Embed Size (px)
Citation preview
Chefferie de Projets et CybersécuritéTechnologies biomédicales et Cybersécurité
Conférence originale
GCS Télésanté Haute-Normandie
19 janvier 2017
Vincent TRELY
Expert en Cybersécurité et SIS
Président Fondateur de l’APSSIS – Association Pour la Sécurité des
Systèmes d’Information de Santé
Ancien Directeur des Systèmes d’Information, RSSI et Directeur des Pôles
Médico-Techniques (Biologie, Pharmacie, Imagerie) du Centre Hospitalier
du Mans (2007-2012)
Ancien DSI et Risk Manager du Groupe Industriel ARO - Langley Holdings
(2002-2007), RSSI de la Deutsche Bank France (2000-2002)
Maître de Conférences dans plusieurs Universités et Ecoles françaises et
internationales
Conseil auprès d’établissements de santé, GCS, ARS et Institutionnels
2
01net – les pirates à l’abordage des hôpitaux – pages 34 à 36 – N°852 – 2/15 novembre
Que Choisir – Etablissement de santé : Cyberattaques, les virus se répandent – pages 55-56 – N°550 – septembre 2016
FranceInter.fr – BigData : C’est une révolution qui va bouleverser notre système de santé – 8 septembre 2016
Ça m’intéresse – Hackers : De Quoi sont-ils vraiment capable – pages 76-78 – N°427 – septembre 2016
Biologiste info – Sécurité des SIH : Une prise de conscience qui tarde – juin/juillet/août 2016
France Bleu Maine – Introduction à la Cybersécurité – 5 avril 2016
Techniques Hospitalière – Et nos données de santé dans tout ça ? – pages 43-46 – N°756 – mars-avril 2016
Mag Securs – « Sécurité des objets connectés vaste programme… » - pages 30-31 – N°49 – 1er trimestre 2016
Le Maine – 3 questions à Vincent Trély – 2015
Le Figaro.fr – Les données de santé attirent les hackers – 13 février 2015
DSIH – Sécurité des SI : retour du front – pages 34-36 – N°14 – janvier 2015
Notre Temps Santé – Pour ou contre l’automesure – pages 10-11 – N°3 – décembre/janvier/février 2014/2015
Revue Hospitalière de France – 4 questions à Vincent Trély – pages 38-40 – N°560 – septembre-octobre 2014
DSIH – Les 50 qui font avancer la e-santé – page 49 – N°9 – mai 2013
Francetvinfo.fr – Quand des dossiers médicaux se retrouvent sur le net – 15 avril 2013
Le Monde – Des dossiers de patients divulgués sur internet – page 11 – N°21202 - 20 mars 2013
Le Mans TV (LMTV) – La sécurité des systèmes de santé – 4 décembre 2012
Lettre ENOVACOM – Cas d’établissement/gestion des identités – page 4 – 1er semestre 2011
Hôpital Partenaire – S.I.H – pages 91-93 – N°20 – juin 2011
Ouest France – Santé : gare au piratage des données numérisées – 2011
Votre conférence
1. Pourquoi parler de cybersécurité à l’Hôpital ?Cyber insécurité généraleCyber insécurité des systèmes connectés et des SI de santé
2. Institutions, Lois et RéglementationsLa Loi (Droit des Patients, Santé, Programmation Militaire, Renseignement) – la CNIL – les NormesStratégie : ANSSI – Ministère de la Santé – DGOS – ASIP Santé – ARS & GCSTactique : Gouvernance SSI - PSSI – Chartes – Acculturation aux bonnes pratiquesTerrain : VOUSContrôle : RSSI – Certifications HAS – Audits DGOS – CNIL – Certification des comptes – ISO 27XXX
3. Vous sur le terrain : vos pouvoirs, vos organisations, vos indicateurs, vos responsabilitésStatuts du Chef de Projet : Son rôle central – Un observateur privilégié – Un pouvoir délimité actifStatuts des Experts biomédicaux : Leur rôle central – Des observateurs privilégiés – Un pouvoir délimité actif
Pertinence des rôles : Application intelligente des règles – Pédagogie – Lanceur d’alertesLe rôle de l’analyse de risques
4. Questions – Réponses – Débat
5
1. Pourquoi parler de cybersécurité à l’Hôpital ?
6
Cyber insécurité généraleCyber insécurité des systèmes connectés et des SI de santé
Des exemples – Des chiffres – Des commentaires
400 millions de dollars : C'est la perte financière estimée liée aux fuites de données, provenant de 700 millions de donnéescompromises.
99,9% des vulnérabilités des systèmes sont exploitées plus d'un an après avoir été identifiées. 7 millions de vulnérabilités ontété exploitées en 2014, mais 10 vulnérabilités couvrent à elles seules 97% des attaques. Elles sont souvent très anciennes.
Il existe plus de 170 millions de malwares. Sur 20 000 organisations, 5 évènements liés à des malware ont lieu chaqueseconde.
30% des incidents sont attribuables à l'erreur humaine.
