GCS/ARS Bourgogne 21112013 · 21112013 Agence Régionale de Santé Bourgogne GCS/ARS Bourgogne Michel Raux Michel Raux, Die teu Systèmes d’Infomation, CH Vesailles Du risque de

21112013

Agence Régionale de Santé

Bourgogne

GCS/ARS Bourgogne

Michel Raux

Michel Raux, Directeur Systèmes d’Information, CH Versailles

Du risque de l’évolution à l’évolution du risque

Du risque de l’évolution

à l’évolution du risque

ou

“le regard d’un DSI sur la sécurité

du système d’information”

Choisir d’évoluer, c’est accepter…

…de créer du lien,

donc de la complexité,

donc du risque

Être ou ne pas être

conscient des risques

Accepter ou non de prendre le risque (Risque : existence d'une probabilité de voir un danger se concrétiser)

Ce qui génère le Risque, c’est le contexte de l’usage

Le paradigme CORPUS

Conformité (atteinte du modèle)

Bonne Pratique (recommandation)

Usage (réalité)



Usage (réalité)

Ce qui génère le Risque, c’est le contexte de l’usage

Le paradigme CORPUS

PROCESSUS : Parcours du patient

PLAN DE SOINS IDENTITIFICATION PRESCRIPTION

Le contexte de l’usage, pour un SIH …

… demande de maitriser les risques d’un

système complexe (cum plexus = avec de l’entrelacement) …

Fin du support

Windows XP

Convergence

téléphonie

informatique

Cloud Computing,

Byod

Intégration

du biomédical

Développement

applicatif incitatif

(H2007-H2012-HN)

Intégration

inter-applicative

(EAI)

Accélération des

rythmes (DMS)

Règlementation

T2A, CBUM, FIDES HPST

GCS, CHT

Télécoms,

visioconférence

Echanges

Ville-Hôpital

Réorganisations

internes,

évolution des

pratiques

… en perpétuel changement

Parcours du patient Parcours du patient

Situation A Situation B

Les risques « système d’information »

Risques informatiques

Risques systèmes liés à

l’organisation et à l’humain

Les risques « changement »

Conduite de projet

Les risques de l’évolution

Face à la demande d’évolution rapide du SIH :

LA SURETE DE FONCTIONNEMENT

Propriété d’un système telle que ses utilisateurs

puissent placer une confiance justifiée dans le service

qu’il leur délivre.

« La confiance que nous devons placer

dans les TIC est elle à la hauteur de

notre dépendance ? »

propriété se rapporte à (par exemple)

DISPONIBILITE

accessibilité (prêt à l’utilisation)

• Suffisamment de postes informatiques

• Assurer la mobilité (réseau WIFI)

• Ergonomie des applications informatique

• Temps de réponses

SURETE DE FONCTIONNEMENT

Définition d'un taux de

disponibilité cible des

applicatifs et mise en œuvre

d’une évaluation de ce taux

P2.2 5b E2-EA1


FIABILITE (Continuité de service)

• Qualité technique des équipements

• Qualité des applications informatiques

• Redondance des équipements

• Qualité de l’alimentation électrique


Existence de procédures

assurant d'une part un

fonctionnement dégradé du

système d'information au cœur

du processus de soins en cas

de panne et d'autre part un

retour à la normale

P2.3 5b E2-EA1


CONFIDENTIALITE (Absence de divulgation

non autorisée de

l’information)

• Disposer d’une politique de sécurité (charte

d’utilisation du SI)

• Gestion contrôlée des accès (traçabilité)


P3.4 P3.5 10c E1-EA1

Taux d'applications permettant une

traçabilité des connexions au SIH

Taux d'applications gérant des

données de santé à caractère

personnel intégrant un dispositif

d'authentification personnelle


INTEGRITE (Absence d’altération

inappropriée de

l’information)

• L’intégration : la question des interfaces

entre applications (sémantique et syntaxe)

