SlideShare une entreprise Scribd logo
1  sur  35
Cybersécurité &
diabète
Réunion annuelle Réseau Pompe
Diabète Provence 2018
Les menaces
Dr Arnaud Depil Duval - Urgences Evreux Vernon
Types de menaces
Perturbation des soins / services (y compris le risque de décès d’un patient)
Fraudes pour induire le personnel soignant en erreur avec des emails trompeurs (spoof email) ou faux sites web afin
d’obtenir des informations d’identification de connexion ou installer des logiciels malveillants (malware)
Menaces internes (insider threat) intentionnelle ou non intentionnelle, qui peuvent constituer un danger significatif en raison
de la position de confiance au sein d’une organisation
Perte de données sur les patients - en particulier les données électroniques de santé protégées (electronic Protected Health
Information - ePHI)
Violation de données, exfiltration d’information et perte d’actifs
Chantage, extorsion et contrainte par l’exploitation de données sensibles exfiltrées
Vol de propriété intellectuelle (Intellectual Property - IP)
Dr Arnaud Depil Duval - Urgences Evreux Vernon
Qui sont les criminels?
Hackers
Opérateurs de
réseau de robot
Groupes criminels
Agences de
renseignement
étrangères
Initiés
Hameçonneurs
(Phishers)
Spammeurs
Auteurs de logiciels
espions /
malveillants
(spyware/malware)
Terroristes
Espions industriels Spéculateurs
Dr Arnaud Depil Duval - Urgences Evreux Vernon
Agents vulnérants
• Malware (logiciel malveillant) :
• Virus : replication et propagation en se
cachant dans un programme
• Ver : envoi d’une copie vers une autre machine
• Cheval de Troie
• Spyware (logiciel espion)
Agents vulnérants (2)
• Ransomware (rançongiciel) :
• Cryptage des données
• Chantage
• Demande de rançon
• Wannacry, Winlock, etc.
• 120000 logiciels référencés en 2012
Dr Arnaud Depil Duval - Urgences Evreux Vernon
Mythe ou réalité?
Une menace bien réelle
• Anatomy of an Attack – Medical Device Hijack 2
• USA depuis 2009, 1286 incidents pour 28
milliards €
• Hôpitaux : 6% du budget consacré à la
cybersécurité (industrie : 16%)
Dr Arnaud Depil Duval - Urgences Evreux Vernon
Cyber attaque
NHS
• Rançongiciel Wannacry
• 300$ en bitcoin (non traçable) pour déverrouiller
• 24 heures de black out
Dr Arnaud Depil Duval - Urgences Evreux Vernon
Multiples attaques
• Ransonware Samsam : 44.000$
• 300% de Ransomware depuis 2012
• Et les dispositifs médicaux?
Dr Arnaud Depil Duval - Urgences Evreux Vernon
Attaque indirecte
Spéculateurs
• Medsec dénonce les failles des
pacemakers St Jude
• Les actions St Jude chutent
• Medsec achète les actions St
Jude…
Dr Arnaud Depil Duval - Urgences Evreux Vernon
Cyber attaque et santé
Dr Arnaud Depil Duval - Urgences Evreux Vernon
Pourquoi attaquer la santé?
Peu protégée
Coordonnées
bancaire et
sécurité sociale
Rançon
Dr Arnaud Depil Duval - Urgences Evreux Vernon
Cyberattaque et diabète
Dr Arnaud Depil Duval - Urgences Evreux Vernon
Cyberattaque et
diabète
• Objectifs :
• Rançon