Il y a 9 modèles de risques identifiés, mais trois d'entre eux représentent 75% des attaques : les erreurs humaines, les menacesinternes, et les malwares.
http://www.usine-digitale.fr/article/la-complexification-des-cyberattaques-en-8-chiffres.N339067
7
Etat
Entreprise
Axe économique Axe politico militaire
CyberguerreCyber espionnage
CybercriminalitéCyberhacktivisme
8
Juin 2016 : Les données personnelles de 112.000 policiers ont fuité sur Internet
L’enquête vise un employé de la mutuelle. Ce dernier aurait agi par vengeance aprèsune affaire de primes non versées.
http://www.20minutes.fr/toulouse/1873723-20160627-donnees-personnelles-112000-policiers-fuite-internet
Juin 2016 : Des milliers de caméras de surveillance piratées pour mener des attaquesinformatiques
Certaines caméras de surveillance ne se contentent pas de filmer et de transférer leursimages à leur propriétaire. Une entreprise américaine de sécurité informatique a
récemment découvert que 25 000 d’entre elles, disséminées partout dans le monde,servaient aussi à mener des attaques informatiques.
http://mobile.lemonde.fr/pixels/article/2016/06/28/des-milliers-de-cameras-de-surveillance-piratees-pour-mener-des-attaques-informatiques_4959453_4408996.html
9
Juillet 2016 : La Chine probablement mêlée au piratage d'un régulateur bancaire américain
Des pirates informatiques probablement liés aux autorités chinoises ont pénétré au début de la décennie dans les ordinateurs d'un régulateur bancaire américain, y compris celui de sa présidente, selon une commission du Congrès américain.
http://www.zonebourse.com/actualite-bourse/La-Chine-probablement-melee-au-piratage-d-un-regulateur-bancaire-americain--22692400/
Juillet 2016 : La Russie pourrait très bientôt publier les emails confidentiels d'Hillary Clintonhttp://www.atlantico.fr/pepites/e-mails-hillary-clinton-seraient-aux-mains-vladimir-poutine-2751845.html
10
Après avoir cru être piraté par une organisation terroriste finalement, le service informatique de lacompagnie s’est rendu compte que quelqu’un avait piraté le mot de passe ‘123456’ qui verrouillait l’accèsau site de réservations et s’était amusé à changer librement les tarifs directement dans la base de données(…)
Il a été découvert que c’est un gamin de 11 ans qui a été arrêté après l’identification de son adresse IP parles enquêteurs spécialisés. Il comptait seulement acquérir deux billets pour lui et sa petite copine mais leschoses lui ont échappé et c’est tout le site de réservations qui a vu ses prix divisés par 100 ou 200 suivantles circonstance.
https://www.radiocockpit.fr/2015/02/03/un-hacker-pirate-le-site-web-dair-france-et-propose-des-tarifs-sans-concurrence/#
11
Numéros de cartes bancaires : de 2 à 6 € ; 50 € avec le code.
Code d’accès à des applications sensibles : de 1 à 5 €.
Kit de racket informatique : 100 €.
Vente de virus : de 100 à 2 000 €.
Location d’un Botnet : 8 € pour une heure.
Attaque DDOS : de 500 à 1 500 €.
Outil d’envoi accompagné de :
◦ 5 millions d’adresses de messagerie : 140 €
◦ 20 millions d’adresses de messagerie : 350 €
Dossier complet d’une personne physique : 50 €
Logiciel d’espionnage sophistiqué : 50 000 €
Bases de données d’emails de tous types : de 100 à 1M$
Un dossier médical serait revendu 50 dollars (estimations actuelles entre 50 et 250$) contre une trentaine de dollars pour des codes de carte bancaire
12
13
Les TIC offrent de vraies révolutions positives dans nos existences mais la vigilance et l’acculturation des usagers sont primordialesLes Etablissements de Santé publics et privés, MCO, Médico-Sociaux, SSR, USLD, EHPAD, Maisons Médicales Cabinets Libéraux traitent de la donnée desanté à caractère personnel en permanence, sur des environnements numériques partagés (PC, serveurs, tablettes, smartphones, matériel médical...)
Au sein de l’écosystème de Santé, la complexité est grande.
Parce que la santé n’est pas un processus industriel comme les autres…
Parce que les SI, construits couches par couches depuis les années 1990, sont fragiles et encore peu urbanisés.
Parce que les forces en présence sont multiples : Direction, Médecins, petites et grosses structures, enjeux divergents... Et qu’ilfaut donc expliquer, négocier plutôt que d’imposer.
Parce que certaines pratiques médicales excluent de facto certaines pratiques usuelles propres à la sécurité des SI
Parce que les Professionnels de Santé sont encore peu acculturés aux concepts de la Sécurité
Parce que la France a été un peu naïve sur le dossier et que les Instances ont pris conscience assez récemment de l’impact destechnologies numériques
14
14
Les Etablissements de Santé (CHU, CH, Privés) traitent « l’aigüe »Le « chronique » se gère en « ambulatoire »
L’ambulatoire nécessite la mise en réseau d’un ensemble hétérogène de professionnels de Santé : Médecins,Hôpitaux, Libéraux, Pharmaciens, Assistants Sociaux, Soins de suite et de réadaptation, Maisons médicales,Médecins spécialistes, Psychologues, Dispositifs médicaux…
Le système est donc intrinsèquement communicant et cherche à l’être, quel que soit la qualification descommunications !
Le système n’est pas ignorant des technologies de l’information et de la communication et de leur constantdéveloppement
Alors le système s’adapte et fait usage…
Le système est difficilement contraignable par l’essence même de sa mission
L’avenir parle d’un maximum d’ambulatoire (objectif fixé par la Ministre pour 2015 : 50%) et de HAD(Hospitalisation à domicile), les Hôpitaux n’étant pas gréés pour accueillir la génération des baby boomers.