• Les sauvegardes / restaurations des

données



INOCUITE (Absence de

conséquence pour

l’environnement )

• Interférences radioélectriques

• Rayonnement radioélectrique

• Traçabilité des composants toxiques



MAINTENABILITE (Aptitude aux

réparations et aux

évolutions)

• Qualité technique

• Qualité des contrats de maintenance

• Relation avec les fournisseurs

• Astreintes informatiques


Paradigme CORPUS : les zones à Risque



Usage (réalité)

LE SCHEMA « LOGIQUE »

la conformité éloigne du

risque,

la bonne pratique doit

atteindre la conformité,

L’usage doit tendre vers

l’application des bonnes

pratiques,




Usage (réalité)

VARIANTE 1

les bonnes pratiques

sont « plus avancées »

que la conformité,

L’usage doit tendre vers

l’application des bonnes

pratiques

La conformité doit

évoluer




Usage (réalité)

VARIANTE 2

C’est l’usage , qui

garantit le moindre

risque (on appelle ça ,

parfois « l’expérience »,

parfois « le système D »)

Ce sont souvent des

situations particulières

Face à la demande d’évolution rapide du SIH :

Il faut faire parler ensemble des applications

étrangères les unes aux autres

Processus Identification Patient

Processus Mouvements

Processus Prescription

Processus Commande fournisseur

Processus Facturation

Etc…

En créant du lien on crée de la complexité…

… et l’on renforce la nécessité d’un langage commun,

pour réduire les risques de ne pas se comprendre !

Dans des processus interconnectés

Les 4 piliers d’un langage commun

Structures (gérer le fichier commun de structures : POLES, SERVICES, UF, CAC,

FINESS…)

Actes (gérer le recueil de l’activité)

Identités et mouvements (gérer les identités et mouvements ; Cellule d’Identitovigilance)

Nomenclatures (gérer les nomenclatures et leurs versions : CIO-SP, CIO-DM, CIM10,

CCAM, … )

En guise de conclusion …

« un esprit S.A.I.N.

dans

des corps (techniques)

S.A.I.N.S »

Pour minimiser les risques systèmes d’information


Un esprit

S.A.I.N.

Structures (gérer le fichier

commun de

structures)

Actes (gérer le

recueil des

actes)

Identités (gérer les identités ;

Cellule d’Identito-

vigilance)

Nomenclatures (gérer les nomenclatures et

leurs versions)


dans des corps (techniques)

S.A.I.N.S. Sécurisés (politique de

sécurité : créer

une confiance

justifiée)

Accessibles (rendre

l’information

accessibles en

équipant

suffisamment )

Immédiats (assurer des

performances

garantissant

l’utilisation)

Normalisés (faciliter les échanges de

données en s’appuyant

sur ce qui est normalisé)

Stables (savoir gérer et

amortir le

changement)

http://127.0.0.1:9233/

En 2012 En 2016

Hôpital Numérique

Certification 2014

Auditabilité des SI

1,5 % du budget

d’exploitation

? du budget

d’exploitation


Merci de votre attention …

« À cause du clou, le fer fut perdu.

À cause du fer, le cheval fut perdu.

À cause du cheval, le cavalier fut perdu.

À cause du cavalier, le message fut perdu.

À cause du message, la bataille fut perdue.

À cause de la bataille, la guerre fut perdue.

À cause de la guerre, la liberté fut perdue.

Tout cela pour un simple clou. »

Benjamin Franklin

21112013


Bourgogne

GCS/ARS Bourgogne

Alain Bernard

Alain Bernard, Directeur Santé, Nexthink

Les 40 règles d'hygiène informatique de l'ANSSI s'appliquent-t-elle

à la communauté hospitalière?