• Sabotage industriel
• Homicide
Hacker Halted
2011
Antenne radio (100$)
Récupération données
Modification des
informations transmises
par la sonde en vue
d’administrer une
surdose
Envoi de commandes
radio directement à la
pompe pour modifier les
doses injectées sans
passer par les capteurs
Dr Arnaud Depil Duval - Urgences Evreux Vernon
Les Hackers (connus…)
Dr Arnaud Depil Duval - Urgences Evreux Vernon
Un risque non négligeable…
Dr Arnaud Depil Duval - Urgences Evreux Vernon
Faille de sécurités
2016
• Johnson & Johnson pompes One Touch Ping
• Injection d’une dose sans contrôle
• Redémarrage de 14.000 appareils
Dr Arnaud Depil Duval - Urgences Evreux Vernon
Pourquoi attaquer les dispositifs médicaux?
Dr Arnaud Depil Duval - Urgences Evreux Vernon
Failles de sécurité
• Systèmes d’exploitation anciens
• Protection faible
• Pas de mise à jour vis-à-vis des nouvelles
menaces
Dr Arnaud Depil Duval - Urgences Evreux Vernon
Des dispositifs
fragiles
• Limitation des évolution de
sécurité du fait des autorisations
• Peu d’évolution après vente
• Matériel à cycle de vie long
• Pas de moyen de détection /
réparation
Dr Arnaud Depil Duval - Urgences Evreux Vernon
Les dispositifs pilotés
par smartphone
Dr Arnaud Depil Duval - Urgences Evreux Vernon
Le smartphone un dispositif
médical?
• Utilisation du smartphone
comme interface
• Pilote
• Calculateur
• Non soumis à la norme
dispositif medical
• Failles de sécurité
Dr Arnaud Depil Duval - Urgences Evreux Vernon
Bluetoodeath
• Accès de proximité
• Objets connectés peu sécurisés
• Passerelle vers la pompe ou le
lecteur
Dr Arnaud Depil Duval - Urgences Evreux Vernon
Se protéger contre les
cyberattaques
Dr Arnaud Depil Duval - Urgences Evreux Vernon
Quelques règles
• Préférer les modèles avec télécommande
dédiée
• Eviter l’accès internet
• Eviter le Bluetooth
• Préférer l’accès filaire
Dr Arnaud Depil Duval - Urgences Evreux Vernon
Industrie
Une prise de conscience nécessaire
Dr Arnaud Depil Duval - Urgences Evreux Vernon
Cybersécurité
• Pas de prise de conscience
• Politique de l’autruche ; Medtronics
« Le très faible risque d'attaque
malveillante doit être mis en regard
des nombreux bénéfices »
• Défaut d’anticipation
Dr Arnaud Depil Duval - Urgences Evreux Vernon
La solution?
Dr Arnaud Depil Duval - Urgences Evreux Vernon
FDA
• Cybersecurity for Networked
Medical Devices Containing
Off-The Shelf (OTS) Software
• Responsabilité du fabricant
• Norme UL-2900 :
• Norme pour la cybersécurité
logicielle des dispositifs
connectables à un réseau
• Exigences particulières pour les
systèmes de santé
Dr Arnaud Depil Duval - Urgences Evreux Vernon
Lutter
• Renforcer l’authentification
mutuelle des sondes de
glycémie et des pompes à
insuline
• Chiffrer les signaux échangés
afin de les rendre illisibles en cas
d’interception
Dr Arnaud Depil Duval - Urgences Evreux Vernon
Dr Arnaud Depil Duval - Urgences Evreux Vernon
Dr Arnaud Depil Duval - Urgences Evreux Vernon