15
16
17
18
Août 2014 : Les données personnelles de 4,5 millions de patients de Community Health Systems (CHS), un groupe hospitalier
privé américain gérant 206 établissements dans 29 états, ont été exposées lors d’une cyber-attaque menée au printemps par
des hackers présumés chinois.
Le groupe a indiqué que l’identité, la date de naissance, les coordonnées et les numéros de sécurité sociale de patients reçus
ces cinq dernières années par des médecins affiliés ont été volés. Les tarifs exorbitants d’hôpitaux et l’absence d’un système
de santé centralisé font des États-Unis une cible très lucrative pour les hackers.
D’après John Halamka, DSI de l’hôpital BIDMC de Boston, des personnes ne disposant pas d’une assurance santé pourraient
acheter ces données et usurper l’identité de leur titulaire dans l’espoir d’obtenir un traitement.
Le DSI estime qu’un dossier médical peut être vendu entre 50 et 250 dollars sur le marché noir.
http://www.actusoins.com/24195/usa-cyber-attaque-les-donnees-personnelles-patients.html
19
Un infirmier pirate le système informatique du CHU de Nice – 2014
Une dizaine d’ordinateurs a été infiltrée cet été par un logiciel capable de collecter des données médicales. L’enquête de la PJ avecl’équipe informatique a permis d’identifier… un infirmier. Il cherchait à obtenir des informations sur ses collègues
http://www.actusoins.com/26614/infirmier-pirate-systeme-informatique-du-chu-nice.html
Un pirate annonce à des internautes qu'ils sont atteints du cancer – 2014
Un pirate informatique a diffusé plus d'un millier de courriels à des internautes britanniques qui avaient passé des examens àl’Institut National des Soins de Santé. Les adresses mails, trouvées très certainement via une faille sur le site en question, ont étéutilisées pour inquiéter les patients. La mauvaise blague a été dénoncée par des médecins généralistes contactés par leurs patientsinquiétés.
www.zataz.com
20
Le 1er mai 2015, au Centre Marie Curie (Valence), les membres du service deradiothérapie découvraient avec stupeur le piratage de deux disques réseaux contenantles données des patients, qui, pendant 24 heures, n’ont pu subir leur séance deradiothérapie.
http://www.pourquoidocteur.fr/Articles/Question-d-actu/12565-Cyberattaques-les-etablissements-de-sante-tentent-de-se-proteger
21
Des hackers russes dérobent 600 000 données personnelles de patients d’une Institution de santé américaine –Juillet 2016
La société américaine spécialisée en sécurité, InfoArmor, vient de révéler un vol massif de données de patients américains, dont ont été victimes les Institutions de santé américaines. Le vol perpétré par un groupe de hackers russes concernerait près de 600 000 données personnelles de patients américains.
http://www.globalsecuritymag.fr/eaction-Balabit-des-hackers-russes,20160713,63718.html
22
L’assureur américain Anthem, la mutuelle outre-Atlantique Premera Blue Cross ou le laboratoire français LABIO…
Le laboratoire de biologie médicale LABIO est la cible d'ungroupe de pirates. Ce dernier revendique avoir dérobé pasmoins de 40 000 identifiants (nom, prénom, login et mot depasse) ainsi que « des centaines » de bilans médicaux. Unerançon de 20 000 euros est demandée. Les fuitesd'informations confidentielles ont déjà commencé…
http://www.nextinpact.com/news/93499-labio-fr-pirate-demande-rancon-et-publication-resultats-medicaux.htm
23
Le matériel médical est trop sensible aux cyber-attaques selon la FDA
La FDA a publié un communiqué pour rappeler aux professionnels de la santé américains les dangers pouvant provenir de piratages. L’organisme appelle ainsi à une vigilance extrême et une meilleure protection des équipements médicaux. Tous les appareils, du Pacemaker au scanner Rayons X peuvent être piratés et peuvent ainsi présenter un danger pour les patients.http://www.presse-citron.net/le-materiel-medical-est-trop-sensible-aux-cyber-attaques-selon-la-fda/
24
LES ETABLISSEMENTS DE SANTÉ ET LA SÉCURITÉ
Un hacker parvient à pirater un pacemaker
Expert en sécurité informatique chez IO Active, Barnaby Jack Barnaby s’est livré à une démonstration plutôt inquiétante lors du congrès Breakpoint 2012, tendant à montrer qu’il est possible de pirater un stimulateur cardiaque à distance. Installé à une dizaine de mètres de l’appareil médical, et muni uniquement d’un ordinateur portable, Barnaby Jack a réussi à lui envoyer plusieurs décharges de 830 volts, ce qui, s’il avait été porté par un être humain aurait provoqué une crise cardiaque.Lors de sa démonstration, l’expert a expliqué être parvenu à se procurer les données confidentielles des porteurs de stimulateurs cardiaques distribués par une grande marque, dont il n’a pas donné le nom. Grâce à ces données il a pu ensuite implanter un logiciel corrompu destiné à perturber le fonctionnement normal de l’appareil médical.Une démonstration destinée à prévenir les entreprises concernées de la nécessité de développer leur cybersécurité face aux risques d’« assassinat anonyme ».http://bigbrowser.blog.lemonde.fr/2012/10/24/coeur-a-prendre-un-hacker-parvient-a-pirater-un-pacemaker/
25
LES ETABLISSEMENTS DE SANTÉ ET LA SÉCURITÉ
Les hackers veulent faire des gains rapidement et les internautes lambda sont ceux dont le système informatique est le moins sécurisé. Le développement des objets connectés les met aussi en danger. Ceux de la maison permettent par exemple aux hackers de savoir si vous êtes chez vous et si vous êtes seul ou non, en fonction de la consommation de votre ballon d’eau chaude ou d’électricité.
