données et/ou du logiciel Perte d’intégrité des données Altération des fonctionnalités du logiciel Perte de la confidentialité des données Perte de traçabilité des actions (imputabilité) Déni de service Dommage Atteinte à la sécurité et à la confidentialité des données patient Effets indésirables de degrés de gravité variables: Simple gêne à l’utilisation (utilisation reportée) >> Diagnostic ou traitement inadapté Proba: 2 raisonnements sont possibles : P1 < 1 (car il faut qu’une attaque soit effectuée), ou P1=1 (considérant qu’une attaque aura lieu un jour) 7.1.2 tous cas possibles : -défaut de spécification de la cyber sécurité -faille de sécurité due à un défaut de conception, -faille de sécurité due à un défaut matériel -faille de sécurité due à logiciel tiers -facteur humains : mot de passe trop simple ou affiché au mur