Contenu connexe

Similaire à Cybersécurité & diabète

Le cabinet médical numérique
Le cabinet médical numériqueLe cabinet médical numérique
Le cabinet médical numériqueArnaud Depil-Duval
 
La Pharmacovigilance et les réseaux sociaux: Aspects pratiques et réglementa...
La Pharmacovigilance et les réseaux sociaux: Aspects pratiques et réglementa...La Pharmacovigilance et les réseaux sociaux: Aspects pratiques et réglementa...
La Pharmacovigilance et les réseaux sociaux: Aspects pratiques et réglementa...Evelyne Pierron
 
Télémédecine en médecine d’urgence
Télémédecine en médecine d’urgenceTélémédecine en médecine d’urgence
Télémédecine en médecine d’urgenceArnaud Depil-Duval
 
Rencontre IRL Online : la e-santé et les enjeux de la cyber sécurité
Rencontre IRL Online : la e-santé et les enjeux de la cyber sécuritéRencontre IRL Online : la e-santé et les enjeux de la cyber sécurité
Rencontre IRL Online : la e-santé et les enjeux de la cyber sécuritéhcsmeufr
 
20171129-5 colloque ssi-declaration des incidents ssi
20171129-5 colloque ssi-declaration des incidents ssi20171129-5 colloque ssi-declaration des incidents ssi
20171129-5 colloque ssi-declaration des incidents ssiASIP Santé
 
Vivisol exploite les nouvelles technologies pour mieux suivre les patients
Vivisol exploite les nouvelles technologies pour mieux suivre les patientsVivisol exploite les nouvelles technologies pour mieux suivre les patients
Vivisol exploite les nouvelles technologies pour mieux suivre les patientsSolutions IT et Business
 
Life Sience Industry in Israël
Life Sience Industry in IsraëlLife Sience Industry in Israël
Life Sience Industry in IsraëlFSJU AUJF
 
Talk Siliadin " 3D Print Medecine Afrique "
Talk Siliadin " 3D Print Medecine Afrique "Talk Siliadin " 3D Print Medecine Afrique "
Talk Siliadin " 3D Print Medecine Afrique "LAfricaine
 
Intelligence artificielle et soin.pptx
Intelligence artificielle et soin.pptxIntelligence artificielle et soin.pptx
Intelligence artificielle et soin.pptxArnaud Depil-Duval
 
E-commerce - protection des données personnelles
E-commerce - protection des données personnellesE-commerce - protection des données personnelles
E-commerce - protection des données personnellesUNIVERSITE DE METZ
 
Restriction Protection Vie Privee
Restriction Protection Vie PriveeRestriction Protection Vie Privee
Restriction Protection Vie PriveeKatheline Coleman
 
Politique de sécurité des systèmes d'information hospitaliers
Politique de sécurité des systèmes d'information hospitaliersPolitique de sécurité des systèmes d'information hospitaliers
Politique de sécurité des systèmes d'information hospitaliersSara SI-MOUSSI
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)Diane de Haan
 

Similaire à Cybersécurité & diabète (20)

Le cabinet médical numérique
Le cabinet médical numériqueLe cabinet médical numérique
Le cabinet médical numérique
 
La Pharmacovigilance et les réseaux sociaux: Aspects pratiques et réglementa...
La Pharmacovigilance et les réseaux sociaux: Aspects pratiques et réglementa...La Pharmacovigilance et les réseaux sociaux: Aspects pratiques et réglementa...
La Pharmacovigilance et les réseaux sociaux: Aspects pratiques et réglementa...
 
Télémédecine en médecine d’urgence
Télémédecine en médecine d’urgenceTélémédecine en médecine d’urgence
Télémédecine en médecine d’urgence
 
Focus sur les Cyber Risks dans le milieu hospitalier
Focus sur les Cyber Risks dans le milieu hospitalierFocus sur les Cyber Risks dans le milieu hospitalier
Focus sur les Cyber Risks dans le milieu hospitalier
 
Webinar ATN+ symantec
Webinar ATN+  symantecWebinar ATN+  symantec
Webinar ATN+ symantec
 
Rencontre IRL Online : la e-santé et les enjeux de la cyber sécurité
Rencontre IRL Online : la e-santé et les enjeux de la cyber sécuritéRencontre IRL Online : la e-santé et les enjeux de la cyber sécurité
Rencontre IRL Online : la e-santé et les enjeux de la cyber sécurité
 
20171129-5 colloque ssi-declaration des incidents ssi
20171129-5 colloque ssi-declaration des incidents ssi20171129-5 colloque ssi-declaration des incidents ssi
20171129-5 colloque ssi-declaration des incidents ssi
 
Vivisol exploite les nouvelles technologies pour mieux suivre les patients
Vivisol exploite les nouvelles technologies pour mieux suivre les patientsVivisol exploite les nouvelles technologies pour mieux suivre les patients
Vivisol exploite les nouvelles technologies pour mieux suivre les patients
 
Life Sience Industry in Israël
Life Sience Industry in IsraëlLife Sience Industry in Israël
Life Sience Industry in Israël
 
Talk Siliadin " 3D Print Medecine Afrique "
Talk Siliadin " 3D Print Medecine Afrique "Talk Siliadin " 3D Print Medecine Afrique "
Talk Siliadin " 3D Print Medecine Afrique "
 