Les objets connectés dans le domaine de la santé présentent également des risques. Dans un rapport, Europol mentionnait que les objets connectés étaient un nouveau terrain de jeu et prédisait un premier meurtre par hacking. Récemment, Dick Cheney lui-même, l’ancien vice-président des Etats-Unis, a fait désactiver la fonction sans fil de son pacemaker de peur d’être piraté.
http://www.20minutes.fr/monde/1498039-20141209-cyberattaques-particuliers-cible-numero-2015
26
LES ETABLISSEMENTS DE SANTÉ ET LA SÉCURITÉ
« L’agence y fait état de plusieurs attaques contre les pompes à morphine de modèle Symbiq infusion System. »
« La vulnérabilité de ce dispositif médical laisse craindre qu’un utilisateur non autorisé à contrôler l'appareil puisse modifier laposologie de la pompe ce qui conduirait à un sur dosage ou un sous dosage d’analgésiques critique pour le patient. D’autresmodèles de pompes du même fabricant (modèles Plum A et Plum A+), destinés à délivrer différents médicaments par voieintraveineuse et notamment commercialisés en France, avaient déjà fait l’objet de piratages au cours des derniers mois. »
« Selon Lynne Dunbrack, responsable de l’étude: « pour les organisations du monde de la santé […] la question n'est pas de savoir sielles vont subir une cyberattaque, mais quand ».
Article paru en Août 2015 : http://www.francetvinfo.fr/sante/patient/droits-et-demarches/une-cyber-attaque-de-pompes-a-morphine-redoutee-par-les-etats-unis_1045663.html
LES ETABLISSEMENTS DE SANTÉ ET LA SÉCURITÉ
27
http://www.lesechos.fr/idees-debats/cercle/cercle-133356-experience-de-cyberattaque-reussie-sur-un-robot-de-chirurgie-le-secteur-de-la-sante-est-il-suffisamment-protege-1122213.php
Dans le cadre de cette expérience, ils ont réussi à prendre le contrôle d'un robot d'intervention chirurgicale, àintercepter les ordres du chirurgien pour modifier les gestes de l'appareil et altérer leur précision, mais aussi àl'arrêter complètement.
Le gouvernement, au même titre que l'APSSIS, met en place des mesures et des initiatives pour garantir laprotection des patients et des professionnels, comme le projet "hôpital numérique" lancé en 2011 visant àaméliorer la qualité et la sécurité des systèmes d'information hospitaliers.
LES ETABLISSEMENTS DE SANTÉ ET LA SÉCURITÉ
28
https://blog.kaspersky.fr/pirater-robot-medical/4510/
Les chercheurs ont affirmé au MIT Technology Reviewque prendre le contrôle du dispositif de téléchirurgie futun jeu d’enfant dans la mesure où le Protocole deTéléchirurgie Interopérable est totalement ouvert aupublic et disponible.
LES ETABLISSEMENTS DE SANTÉ ET LA SÉCURITÉ
29
Hackers : votre santé les intéresse
Si le numérique s’insère de plus en plus dans notre société, notamment par les objets connectés, ce n’est pas sans contrepartiesextrêmement dangereuses en raison de ce qui se nomme l’interface. En pratique la possibilité de s’insérer dans des dispositifsinformatisés pour en prendre le contrôle. Un des exemples qui a été mis en évidence est celui des seringues auto-pulsées. Ellesinjectent par exemple des médicaments en post-opératoire. Il est possible de hacker les appareils et d’en modifier le débit del’extérieur des locaux hospitaliers.http://www.medias-presse.info/hackers-votre-sante-les-interesse/43768
LES ETABLISSEMENTS DE SANTÉ ET LA SÉCURITÉ
30
Quand l’informatique met en danger la santé
Médias Presse Info a fait part à de nombreuses reprises du piratage informatique dans le mondemédical. Celui-ci entre autres, concernait les seringues auto-pulsées en usage notamment en post-opératoire. Il est possible aux hackers, de l’extérieur, de faire varier le débit de ces pompes à perfusion,voire de les neutraliser. Mais il en est de même pour les stimulateurs cardiaques (pacemakers),stimulateurs implantés dans le cerveau, des stents (ressorts glissés dans les artères) ; bref tout ce quiest « connecté » à internet.Ceci se nomme l’interface : un dispositif informatisé peut toujours être piraté par un autre dispositif decette nature.Plus grave est le piratage des données médicales, le but de crapules étant de rançonner les hôpitaux oudes cliniques. De telles malveillances deviennent de plus en plus courantes car partout les donnéesmédicales sont stockées sur le web.http://www.medias-presse.info/quand-linformatique-met-en-danger-la-sante/49697
Un équipement médical plante durant une opération sur le cœur à cause d'un scan antivirus qui s'est lancéen plein milieu de la procédure
Un patient qui subissait une opération de chirurgie cardiaque dans un hôpital aux États-Unis a été mis endanger suite à une mauvaise configuration d’un logiciel antivirus qui a fait planter un équipement médicalcrucial en plein milieu de l’opération
http://www.developpez.com/actu/98422/Un-equipement-medical-plante-durant-une-operation-sur-le-coeur-a-cause-d-un-scan-antivirus-qui-s-est-lance-en-plein-milieu-de-la-procedure/
31
LES ETABLISSEMENTS DE SANTÉ ET LA SÉCURITÉ
En 2015, plus de 1 300 cyberattaques contre des établissements de santé ont été signalées.