Rappel à l’ordre de l’ANSSI

Oct 2011 : «Les principes de base (l'hygiène de base de la sécurité des systèmes d’information) n’étant pas respectés, tout le reste ne sert à rien. »

Oct 2012 : « De nombreuses attaques informatiques, traitées par l’agence nationale de sécurité des systèmes d’information (ANSSI), auraient pu être évitées si des mesures techniques essentielles avaient été appliquées par les organisations victimes. »

« Certaines de ces mesures sont si évidentes et relativement simples à mettre en œuvre, que l’on peut les qualifier de « règles élémentaires d’hygiène informatique ». Ne pas les suivre expose votre organisation à des risques d’incidents majeurs, susceptibles de mettre son fonctionnement ou sa compétitivité en danger, voire d’entraîner l’arrêt de son activité. »

Nov 2012 : publication du guide hygiène informatique et sa checklist de 40 règles et mesures de base


« Une fois ces règles partagées et appliquées, vous aurez accompli une part importante de votre mission : permettre à votre organisation de continuer à servir ses clients ou ses usagers, en respectant l’intégrité et la confidentialité des informations qui les concernent. »

http://www.ssi.gouv.fr/IMG/pdf/guide_hygiene_informatique_anssi.pdf

http://www.ssi.gouv.fr/IMG/pdf/checklist_hygiene_informatique_anssi.pdf

Les 40 Règles


I. Connaître précisément le système d’information et ses utilisateurs

II. Maîtriser le réseau III. Mettre à niveau les logiciels IV. Authenfication et mots de passe V. Sécuriser les équipements terminaux VI. Segmenter le réseau et contrôler l’annuaire VII. Protéger le réseau interne de l’internet VIII. Surveiller les systèmes IX. Sécuriser les postes des administrateurs X. Contrôler l’accès aux locaux et sécurité physique XI. Organiser la réaction en cas d’incident XII. Sensibliser XIII. Faire auditer la sécurité

Constat princeps : un problème de gouvernance


90%

des incidents sont de

sources internes

20%

de mesures adéquates

basiques règlent 80%

des problèmes

La sécurité des

systèmes

d’information n’est pas

qu’un problème de

moyens mais de

gouvernance, de

compétences et de

responsabilité

Gouvernance : des gisements d’économies insoupçonnés


• 80% des menaces sécurité • 50% des problèmes de performance • 70% des demandes support

• Economie moyenne possible

500€+/an/utilisateur *

• * Etude Gartner Group, Forrester

• Inventaire et usages

• Performance • Sécurité • Coûts

Sureté : Mise en pratique des 40 règles


Renforcer la protection et évoluer vers une défense en profondeur

Acte 2: traçabilité des activités des postes Recensement/analyse des applications non recensées et utilisées Recensement/analyse de toutes les connexions et ports utilisés Recensement/analyse des droits effectifs des utilisateurs

Acte 1: Gouvernance SSI Le suivi du parc informatique, Le suivi du parc applicatif Le suivi de la qualité de service Le suivi de la conformité aux politiques de sécurité Le suivi des accès utilisateurs

Maîtrise des Risques IT, Métier, Légaux

Finalité de la PGSSI (Politique de Sécurité des SI Santé)


Risque légal

Risque IT

Métier

Finalité de la PGSSI (Politique de Sécurité des SI Santé)


Obligations légales non respectées Double saisie du PMSI Gestion budgétaire altérée Déploiement CPS non contrôlé

Risque légal

Gestion approximative des actifs IT Multiples failles de sécurité Comportements et usages déviants Hétérogénéité des versions des logiciels Indisponibilité et mauvaise performance

Risque IT

Métier

Non-interopérabilité des SI cliniques Fiabilité altérée des diagnostics Fuite de données, données corrompues Efficience des procédures

ILLUSTRATIONS DU MANQUE D’HYGIÈNE DANS LES HÔPITAUX

Open Bar


Recensement et classification

Inventaire applications cliniques (classification O6)

Risque métier fort :

Différents postes… différents résultats (?)