Intelligence artificielle et soin.pptx
Intelligence artificielle et soin.pptxIntelligence artificielle et soin.pptx
Intelligence artificielle et soin.pptx
 
E-commerce - protection des données personnelles
E-commerce - protection des données personnellesE-commerce - protection des données personnelles
E-commerce - protection des données personnelles
 
#Mdr #busson b
#Mdr #busson b#Mdr #busson b
#Mdr #busson b
 
G7 Hackathon 12 2012 Info Sante
G7 Hackathon 12 2012 Info SanteG7 Hackathon 12 2012 Info Sante
G7 Hackathon 12 2012 Info Sante
 
G7 hackathon122012-info sante
G7 hackathon122012-info santeG7 hackathon122012-info sante
G7 hackathon122012-info sante
 
E mergency urgences 2017
E mergency urgences 2017E mergency urgences 2017
E mergency urgences 2017
 
Telemedecine urgences
Telemedecine urgencesTelemedecine urgences
Telemedecine urgences
 
Restriction Protection Vie Privee
Restriction Protection Vie PriveeRestriction Protection Vie Privee
Restriction Protection Vie Privee
 
Politique de sécurité des systèmes d'information hospitaliers
Politique de sécurité des systèmes d'information hospitaliersPolitique de sécurité des systèmes d'information hospitaliers
Politique de sécurité des systèmes d'information hospitaliers
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
 

Plus de Arnaud Depil-Duval

Digital medical-hub-aphp-patient-numerique
Digital medical-hub-aphp-patient-numeriqueDigital medical-hub-aphp-patient-numerique
Digital medical-hub-aphp-patient-numeriqueArnaud Depil-Duval
 
Optimiser son temps de travail et pourquoi pas la sieste
Optimiser son temps de travail et pourquoi pas la siesteOptimiser son temps de travail et pourquoi pas la sieste
Optimiser son temps de travail et pourquoi pas la siesteArnaud Depil-Duval
 
Tele enseignement en medecine generale
Tele enseignement en medecine generaleTele enseignement en medecine generale
Tele enseignement en medecine generaleArnaud Depil-Duval
 
Souffrance des soignants sfetd
Souffrance des soignants sfetdSouffrance des soignants sfetd
Souffrance des soignants sfetdArnaud Depil-Duval
 
Les nouvelles technologies contre la douleur
Les nouvelles technologies contre la douleurLes nouvelles technologies contre la douleur
Les nouvelles technologies contre la douleurArnaud Depil-Duval
 
Alcool et chute des personnes âgées aux urgences
Alcool et chute des personnes âgées aux urgencesAlcool et chute des personnes âgées aux urgences
Alcool et chute des personnes âgées aux urgencesArnaud Depil-Duval
 
Nouvelles technologie et urgences SUdF
Nouvelles technologie et urgences SUdFNouvelles technologie et urgences SUdF
Nouvelles technologie et urgences SUdFArnaud Depil-Duval
 
Easy antalgie 2019 opioides en pediatrie
Easy antalgie 2019 opioides en pediatrieEasy antalgie 2019 opioides en pediatrie
Easy antalgie 2019 opioides en pediatrieArnaud Depil-Duval
 
Sieste ANFH Concordance des temps
Sieste ANFH Concordance des tempsSieste ANFH Concordance des temps
Sieste ANFH Concordance des tempsArnaud Depil-Duval
 
Acute & Traumatics wounds - Infectious risk
Acute & Traumatics wounds - Infectious riskAcute & Traumatics wounds - Infectious risk
Acute & Traumatics wounds - Infectious riskArnaud Depil-Duval
 

Plus de Arnaud Depil-Duval (20)

Justified antalgiques.pptx
Justified antalgiques.pptxJustified antalgiques.pptx
Justified antalgiques.pptx
 
Justified IPP.pptx
Justified IPP.pptxJustified IPP.pptx
Justified IPP.pptx
 
Urgences du futur ghpsj
Urgences du futur ghpsjUrgences du futur ghpsj
Urgences du futur ghpsj
 