Plus de 1 300 attaques informatiques contre des établissements de santé français ont étérépertoriées au ministère des Affaires sociales en 2015, a indiqué Philippe Loudenot, FSSI lors ducongrès de l'APSSIS.
L'infection des systèmes par des rançongiciels augmente fortement et partout…
32
LES ETABLISSEMENTS DE SANTÉ ET LA SÉCURITÉ
La Loi (Droit des Patients, Santé, Programmation Militaire, Renseignement) – la CNIL – les Normes
Stratégie : ANSSI – Ministère de la Santé – DGOS – ASIP Santé – ARS & GCS
Tactique : Gouvernance SSI - PSSI – Chartes – Acculturation aux bonnes pratiques
Terrain : VOUS
Contrôle : RSSI – Certifications HAS – Audits DGOS – CNIL – Certification des comptes – ISO 27XXX
33
La disponibilité des SI
La disponibilité des SI est au centre des préoccupations sécuritaires ministérielles, pour garantir lacommunication et le traitement des demandes des citoyens, des entreprises, des associations et desautres administrations.
Les SI doivent remplir leurs fonctions dans des conditions prédéfinies d ’horaires, de délais et deperformance.
L’intégrité des données et des traitements
Les SI doivent garantir que les informations opérationnelles sont inaltérables et certifier de leurexhaustivité, de leur validité et de leur cohérence.
La confidentialité des informations manipulées par les SI des MCAS
Les SI doivent garantir la confidentialité des informations sensibles, voire critiques du point de vuepolitique, économique, ou nominatif, en respectant notamment les obligations légales et règlementaires.
La traçabilité des événements sur le SI
Les SI doivent permettre la traçabilité des événements majeurs afin d’assurer notamment l’imputabilitédes actions, le contrôle des usages
34
35
Réputation / image◦ De l’événement qui ne porte pas atteinte à l’image de l’établissement au
rejet définitif des patients pour un établissement
Social & organisation◦ De la gène ponctuelle à l’arrêt prolongé de toute activité de soins◦ De la démotivation du personnel au conflit social
Financier◦ De la perte sans impact significatif à celle remettant en cause l’équilibre
financier de l’établissement
Responsabilité / juridique◦ De l’affaire classée sans suite à la condamnation pénale ou risques
judiciaires
Patient◦ De l’inconfort au décès
36
37
Protection des
données à caractère personnel(Loi n°78-17 du 6 janvier 1978 ou loi « Informatique et Libertés »)
Protection de la propriété intellectuelle (Code de la Propriété Intellectuelle)
Protection du secret professionnel,
dont le secret médical (art 226-13/14/15 du Code Pénal, code du Travail)
Secret des correspondances,respect de la vie privée
(Article 9 du Code Civil)
Lutte contre la fraude informatique(art 323-1 à 323-7 du Code Pénal, Loi « Godfrain »)
Lutte contre la délinquance et le terrorisme Loi anti-terrorisme de 2006, Loi d'Orientation et de Programmation pour la Sécurité Intérieure (LOPSI), Plan Piranet
Contrôle financier(Loi de sécurité financière)
Sécurité des communications et de l’Internet(Code des postes et des communications électroniques, Loi pour la confiance dans l'économie numérique, Loi Création et Internet)
Protection de l'ordre public(article 227-24 du Code Pénal)
Protection des données de santé à caractère personnelArticle L1111-8 du Code de la santé publique
Accès illicite à des données, falsification de documents, modification de données
5 ans de prison et 300 000 €(article 452-5 du Code pénal / Loi Godfrain)
Divulgation du contenu d’une correspondance privée1 an de prison et 45 000 €(article 226-15 du Code pénal)
Divulgation de données à caractère personnel – Sur des espaces publics ou suite à l’attribution de droits non conformes
5 ans de prison et 300 000 € (articles 226-21 et 323-2 du Code pénal / Loi
Informatique et Libertés)
Ces sanctions peuvent venir compléter des sanctions disciplinaires internes
Propagation d’un virus, blocage de comptes informatiques
5 ans de prison et 75 000 €
(article 323-2 du Code pénal / Loi Godfrain)
Téléchargement de fichiers protégés (musique, films), copie illicite de logiciels
3 ans de prison et 300 000 € (articles 122-4, 335-3 du Code de la propriété
Intellectuelle)
38
39
40
La sécurité des systèmes d’information est un enjeu pour l’Institution, afin de :
Assurer la disponibilité des systèmes informatiques, pour une continuité de fonctionnement de nos applications métiers
Assurer la fiabilité et la traçabilité des actions réalisées avec les applications médicales
Éviter la fuite de nos informations sensibles en assurant leur confidentialité
En particulier les données de santé de nos patients, ainsi que les données de l’Institution
L’informatique est de plus en plus utilisée en milieu hospitalier et est devenue indispensable pour assurer les activités de l’hôpital.
Les personnels techniques ont un rôle particulier à jouer en matière de sécurité de l’information, par leurs missions et leurs responsabilités. Les
Chefs de Projets, souvent au centre, ont une position particulière favorable.
