Point de situation cybersécurité · 2015-06-30 · Organisation SSI • la loi n°2013-1168 du 18...
Transcript of Point de situation cybersécurité · 2015-06-30 · Organisation SSI • la loi n°2013-1168 du 18...
Point de situation cybersécurité« Santé »
………………………………………………………………………………………………………………………………………………………..….….………………………………………………………………………………………………………………………………………………………..
.…
.…
.…Information
………………………………………………………………………………………………………………………………………………………..….….………………………………………………………………………………………………………………………………………………………..
.…
.…
.…Définition – Système d’information
3 Elaborer
Détruire
Stocker
Traiter
Acheminer
Virus
MdP SIHtraitement SCADA€
dossier
PrésenterPatient
€
Ensemble des moyens humains et matériels ayant pour finalité
………………………………………………………………………………………………………………………………………………………..….….………………………………………………………………………………………………………………………………………………………..
.…
.…
.…Complexification des SI
4
………………………………………………………………………………………………………………………………………………………..….….………………………………………………………………………………………………………………………………………………………..
.…
.…
.…SI en santé (ES/EMS)
SIH DM
GTB
OC
GTC
@
Risque IT
• Gestion approximative des actifs IT
• Multiples failles de sécurité
• Comportements et usages déviants
• Hétérogénéité des versions des logiciels
• Indisponibilité et mauvaise performance
Risque métier
• Non-interopérabilité des SI cliniques
• Fiabilité altérée des diagnostics
• Fuite de données, données corrompues
• Efficience des procédures
Risque légal
• Obligations légales non respectées
• Double saisie du PMSI
• Gestion budgétaire altérée
• Déploiement CPS non contrôlé
SIS : problématique
Maîtrise des risques IT,
Métier, Légaux
ConformitéIntégrité
Supervision
………………………………………………………………………………………………………………………………………………………..….….………………………………………………………………………………………………………………………………………………………..
.…
.…
.…Organisation SSI
• la loi n°2013-1168 du 18 décembre 2013, « le Premier ministre définit la politique et coordonne l’action gouvernementale en matière de sécurité et de défense des systèmes d’information.
• La sécurité de l’information relève des responsabilités propres à chaque ministre dans le domaine dont il a la charge. Il est assisté par un haut fonctionnaire de défense et de sécurité (HFDS) dont les attributions sont fixées par le code de la défense. Le HFDS relève directement du ministre et dispose d’un service spécialisé.
• Un fonctionnaire de sécurité des systèmes d’information (FSSI) est désigné par le ministre et généralement placé sous l’autorité du HFDS. Il anime la politique de sécurité des systèmes d’information et en contrôle l’application.
Chaîne fonctionnelle de la Sécurité des Systèmes d’Information (SSI)
• AQSSI (Autorité Qualifiée de Sécurité des Systèmes d’Information), qui est l’autorité hiérarchique (la personne juridiquement responsable)
• Le RSSI désigné par l’AQSSI qui leur remet une « lettre de mission » explicitant leurs attributions. Le RSSI étant un maillon important de la chaîne fonctionnelle SSI, sa désignation doit faire l’objet d’une attention particulière
………………………………………………………………………………………………………………………………………………………..….….………………………………………………………………………………………………………………………………………………………..
.…
.…
.…Une réalité
Nb Incidents traités sur 2 mois
Santé
Travail
Sports66%
34%
Du 01/01/15 au 11/02/15 (Santé)
Incidents
Attaques
11 %
89%
bloquées
réussies
Attaques
8041
14
………………………………………………………………………………………………………………………………………………………..….….………………………………………………………………………………………………………………………………………………………..
.…
.…
.…anecdotes qui mériteraient une conférence.
• Les grandes catastrophes auraient pour la plupart pu être évitées par des solutions et procédures contrôlées simples :
• Plate forme pétrolière BP :– le système de sécurité de la vanne avait été désactivé, car générant trop de
faux positifs
• Société Générale Kerviel :– le trader était aussi le concepteur de l’outil de trading
• Fukushima :– Les ingénieurs étaient persuadés que la pompe de refroidissement était
ouverte
• Le virus Stuxnet :– utilisait le mot de passe par défaut des équipements Siemens
• Drame du Hesel :– par manque de contrôles un trop grand nombre de spectateurs sans billets
assistent au match
Et dans la santé…
………………………………………………………………………………………………………………………………………………………..….….………………………………………………………………………………………………………………………………………………………..
.…
.…
.…De multiples points d’entrée
• responsabilité d’un tiers / prestataire• smartphone/tablette/USB• systèmes hétérogènes / MCS• malveillances• déviances par rapport aux protocoles• erreurs humaines• mauvaise organisation
173,5 jours
Qui prennent de l’ampleur à cause de détections tardives :
Mobilisation de 20 à 150 jours / hommes
………………………………………………………………………………………………………………………………………………………..….….………………………………………………………………………………………………………………………………………………………..
.…
.…
.…Résultats
• Fichiers perdus• Induction d’erreurs• Ralentissement / Interruption des missions / perte de chances
– Incident délétère pour les patients
• Facteur de coûts directs et indirects :
– 5 000€ (EHPAD) <Surfacturation téléphonique<40 000€ (CH)
– 2j/h <Intervention <36j/h
– Mise à niveau à prévoir (organisationnelle et technique)
– Potentiellement un risque juridique fort (SI non conformes, fuites de données personnelles…)
Il est urgent de maîtriser les risques induits par les systèmes d’information et leur utilisation pour réduire les risques métiers et ainsi les risques légaux.