Digital medical-hub-aphp-patient-numerique
Digital medical-hub-aphp-patient-numeriqueDigital medical-hub-aphp-patient-numerique
Digital medical-hub-aphp-patient-numerique
 
Optimiser son temps de travail et pourquoi pas la sieste
Optimiser son temps de travail et pourquoi pas la siesteOptimiser son temps de travail et pourquoi pas la sieste
Optimiser son temps de travail et pourquoi pas la sieste
 
Les urgences du futur
Les urgences du futurLes urgences du futur
Les urgences du futur
 
Tele enseignement en medecine generale
Tele enseignement en medecine generaleTele enseignement en medecine generale
Tele enseignement en medecine generale
 
La tele sante en pratique
La tele sante en pratiqueLa tele sante en pratique
La tele sante en pratique
 
Souffrance des soignants sfetd
Souffrance des soignants sfetdSouffrance des soignants sfetd
Souffrance des soignants sfetd
 
Led project certdc
Led project certdcLed project certdc
Led project certdc
 
ESCale news
ESCale newsESCale news
ESCale news
 
Les nouvelles technologies contre la douleur
Les nouvelles technologies contre la douleurLes nouvelles technologies contre la douleur
Les nouvelles technologies contre la douleur
 
Revascularisation sca sfmu
Revascularisation sca sfmuRevascularisation sca sfmu
Revascularisation sca sfmu
 
Alcool et chute des personnes âgées aux urgences
Alcool et chute des personnes âgées aux urgencesAlcool et chute des personnes âgées aux urgences
Alcool et chute des personnes âgées aux urgences
 
Nouvelles technologie et urgences SUdF
Nouvelles technologie et urgences SUdFNouvelles technologie et urgences SUdF
Nouvelles technologie et urgences SUdF
 
Guide du sommeil GPM
Guide du sommeil GPMGuide du sommeil GPM
Guide du sommeil GPM
 
Easy antalgie 2019 opioides en pediatrie
Easy antalgie 2019 opioides en pediatrieEasy antalgie 2019 opioides en pediatrie
Easy antalgie 2019 opioides en pediatrie
 
Sieste ANFH Concordance des temps
Sieste ANFH Concordance des tempsSieste ANFH Concordance des temps
Sieste ANFH Concordance des temps
 
Lésions chimiques
Lésions chimiquesLésions chimiques
Lésions chimiques
 
Acute & Traumatics wounds - Infectious risk
Acute & Traumatics wounds - Infectious riskAcute & Traumatics wounds - Infectious risk
Acute & Traumatics wounds - Infectious risk
 

Dernier

Le rôle central de la médecine interne dans l’évolution des systèmes de santé...
Le rôle central de la médecine interne dans l’évolution des systèmes de santé...Le rôle central de la médecine interne dans l’évolution des systèmes de santé...
Le rôle central de la médecine interne dans l’évolution des systèmes de santé...Khadija Moussayer
 
Module 10 Causerie educative en planification familiale.pptx
Module 10 Causerie educative en planification familiale.pptxModule 10 Causerie educative en planification familiale.pptx
Module 10 Causerie educative en planification familiale.pptxOuedraogoSoumaila3
 
《购买维多利亚大学学历本科学位证书》
《购买维多利亚大学学历本科学位证书》《购买维多利亚大学学历本科学位证书》
《购买维多利亚大学学历本科学位证书》rnrncn29
 
Dr MEHRI TURKI IMEN - Traitement du double menton : Une nouvelle technique tu...
Dr MEHRI TURKI IMEN - Traitement du double menton : Une nouvelle technique tu...Dr MEHRI TURKI IMEN - Traitement du double menton : Une nouvelle technique tu...
Dr MEHRI TURKI IMEN - Traitement du double menton : Une nouvelle technique tu...Aymen Masri
 
Anatomie ou ostéologie de l'appareil musculo-squelettique (tronc) .pdf
Anatomie ou ostéologie de l'appareil musculo-squelettique (tronc) .pdfAnatomie ou ostéologie de l'appareil musculo-squelettique (tronc) .pdf
Anatomie ou ostéologie de l'appareil musculo-squelettique (tronc) .pdfssuser4a70ad1
 