41
Juridique et conformitéOrganisationnel
Dégradation du climat social
Fermeture administrative
Désorganisation interne
Atteinte à la confidentialité des données
Non-respect du secret médical
Sanctions légales (civiles et pénales)
Infractions à la réglementation du domaine de la Santé
Mise en danger de patients
Évènements indésirables Non-respect du secret
professionnel
Coûts supplémentaires de fonctionnement, de reconstruction en cas de dégradation du matériel …
Perte financière / manque à gagner
Perte de confiance des patients et des partenaires
Publications négatives dans la presse
Sur l’imageÉconomique
Atteinte à la santé des
patients
42
www.ssi.gouv.fr
Les référencements et labellisations
Les guides techniques et méthodologiques
43
45
46
Ensemble de normes pour la conception et la mise en œuvre d’un système de gestion de la sécurité de l’information
47
RH-CONF : personnel de confiance.Toutes les personnes manipulant des informations sensibles doivent le faire avec une attention et une probité particulière, dansle respect des textes en vigueur. Les sanctions éventuelles s’appliquant aux cas de négligence ou de malveillance leur sontrappelées.RH-UTIL : sensibilisation des utilisateurs des SIChaque utilisateur doit être régulièrement informé des exigences de sécurité le concernant, et motivé à leur respect. Il doit êtreformé à l’utilisation des outils de travail conformément aux règles SSI.INT-HOMOLOG-SSI : homologation de sécurité des SITout Si doit faire l’objet d’une décision d’homologation de sa sécurité avant sa mise en exploitation dans les conditions d’emploidéfinies. L’homologation est l’acte selon lequel l’Autorité atteste formellement auprès des utilisateurs que le SI est protégéconformément aux objectifs de sécurité fixés. La décision d’homologation est prise par l’Autorité d’homologation (désignée parl’Autorité qualifiée), le cas échéant après avis de la commission d’homologation. Cette décision s’appuie sur une analyse derisques adaptée aux enjeux du système considéré et précise les conditions d’emploi.
INT-SSI : intégration de la sécurité dans les projetsLa SSI doit être prise en compte dans toutes les phases des projets informatiques, sous le contrôle de l’autorité d’homologation,de la conception et de la spécification du système jusqu’à son retrait du service.INT-QUOT-SSI : mise en œuvre au quotidien de la SSILa SSI se traite au quotidien par des pratiques d’hygiène informatique. Des procédures écrites définissent les actes élémentairesdu maintien en condition de sécurité lors des phases de conception, d’évolution ou de retrait d’un système. Tout système
d’information doit faire l’objet, outre le maintien en condition opérationnelle, d’un maintien en condition de sécurité.
48
ORG-TIERS : gestion contractuelle des tiers
Le RSSI coordonne les actions permettant l’intégration des clauses liées à la SSI dans tout contrat ou convention impliquantun accès par des tiers à des informations ou à des ressources informatiques.
INT-PRES-CS : clauses de sécurité
Toute prestation dans le domaine des SI est encadrée par des clauses de sécurité. Ces clauses spécifient les mesures SSI que
le prestataire doit respecter dans le cadre de ses activités.
INT-PRES-CNTRL : suivi et contrôle des prestations fournies
Le maintien d’un niveau de sécurité au cours du temps nécessité un double contrôle : l’un, effectué périodiquement par
l’équipe encadrant la prestation, qui porte sur les actions du sous-traitant et la conformité au CDC, l’autre, effectué par une
équipe externe, qui porte sur la pertinence du CDC en amont des projets, la conformité des réponses apportées par le sous-
traitant en phase de recette et le niveau de sécurité global obtenu en production.
EXP-NAVIG : configuration du navigateur Internet.Le navigateur déployé par l’équipe locale chargée des SI sur l’ensemble des serveurs et des postes de travailnécessitant un accès Internet ou Intranet doit être configuré de manière sécurisée (désactivation des services inutiles,nettoyage du magasin de certificats, etc.).
EXP-CI-OS : systèmes d’exploitation.
Les systèmes d’exploitation déployés doivent faire l’objet d’un support valide de la part d’un éditeur ou d’un prestataire deservice. Seuls les services et applications nécessaires sont installés, de façon à réduire la surface d’attaque. Une attentionparticulière doit être apportée aux comptes administrateurs.
49
EXP-POL-COR : définir et mettre en œuvre une politique de suivi et d’application des correctifs de sécurité.
Le maintien dans le temps du niveau de sécurité d’un système d’information impose une gestion organisée et adaptée des mises
à jour de sécurité. Un processus de gestion des correctifs propre à chaque système ou applicatif doit être défini, et adapté suivant
les contraintes et le niveau d’exposition du système.
EXP-COR-SEC : déploiement des correctifs de sécurité.
Les correctifs de sécurité des ressources informatiques locales doivent être déployés par l’équipe locale chargée des SI en
s’appuyant sur les préconisations et outils proposés par les directions, bureaux ou services informatiques.
EXP-OBSOLET : assurer la migration des systèmes obsolètes.
L’ensemble des logiciels utilisés sur le système d’information doit être dans une version pour laquelle l’éditeur assure le support,
et tenu à jour. En cas de défaillance du support, il convient d’en étudier l’impact et de prendre les mesures adaptées.
EXP-ISOL : isoler les systèmes obsolètes restants.