versions différentes en production, de logiciels de prescription médicamenteuse, calculs

complexes de dosage

Homogénéité des versions applications cliniques

Suivi de la qualité des applications critiques

Virut, Downadup, Conflicker

Sureté : Mise en pratique des 40 règles


Malwares et autres indésirables

Version non à jour de Viewer Dicom

Version du client de prescription obsolète

Hétérogénéité logiciels de saisie d’actes

Défaut qualité réseau entre blocs et PACS

Mobilisation de 20 à 150 jours/h

1 Blacklist des réseaux de messagerie avec perte définitive de messages 2 Zero Access et surconsommation de bande passante

Mauvais contraste en mammographie

Erreur potentielle de dosage

Défauts et rejets de facturation (PMSI, FSE)

Non affichage d’images au bloc en cas de trafic intense

Etude réalisée en 2011 CHRU, CHU, CH, HL, PSI, SSA, Echantillon représentatif

• Inventaire • Usages • Disponibilité

• IT • Métier • Juridique

• Confidentialité • Qualité des Soins • Responsabilité

3 familles de mesures 3 niveaux d’appréciation des risques 3 exigences absolues

Résultats observés : Base + 80 Hôpitaux


Bilan gouvernance conformité des postes de travail Nombre de versions en production

(recommandation = 1) Nombre de versions applicatifs

métier


UniHA Segment Sécurité des Systèmes d’Information



Contribution de NEXTHINK ANSSI, PGSSI, Gouvernance

GOUVERNANCE

MAITRISE DES RISQUES

QUALITE DE SERVICE

Par l’analyse permanente dynamique du comportement et des usages des postes de travail

Par la supervision temps réel de l’ensemble des infrastructures informatiques

Pilotage des projets de gouvernance économique, de maîtrise des risques, de qualité de service, et de transformation des SIS


Merci


21112013


Bourgogne

GCS/ARS Bourgogne

Philippe Loudenot, Fonctionnaire de Sécurité des Systèmes d’Information, Premier Ministre

Philippe Loudenot Fonctionnaire de sécurité

des systèmes d’information, Service du Haut fonctionnaire

De défense et de sécurité auprès du Premier ministre

SCADA ? (Supervisory Control and Data Acquisition)

Sécurité des systèmes d’information de Santé


Définitions

Information


Poids


• 1 page = 4 ko sur support

• 1 Mo = 256 pages

• 1Go = 262 144 pages = 524

rames de papier soit 1310 kg

• 4Go (clé USB) = 1 048 576

pages = 2 097 rames soit 5,2

tonnes

• 1To = 536 871rames soit 1342

tonnes ≃ 35 X

Définitions 2


Système d’Information Ensemble des moyens humains et matériels ayant pour finalité

Elaborer

Détruire

Stocker

Traiter

Acheminer

durée MdP

SIH traitement

SCADA

€ dossier

Présenter Patient

€

Pour sur un système informatique : Il est estimé couramment un taux de bugs de 5-15 pour 1000 lignes de code

Sans oublier les failles liées aux applications installées sur l’OS !! : - gestion imagerie - logiciel biochimie - logiciel d’étalonnage radiothérapie - DICOM Viewer - Etc.

Déploiement d’un parc de 100 systèmes sous Windows 2000/XP. Le ratio précédent nous permet d’évaluer le nombre global de bugs : Si 1% de ces bugs concernent la sécurité, cela laisse 4000 points d’entrée par système.… à multiplier par le nombre de systèmes, soit 400 000 trous de sécurité !

