Déclaration des incidents SSI Présentation de Philippe LOUDENOT et Emmanuel SOHIER dans le cadre du colloque SSI - 29 novembre 2017 - ministère des Solidarités et de la Santé

1. Colloque sécurité des systèmes
d’information
Déclaration des incidents

2. Article L 1111-8-2 du CSP (sur amendement G. Bapt)
Décret, Arrêté, Instruction
Groupe de travail
Institutionnels,
Utilisateurs.
Objectifs :
Utilisation du portail de signalement des événements sanitaires indésirables,
Formulaire de déclaration le plus simple possible,
Appui en tant que de besoin,
Observatoire,
Prévention.
Mise en place du dispositif de déclaration

3. Article L 1111-8-2 du CSP (sur amendement G. Bapt)
Décret, Arrêté, Instruction
Groupe de travail
Institutionnels,
Utilisateurs.
Objectifs :
Utilisation du portail de signalement des événements sanitaires indésirables,
Formulaire de déclaration le plus simple possible,
Appui en tant que de besoin,
Observatoire,
Prévention.
Mise en place du dispositif de déclaration

4. Article L 1111-8-2 du CSP (sur amendement G. Bapt)
Décret, Arrêté, Instruction
Groupe de travail
Institutionnels,
Utilisateurs.
Objectifs :
Utilisation du portail de signalement des événements sanitaires indésirables,
Formulaire de déclaration le plus simple possible,
Appui en tant que de besoin,
Observatoire,
Prévention.
Mise en place du dispositif de déclaration

5. Article L 1111-8-2 du CSP (sur amendement G. Bapt)
Décret, Arrêté, Instruction
Groupe de travail
Institutionnels,
Utilisateurs.
Objectifs :
Utilisation du portail de signalement des événements sanitaires indésirables,
Formulaire de déclaration le plus simple possible,
Appui en tant que de besoin,
Observatoire,
Prévention.
Mise en place du dispositif de déclaration

6. Portail unique

7. 7
déclaration d’un incident de sécurité des systèmes d’information

9. Traitement des signalements
9
Nombre de signalements pour une région donnée
Mi-Novembre 2017 : 30 Signalements
4
3
4
2
7
6
1
2
1
Auvergne-Rhône-Alpes
Centre-Val de Loire
Hauts-de-France
Ile-de-France
Nouvelle-Aquitaine
Occitanie
Océan Indien
Provence-Alpes-Côte d'Azur
Normandie

10. Traitement des signalements - Indicateurs sur 45 jours
10
Mi-Novembre 2017 : 28 signalements pour le secteur hospitalier
Pour les dix premières régions : Part des signalements déclarés au regard du poids de la région
(en nombre de salariés hospitaliers)
0%
5%
10%
15%
20%
25%
30%
Pourcentage des signalements déclarés Pourcentage des salariés hospitaliers

11. Traitement des signalements - Indicateurs après 45 jours
Nombre de signalements par type de structure
Nombre d’incidents pour lesquels la
structure a demandé un accompagnement de la cellule ACSS
Nombre de signalements pour lesquels la
structure a fait appel à un prestataire
7%
3%
87%
3%
Hors Périmètre
Centre de radiothérapie
Etablissement de santé
Laboratoire de biologie
médicale
Non
77%
Oui
23%
Non Oui
27%
53%
20%
Oui
Non
Non communiqué

12. Traitement des signalements - Indicateurs après 45 jours
Mi-Novembre 2017 : 30 Signalements
Les cinq incidents pouvant entrainer un
dysfonctionnement majeur de la
structure concernent :
- Deux bugs sur des logiciels de
prescription médicale impactant
l’intégrité des prescriptions
- Un bug sur le logiciel de consultation
des dossiers des patients
- Une coupure téléphonique de deux
jours impactant la transmission
d’information sur les prises en charge
des résidents (dialysés)
- Arrêt de fonctionnement de
l’infrastructure de stockage
23%
60%
17%
Non communiqué
Non
Oui

13. Traitement des signalements - Indicateurs après 45 jours
13
Nombre d’incidents par état de traitement de la structure lors de la déclaration
Nombre d’incidents par état de traitement de la structure
11%
8%
27%
54%
Bilan effectué
En cours d'investigation
En cours de résolution
Résolu
15%
4%
19%
62%
Bilan effectué
En cours d'investigation
En cours de résolution
Résolu