Il est nécessaire d’isoler les systèmes obsolètes, gardés volontairement pour assurer un maintien en condition opérationnelle desprojets, et pour lesquels une migration n’est pas envisageable. Chaque fois que cela est possible, cette isolation doit êtreeffectuée au niveau du réseau (filtrage strict), des éléments d’authentification (qui ne doivent pas être communs avec le reste duSI) et des applications (pas de ressources partagées avec le reste du SI).
50
La PSSI
Pour répondre aux besoins de sécurité des métiersPour s’aligner aux enjeux stratégiques du SI
Une identification des risques en amont, avant de selancer !Une intégration de la sécurité dans les projetsimpactant le SI, avec corrélation matricielle auxexigences des normes et certificationsUne responsabilisation des utilisateurs du SI et destiersUn objectif constant de continuité des activitésmétiers (PRA, PCA Métiers)Un questionnement permanent sur le qui fera quoidans le système en constructionUne gestion du risque proactive – Une culture
51
La Charte de bon usage du SI
Pour créer un cadre d’usage adapté des technologiesnumériques, intégrant bons usages, éthique etdéontologiePour répondre aux exigences de la Loi
Des règles sur la sécurité des équipementsDes règles sur les habilitations, les droits d’accès,les mots de passe ou les moyens d’authentificationDes règles sur l’usage d’Internet, des systèmes demessagerie électronique, sur les espacesnumériques à dispositionDes processus de remontée d’incidentsUn champ d’application définiUne opposabilité juridiqueDes sanctions graduelles en cas de non respect
52
Statuts du Chef de Projet : Son rôle central – Un observateur privilégié – Un pouvoir délimité actif
Pertinence de son rôle : Application intelligente des règles – Pédagogie – Lanceur d’alertes
Analyser les risques en amont, pendant et en aval
Statuts des Ingénieurs, Techniciens et Experts des Technologies biomédicales : Rôles –
Responsabilités - Un pouvoir délimité actif
Pertinence des rôles : Application intelligente des règles – Pédagogie – Indicateurs et Reporting –
Lanceur d’alertes
53
3. Vous sur le terrain : vos pouvoirs, vos organisations, vos responsabilités
5454
Disposent de droits étendus sur les Systèmes d’Information
Risque de fuite d’informations sensibles et de données personnelles
Par ses missions et responsabilités, le personnel chargé de la mise en œuvre des systèmes d’information :
Risque d’utilisation abusive (de manière intentionnée ou non) de ces droits, ou
d’usurpation par un tiers !
Risque de perturbation des activités médicales en cas d’incident
Doivent protéger les données de l’établissement, des agents et des patients en terme de confidentialité et d’intégrité
Jouent un rôle prépondérant dans le bon fonctionnement des Systèmes d’Information et dans le maintien de leur sécurité à un
niveau optimal
Risque d’atteinte au secret professionnelOnt la possibilité technique d’accéder à des données sensibles,
mais ne doivent y accéder que dans le cadre de leur activité professionnelle
Votre mission Assurer la qualité de service, la sécurité et
la bonne utilisation des ressources informatiques
Votre obligationRespecter les règles de déontologie de
l’Institution dans le cadre de l’exercice de vos fonctions
Votre devoirDénoncer les crimes et délits (obligation
légale)
Par exemple : ouverture de correspondances privées, intrusion sur le SI, usurpation d’identité, modification ou falsification de traces, contrefaçon (copie de MP3 ou de films)…
Par exemple : se tenir à son strict devoir de confidentialité, protéger la vie privée des personnes et le secret des correspondances
Pour rappel, vous êtes responsable de l’usage que vous faites des ressources informatiques
55
Suis-je légitime pour accéder aux informations que je suis sur le point de consulter ?
Ces informations sont-elles authentiques ?
Les informations que je gère actuellement sont-elles confidentielles pour moi, nos patients ou pour l’Institution ? Par exemple, relèvent-elles du secret médical ?
Les actions que je suis sur le point d'exécuter sont-elles de nature à me nuire, à nuire à nos patients ou à l’Institution ?
Est-ce que je prends les mesures appropriées pour protéger ces informations ?
Ai-je des incertitudes quant à la manière de gérer cette situation délicate ? Si oui, ai-je sollicité le personnel approprié (mon supérieur hiérarchique, le RSSI…) pour m’aider ?
56
Son positionnement privilégié
Un rôle central entre les MOA et les MOE Un pied chez les métiers, un autre chez les
Directions fonctionnelles et techniques Un observateur pertinent des comportements Un pouvoir limité dans l’espace et dans le temps,
mais un pouvoir quand même !
Utiliser ce positionnement pour inculquer les bonnespratiques, détecter les mauvaises et faire progresserl’ensemble du système.
57
Son rôle opérationnel
Connaître et comprendre les règles SSI applicables ausystèmes d’information : PGSSI-S Asip Santé, PSSI MCAS
Négocier les règles trop contraignantes si nécessaire àl’équilibre du projet
Assurer une médiation entre la MOA et les MOE Solliciter des arbitrages si besoin
Contrôler les points sensibles et analyser les risques :
Les risques liés au projet ont-ils été évalués ? Comment etpar qui ? Quel est le résultat de cette évaluation ?
Le processus des habilitations et de la gestion des droits d’accès aufutur système est-il pensé, rédigé, accepté et opérationnel pour lelancement ?Les procédures de continuité d’activité des utilisateurs en cas depanne prolongée ont-elles été pensées, rédigées, acceptées, testées ?Les mesures de sécurité techniques usuelles sont-elles prises encompte par la composante technique du projet (hardware, BDD, LAN,WAN...) ?