CHANGEMENT DE PANSEMENT et quelques types .pptx
CHANGEMENT DE PANSEMENT et quelques types .pptxCHANGEMENT DE PANSEMENT et quelques types .pptx
CHANGEMENT DE PANSEMENT et quelques types .pptxKawTar253413
 
Résultats de la seconde vague du baromètre de la santé connectée 2024
Résultats de la seconde vague du baromètre de la santé connectée 2024Résultats de la seconde vague du baromètre de la santé connectée 2024
Résultats de la seconde vague du baromètre de la santé connectée 2024benj_2
 

Dernier (7)

Le rôle central de la médecine interne dans l’évolution des systèmes de santé...
Le rôle central de la médecine interne dans l’évolution des systèmes de santé...Le rôle central de la médecine interne dans l’évolution des systèmes de santé...
Le rôle central de la médecine interne dans l’évolution des systèmes de santé...
 
Module 10 Causerie educative en planification familiale.pptx
Module 10 Causerie educative en planification familiale.pptxModule 10 Causerie educative en planification familiale.pptx
Module 10 Causerie educative en planification familiale.pptx
 
《购买维多利亚大学学历本科学位证书》
《购买维多利亚大学学历本科学位证书》《购买维多利亚大学学历本科学位证书》
《购买维多利亚大学学历本科学位证书》
 
Dr MEHRI TURKI IMEN - Traitement du double menton : Une nouvelle technique tu...
Dr MEHRI TURKI IMEN - Traitement du double menton : Une nouvelle technique tu...Dr MEHRI TURKI IMEN - Traitement du double menton : Une nouvelle technique tu...
Dr MEHRI TURKI IMEN - Traitement du double menton : Une nouvelle technique tu...
 
Anatomie ou ostéologie de l'appareil musculo-squelettique (tronc) .pdf
Anatomie ou ostéologie de l'appareil musculo-squelettique (tronc) .pdfAnatomie ou ostéologie de l'appareil musculo-squelettique (tronc) .pdf
Anatomie ou ostéologie de l'appareil musculo-squelettique (tronc) .pdf
 
CHANGEMENT DE PANSEMENT et quelques types .pptx
CHANGEMENT DE PANSEMENT et quelques types .pptxCHANGEMENT DE PANSEMENT et quelques types .pptx
CHANGEMENT DE PANSEMENT et quelques types .pptx
 
Résultats de la seconde vague du baromètre de la santé connectée 2024
Résultats de la seconde vague du baromètre de la santé connectée 2024Résultats de la seconde vague du baromètre de la santé connectée 2024
Résultats de la seconde vague du baromètre de la santé connectée 2024
 