………………………………………………………………………………………………………………………………………………………..….….………………………………………………………………………………………………………………………………………………………..
.…
.…
.…Incident
Mineur **
Majeur
Critique
Fonctionnement normal *
* SI MCO et MCS en œuvre**En matière de SSI se méfier des élément considérés comme mineurs Cf. Cryptovirus
………………………………………………………………………………………………………………………………………………………..….….………………………………………………………………………………………………………………………………………………………..
.…
.…
.…Gestion des évènements SSI
Détection d’un incident
Alerte
Analyse
Qualification
Traitement / Appui
Capitalisation
Tout agent
Resp de proximité, AQSSI, sécu opér. FSSI
Resp de proximité, AQSSI, sécu opér. FSSI
AQSSI, sécu opér. FSSI
Cellule de crise / FSSI
Capitalisation
Alerte Autre Org.
………………………………………………………………………………………………………………………………………………………..….….………………………………………………………………………………………………………………………………………………………..
.…
.…
.… Constat
90% desincidents sont
de sourcesinternes
20% de mesuresadéquates de base
réglent 80% desproblèmes
La sécurité n’estpas un problème
de moyens mais degouvernance, decompétences etd’appropriation
………………………………………………………………………………………………………………………………………………………..….….………………………………………………………………………………………………………………………………………………………..
.…
.…
.…AQSSI
ARRÊTÉ DU 12 JUIN 2011 :
Désigne les AQSSI (autoritésqualifiées pour la sécurité dessystèmes d’information )
• rappelle leurs responsabilités
• décrit leurs obligations
C’est le responsable (juridique),pour sa structure, de la sécurité dessystèmes d'information est le D.G. Saresponsabilité en la matière ne peutêtre déléguée.
Il s’assure, à ce titre, del’application des instructionsministérielles sous l’autorité du hautfonctionnaire de défense et desécurité.
………………………………………………………………………………………………………………………………………………………..….….………………………………………………………………………………………………………………………………………………………..
.…
.…
.…Rôle de l’AQSSI
•Opérationnel• Sponsor
• Pilotage• Stratégique
Porter la stratégie de sécurité
Organiser et contrôler le
déploiement de la Politique de
Sécurité (PSSI).
S’assurer de l’efficience des
actions de sécurité
Permettre aux intervenants en
charge de cybersécurité
d’accomplir leur mission et les
appuyer
………………………………………………………………………………………………………………………………………………………..….….………………………………………………………………………………………………………………………………………………………..
.…
.…
.…PSSIE - RGS
Chaque entité met en place un dispositif de gestion des risques pour ses systèmes
d’information. Ce dispositif doit permettre une meilleure maîtrise de la sécurité des SI par
la mise en œuvre de mesures de protection proportionnées aux enjeux et en adéquation
avec les risques encourus.
Dans ce but, chaque entité :
•Met en place une organisation en application de la PSSIE
•Etablit un inventaire de ses SI et en évalue la sensibilité
•Conduit une analyse de risques pour ses SI, selon la méthode préconisée par le RGS et
met en place des mesures de sécurité applicables
•Conduit des actions de motivation : sensibilisation et formation à la SSI, communication
claires des sanctions encourues (Charte)
•Conduit des actions régulières de contrôle du niveau de sécurité de ses SI et met en
œuvre des actions correctives
•Met en place les processus lui permettant de faire face aux alertes, aux incidents de
sécurité et aux situations d’urgence
………………………………………………………………………………………………………………………………………………………..….….………………………………………………………………………………………………………………………………………………………..
.…
.…
.…Sur l’ensemble des MCAS
………………………………………………………………………………………………………………………………………………………..….….………………………………………………………………………………………………………………………………………………………..
.…
.…
.…Réglementation
Administrations de l’État Secteur privéCitoyen
Ministère
Ministère
établissements publics sous
tutelle
Services déconcentrés
RGS PSSI E
…
………………………………………………………………………………………………………………………………………………………..….….………………………………………………………………………………………………………………………………………………………..
.…
.…
.…OBJECTIF : LA JUSTE SÉCURITÉ
• Trop de sécurité nuit à la sécurité– À tout interdire, le risque est multiplié et imprévisible
(contournements)
– Sécuriser a un coût, ne gaspillons pas l’argent public (protégerce qui doit l’être, à sa juste valeur)
• Pas de sécurité nuit à la sécurité– Supposer que chacun est conscient des risques est un pari osé
– Penser que le SI n’intéresse personne est une hérésie
• Déterminer les niveaux de risques pour chaquepérimètre du SI
………………………………………………………………………………………………………………………………………………………..….….………………………………………………………………………………………………………………………………………………………..
.…
.…
.…
Chaîne d’alerte CyberPlus l’information circule, plus elle crée de la valeur
Ne pas avoir honte de s’être fait pirater,
Le voir est une marque d ’un système bien géré !
Si de surcroît vous
faites« remonter » l’information,
vous rendez service àtoute la communauté
………………………………………………………………………………………………………………………………………………………..….….………………………………………………………………………………………………………………………………………………………..
.…
.…
.…Et au-delà ?
22
Faites-vous encore confiance en vos systèmes d’information de
santé ?
Thank you for being so …
… patient