58
L’Analyse des Risques : unprocessus indispensable, uneressource pour le Chef de Projet
Contribue à une meilleure maitrise des risques et une augmentation du niveau de sécurité
59
Faire de la sécurité « avant » et non « après » … les problèmes !
Améliorer le niveau global de Sécurité du SI
en prenant en compte les besoins de sécurité dès le début
du projet
Optimiser les coûts
en adoptant un niveau de sécurité en adéquation avec les
véritables enjeux et risques
Répondre à des enjeux normatifs et réglementaires
Un positionnement trop souvent ambigu => Repositionnement
Du matériel biomédical à la « solution biomédicale »embarquant du hardware, du logiciel, du réseau etnécessitant un ensemble hétérogène de compétences.
Un partenariat nécessaire avec la DSI et le RSSI.Des relations à établir selon les principes du « chacun sonmétier », avec une dynamique « client – fournisseur ».
Un partenariat nécessaire avec la Direction Technique /Travaux.
Un rôle de conseil stratégique et technologique, avec dessynthèses de Direction et Médicales.
Utiliser ce positionnement pour inculquer les bonnespratiques, détecter les mauvaises et faire progresserl’ensemble du système.
60
Son rôle opérationnel
Connaître et comprendre les règlesNégocier les règles trop contraignantes à l’équilibre du projetAssurer une médiation entre la MOA, les MOE et le ou lesFournisseur(s)Solliciter des arbitrages si besoin
Contrôler les points sensibles : la checklist
Les risques liés au système ont-ils été évalués ? Comment et par qui ?Quel est le résultat de cette évaluation ?
Les procédures de continuité d’activité des utilisateurs en cas depanne prolongée ont-elles été pensées, rédigées, acceptées, testées ?
Les mesures de sécurité techniques usuelles sont-elles prises encompte par la composante technique du projet (hardware, BDD, LAN,WAN...) ?
Les acteurs sont-ils dans la boucle (DSI, RSSI, Achats, Travaux) ?Existe-t-il un point central ? Un Chef, de Projet ou Chef tout court ?
61
Sa fonction de contrôle et de génération d’indicateurs
Disposer d’un groupe d’indicateurs de pilotage de la sécuritédes composants biomédicaux (matériel et logiciel)Les utiliser pour soi (tableaux de bords) et pourcommuniquer en ascendant ou en descendant.
Intégrer les indicateurs SSI fournis par le RSSIPrendre l’habitude de les passer en revue, comme les autres(qualité, planning, coûts...)
Alerter
Tenter de débloquer les résistances aux changements decertains constructeurs
Assumer un rôle de lanceur d’alertes, avec pédagogie etdiscernement
62
63
Tests / contrôles réguliers
Vérification des mesures de sécurité
Formalisation des besoins et des exigences de sécurité
Prise en compte des mesures de sécurité
Validation / homologation RGS si nécessaire
Evaluation de la prise en compte des besoins de sécurité
Identification des besoins de sécurité et des événements redoutés
Expression de besoin
Appel d’offre
Sélection de la solution
Contractualisation
Mise en œuvre
Recette
Mise en production
Analyse de risques si nécessaire
(RGS*, criticité, etc.)
Actions SSIEtapes Projet
64
Identifier le périmètre et les besoins de sécurité
Prendre en compte les événements redoutés
Etudier les scénarios de menaces
Etablir et mettre en œuvre le plan de traitement des risques
Evaluer et accepter les risques résiduels
- Identifier les « biens » : processus, applications, matériels, réseaux, personnes, organisation, locaux, etc.
- Evaluer les besoins en Disponibilité, Intégrité, Confidentialité, Traçabilité (en lien avec les interlocuteurs métiers)
- Identifier les événements redoutés par le métier- Evaluer les impacts en cas d’incident : Impact Patient, Organisationnel,
Juridique, Financier, Image
Pour chaque scénario de menaces prédéfini : - Identifier les mesures de sécurité et vulnérabilités existantes- Ajuster le niveau d’impact et le niveau de vraisemblance
- Traiter les risques : Accepter, réduire, Transférer / Partager, ou refuser le risque
- Mettre en œuvre les mesures associées
- Evaluer l’impact et la vraisemblance des risques après mise en œuvre du plan de traitement
- Accepter les risques qui subsistent, ou réitérer la démarche
Les technologies numériques de santé explosent
200 000 applications Médecins / Professionnels de Santé etPatients en ligne
20 milliards d’objets connectés en 2020 dont 40% liés à lasanté
Des matériels intelligents, bourrés de capteurs, nécessitantune équipe de management pluridisciplinaire
Des liaisons constantes avec le constructeur, les éditeurs delogiciels, les constructeurs des matériels supports, lespartenaires de l’écosystème de santé, le DPI, le DMP...
65
4. Questions – Réponses
Qu’évoque la sécurité des systèmes d’information pour vous ?Pourquoi est-ce souvent vécu comme une série de contraintes ?
Existe-t-il vraiment des points de blocages techniques ou des prérequis SI incompatibles ou insurmontables ? Quel est la qualité du lien avec la DSI ?
Les médias, les faits nous montrent dans nos vies personnelles et professionnelles que le danger numérique est très présent. Alors pourquoi n’est-ce pas une évidence dans un environnement hautement critique comme les SI de Santé ?
68