Cybersécurité & diabète

  • 1. Cybersécurité & diabète Réunion annuelle Réseau Pompe Diabète Provence 2018
  • 2. Les menaces Dr Arnaud Depil Duval - Urgences Evreux Vernon
  • 3. Types de menaces Perturbation des soins / services (y compris le risque de décès d’un patient) Fraudes pour induire le personnel soignant en erreur avec des emails trompeurs (spoof email) ou faux sites web afin d’obtenir des informations d’identification de connexion ou installer des logiciels malveillants (malware) Menaces internes (insider threat) intentionnelle ou non intentionnelle, qui peuvent constituer un danger significatif en raison de la position de confiance au sein d’une organisation Perte de données sur les patients - en particulier les données électroniques de santé protégées (electronic Protected Health Information - ePHI) Violation de données, exfiltration d’information et perte d’actifs Chantage, extorsion et contrainte par l’exploitation de données sensibles exfiltrées Vol de propriété intellectuelle (Intellectual Property - IP) Dr Arnaud Depil Duval - Urgences Evreux Vernon
  • 4. Qui sont les criminels? Hackers Opérateurs de réseau de robot Groupes criminels Agences de renseignement étrangères Initiés Hameçonneurs (Phishers) Spammeurs Auteurs de logiciels espions / malveillants (spyware/malware) Terroristes Espions industriels Spéculateurs Dr Arnaud Depil Duval - Urgences Evreux Vernon
  • 5. Agents vulnérants • Malware (logiciel malveillant) : • Virus : replication et propagation en se cachant dans un programme • Ver : envoi d’une copie vers une autre machine • Cheval de Troie • Spyware (logiciel espion)
  • 6. Agents vulnérants (2) • Ransomware (rançongiciel) : • Cryptage des données • Chantage • Demande de rançon • Wannacry, Winlock, etc. • 120000 logiciels référencés en 2012
  • 7. Dr Arnaud Depil Duval - Urgences Evreux Vernon Mythe ou réalité?
  • 8. Une menace bien réelle • Anatomy of an Attack – Medical Device Hijack 2 • USA depuis 2009, 1286 incidents pour 28 milliards € • Hôpitaux : 6% du budget consacré à la cybersécurité (industrie : 16%) Dr Arnaud Depil Duval - Urgences Evreux Vernon
  • 9. Cyber attaque NHS • Rançongiciel Wannacry • 300$ en bitcoin (non traçable) pour déverrouiller • 24 heures de black out Dr Arnaud Depil Duval - Urgences Evreux Vernon
  • 10. Multiples attaques • Ransonware Samsam : 44.000$ • 300% de Ransomware depuis 2012 • Et les dispositifs médicaux? Dr Arnaud Depil Duval - Urgences Evreux Vernon
  • 12. Spéculateurs • Medsec dénonce les failles des pacemakers St Jude • Les actions St Jude chutent • Medsec achète les actions St Jude… Dr Arnaud Depil Duval - Urgences Evreux Vernon
  • 13. Cyber attaque et santé Dr Arnaud Depil Duval - Urgences Evreux Vernon
  • 14. Pourquoi attaquer la santé? Peu protégée Coordonnées bancaire et sécurité sociale Rançon Dr Arnaud Depil Duval - Urgences Evreux Vernon
  • 15. Cyberattaque et diabète Dr Arnaud Depil Duval - Urgences Evreux Vernon
  • 16. Cyberattaque et diabète • Objectifs : • Rançon • Sabotage industriel • Homicide
  • 17. Hacker Halted 2011 Antenne radio (100$) Récupération données Modification des informations transmises par la sonde en vue d’administrer une surdose Envoi de commandes radio directement à la pompe pour modifier les doses injectées sans passer par les capteurs Dr Arnaud Depil Duval - Urgences Evreux Vernon
  • 18. Les Hackers (connus…) Dr Arnaud Depil Duval - Urgences Evreux Vernon
  • 19. Un risque non négligeable… Dr Arnaud Depil Duval - Urgences Evreux Vernon
  • 20. Faille de sécurités 2016 • Johnson & Johnson pompes One Touch Ping • Injection d’une dose sans contrôle • Redémarrage de 14.000 appareils Dr Arnaud Depil Duval - Urgences Evreux Vernon
  • 21. Pourquoi attaquer les dispositifs médicaux? Dr Arnaud Depil Duval - Urgences Evreux Vernon
  • 22. Failles de sécurité • Systèmes d’exploitation anciens • Protection faible • Pas de mise à jour vis-à-vis des nouvelles menaces Dr Arnaud Depil Duval - Urgences Evreux Vernon
  • 23. Des dispositifs fragiles • Limitation des évolution de sécurité du fait des autorisations • Peu d’évolution après vente • Matériel à cycle de vie long • Pas de moyen de détection / réparation Dr Arnaud Depil Duval - Urgences Evreux Vernon
  • 24. Les dispositifs pilotés par smartphone Dr Arnaud Depil Duval - Urgences Evreux Vernon
  • 25. Le smartphone un dispositif médical? • Utilisation du smartphone comme interface • Pilote • Calculateur • Non soumis à la norme dispositif medical • Failles de sécurité Dr Arnaud Depil Duval - Urgences Evreux Vernon
  • 26. Bluetoodeath • Accès de proximité • Objets connectés peu sécurisés • Passerelle vers la pompe ou le lecteur Dr Arnaud Depil Duval - Urgences Evreux Vernon
  • 27. Se protéger contre les cyberattaques Dr Arnaud Depil Duval - Urgences Evreux Vernon
  • 28. Quelques règles • Préférer les modèles avec télécommande dédiée • Eviter l’accès internet • Eviter le Bluetooth • Préférer l’accès filaire Dr Arnaud Depil Duval - Urgences Evreux Vernon
  • 29. Industrie Une prise de conscience nécessaire Dr Arnaud Depil Duval - Urgences Evreux Vernon
  • 30. Cybersécurité • Pas de prise de conscience • Politique de l’autruche ; Medtronics « Le très faible risque d'attaque malveillante doit être mis en regard des nombreux bénéfices » • Défaut d’anticipation Dr Arnaud Depil Duval - Urgences Evreux Vernon
  • 31. La solution? Dr Arnaud Depil Duval - Urgences Evreux Vernon
  • 32. FDA • Cybersecurity for Networked Medical Devices Containing Off-The Shelf (OTS) Software • Responsabilité du fabricant • Norme UL-2900 : • Norme pour la cybersécurité logicielle des dispositifs connectables à un réseau • Exigences particulières pour les systèmes de santé Dr Arnaud Depil Duval - Urgences Evreux Vernon
  • 33. Lutter • Renforcer l’authentification mutuelle des sondes de glycémie et des pompes à insuline • Chiffrer les signaux échangés afin de les rendre illisibles en cas d’interception Dr Arnaud Depil Duval - Urgences Evreux Vernon
  • 34. Dr Arnaud Depil Duval - Urgences Evreux Vernon
  • 35. Dr Arnaud Depil Duval - Urgences Evreux Vernon