14. Traitement des signalements - Indicateurs après 45 jours
Nombre d’incidents par type d’impact sur la structure
Mi-Novembre 2017 : 30 Signalements
0 2 4 6 8 10 12 14 16 18 20
Fonctionnement dégradé du système de prise en charge d'un patient
Interruption du Système de prise en charge d'un patient
Fonctionnement dégradé de SI des activités support de la structure
(RH, etc..)
Fonctionnement en mode dégradé
Re-planification des soins (activité de soins ou activité d'examen de
biologie médicale) ou recours à des organismes tiers
Arrêt prolongé d'une part importante ou de toute l'activité
Aucun impact sur l'activité du métier

15. Traitement des signalements - Indicateurs après 45 jours
Nombre d’incidents par type de données impactées
0 2 4 6 8 10 12 14 16 18 20
Aucun impact sur les données
Informations patients à caractère personnel (dossier
patient, résultats d'analyses,..)
Informations à caractère personnel hors données
patients (données relatives aux salariés de
l'établissement, données d'accès de type…
Données techniques sensibles (mots de passe, clés
cryptographiques, documents d'architecture et de
configuration, etcs...)
Diffusion indésirable des données publiques présentant
l'hopital
N.B : La majorité des
données impactés étaient
touchées au niveau de leur
disponibilité
Nombre d’incidents par type d’impact sur les données
0 2 4 6 8 10 12 14 16
Perte de données ou impossibilité d'accéder à des
données
Atteinte à l'intégrité des données, dégradation des
données, ou impossibilité de communiquer les données
Divulgation d'informations à caractère personnel
Divulgation ou accès non autorisé à des données
relatives à la structure
Aucun impact sur les données

16. Traitement des signalements - Indicateurs après 45 jours
Mi-Novembre 2017 : 30 Signalements
Nombre d’incidents par composant technique touché
0 2 4 6 8 10 12
Applications : logiciel d'aide à la prescription
Applications : logiciel d'aide à la dispensation
Applications : logiciels utilisés en biologie médicale
Serveurs
Infrastructure de stockage
Infrastructure réseau
Postes de travail
Dispositifs médicaux
Objets connectés
Automate/chaine de production
Infrastructure d'administration du SI
Infrastructure d'accès au SI (annuaire type AD, portail d'authentification)
Composants spécifiques SSI et infrastructure d'administration associé
Téléphonie
Liaisons réseau et télécom
Archivage
Autres équipements connectés au réseau (vidéosurveillance, système de…

17. Traitement des signalements - Indicateurs après 45 jours
Nombre d’incidents par type d’origine
3 des 6 incidents d’origine « Programme malveillant » ont été véhiculé via courrier électronique
L’incident de l’ « Intrusion » a mené au déploiement d’un « Programme malveillant »
Les incidents techniques concernent principalement le réseau téléphonique
0
1
2
3
4
5
6
7
8
Programme
malveillant
Attaque de site
Internet
Intrusion Incident
technique
Bug applicatif Erreur humaine
(utilisation boite
mail
personnelle)
Panne
électrique
Incident naturel Attaque réseau

18. Un premier retour d’expérience riche d’enseignements
18
Un centre de radiothérapie a dû arrêter son activité pendant deux
jours et demi à cause d’une attaque par rançongiciel
Origine : un message électronique malveillant et un utilisateur manquant de
vigilance
Propagation sur l’ensemble des postes Windows ainsi que sur les
sauvegardes
L’incident aurait pu avoir des impacts sur la prise en charge des
patients
Une impossibilité de dispenser des soins de radiothérapie durant une période
d’indisponibilité plus longue aurait pu mettre en danger des patients
Des impacts financiers à cause de la perte d’activité et du cout de
l’intervention du prestataire
La durée d’indisponibilité aurait pu être plus longue et la perte de
données plus importante si le code malveillant n’avait pas bloqué la
réplication des sauvegardes corrompues
Il est donc fortement recommandé d’externaliser ses sauvegardes et
de conserver le mode de sauvegarde déconnecté

19. 19
Questions ?
cyberveille@sante.gouv.fr
ssi@sg.social.gouv.fr