Notes de l'éditeur

  1. Hackers – recherche de sensations fortes, le défi ou pour atteindre un objectif précis. Outils plus sophistiqués, plus faciles à utiliser et disponibles librement. Opérateurs de réseau de robot – prennent le contrôle de plusieurs systèmes pour effectuer des attaques et distribuer des schémas de hameçonnage (phishing), des logiciels malveillants et du pourriel (spam). Les prestations peuvent être vendues pour des attaques par déni de service ou pour relayer des attaques de spam et de phishing. Groupes criminels – attaque des systèmes à des fins monétaires, notamment via le spam, les programmes de phishing, les attaques par des logiciels espions et de logiciels malveillants pour commettre des vols d’identité et des fraudes en ligne. Espionnage industriel, les rançongiciels (ransomware) et l’extorsion avec menace de cyberattaque. Accès aux systèmes en réseau en tant que service pouvant être vendu à des tiers criminels. Agences de renseignement étrangères – utilisent des outils cybernétiques pour le renseignement, l’espionnage et pour créer divers effets, y compris le sabotage. Ils peuvent chercher à utiliser les systèmes de santé pour obtenir des renseignements personnels et leurs activités peuvent même nuire aux patients. Initiés – employés et fournisseurs mécontents qui ont un accès complet ou peu restreint aux systèmes et peuvent volontairement ou involontairement introduire des logiciels malveillants ou des changements indésirables. Hameçonneurs (Phishers) – individus ou groupes qui effectuent des opérations de hameçonnage (phishing) afin de voler des identités et des informations à des fins monétaires. Spammeurs – qui envoient des courriels non sollicités, contenant éventuellement des informations cachées ou fausses, exécutant des schémas de hameçonnage (phishing) et des attaques par déni de service. Auteurs de logiciels espions / malveillants (spyware/malware) –qui produisent et distribuent des logiciels espions à des fins malveillantes, souvent pour des gains monétaires. Terroristes – qui cherchent à perturber, à détruire ou à exploiter des infrastructures essentielles pour menacer la sécurité nationale. Les terroristes peuvent utiliser des logiciels espions / malveillants et des systèmes de hameçonnage (phishing) pour financer leurs activités. Espions industriels – qui cherchent à acquérir la propriété intellectuelle et connaissances en utilisant des méthodes clandestines. Il est largement rapporté que certains pays et leurs mandataires sont très actifs.
  2. Barnaby Jack et l’antenne Jay Radcliff et dispositif breches Medtronics
  3. 14000 patients ont dû éteindre leur appareil Réservoir jusqu’à 300 unités
  4. Note parue le 5 juillet 2017