Windows XP = 50 millions

Nouveaux systèmes… Nouveaux risques


Définition 3

Le concept de sécurité des systèmes d’information recouvre l’ensemble des méthodes, techniques et outils chargés de protéger les ressources d’un système d’information

Sécurité d’un système d’information


Définition 3

Confidentialité Preuve Disponibilité Intégrité


La sécurité des systèmes d’information recouvre l’ensemble des moyens techniques et organisationnels pour garantir, au juste niveau requis, la sécurité des informations

Sécurité d’un système d’information

Finalités


Finalité d’ordre opérationnel Parce que les systèmes et réseaux d’information sont devenus des outils de travail indispensables pour les tâches critiques de la vie professionnelle

Finalité d’ordre stratégique Parce que les systèmes et réseaux d’information sont une composante essentielle au bon fonctionnement « métier »

Finalité d’ordre juridique Parce que la loi l’impose Code pénal, CNIL, LCEN, LSQ…

Finalité de gestion du risque

Pour être en mesure de gérer et de maîtriser de manière active, préventive et continue, les risques de sécurité pesant sur les systèmes d’information plutôt que de subir et de vouloir les éviter et les éradiquer à tout prix

Enjeux


Dans un monde discret

FFD8FFE000104A4649460 010101004800480000FFE AB8457869660000494921 000800000007000F010000


Données ou programme ?

#include <stdio.h>

int main (int argc, const char * argv[])

{

FILE *fi, *fo;

char *cp;

int c;

if ((cp=argv[1]) && *cp!='\0')

{ if ((fi=fopen(argv[2],"rb")) != NULL)

{ if ((fo=fopen(argv[3],"wb")) !=

NULL)

{ while ((c=getc(fi)) != EOF)

{ if (!*cp) cp=argv[1];

c ^= *(cp++);

putc(c,fo);}

fclose(fo);}

fclose(fi);

}}}

880400017C0207754082FFD838

6000014E800020880300007C00

07747F80100040BE00104BFFF

…

Insertion

Compilation



Et ?

L’intrusion durerait depuis deux ans


Et ?

Et ?


SSI PM

La dette de la France est actuellement de 1 787 244 630 euros

Et ?




Pourquoi en parle-t-on ?

…

Médicale

… Savons-nous les gérer tous ?

Maintien à domicile des malades chroniques

Dossier médical

Flux financiers €


Log/Adm

Base SIH :

• Plus de 2500 identifiants + mots de passe « en clair »

• 41 comptes génériques équivalents « root » ou « admin »

• Archives en libre accès (souvent photocopieur à disposition)

• Quasi tous les matériels connectés non ou mal protégés

– Matériel médical, Photocopieurs, GTC…

Contrôle de l’ensemble des appareils connectés de l’EDS en 1 matinée


Pourquoi en parle-t-on ?

Incidents

De multiples points d’entrée : • responsabilité d’un tiers / prestataire • smartphone/tablette/USB • systèmes hétérogènes / MCS


173,5 jours

Qui prennent de l’ampleur à cause de détections tardives :

Pistes ?


3 attitudes


14 avril 1912

environ 1 500 morts / 2200

lum ière sur les insuffisances techniques

création d'une patrouille internationale des glaces

procédure à appliquer en vue d'une collision

veille radio doit être assurée 24h/ 24 sur fréquence dédiée

canots en nombre suffisant

6 mai 1937 35 morts / 97

ruine de la carrière des zeppelins

toutes les machines volantes ne voleront plus à l 'hydrogène défiance vis- à- vis de hydrogène

Struthionidés

QUIZZ


Qui parmi vous a une politique concernant les mots de passe ?

• La même politique prend-elle en charge les appareils biomédicaux, les accès aux

télé-mainteneurs…?

• Est-ce votre politique ou celle mise en place par une SSII ?

Sur un SI destiné à des maisons médicales

• 5393 identifiants + mots de passe « en clair »

Une première étape ?


Entente entre le “métier”, les “MOE” et les “SSI”

peuvent ils s’entendre ? Ils ont chacun leurs contraintes…

De quoi on-t’ils peur ?

De leurs (nos) insuffisances et de leurs conséquences De vous, de nous, d’eux : les politiques, les éditeurs, les tutelles, les consultants, les directions, des actionnaires, Des malveillants …

Que voulons nous ?


Que ça marche !

Parlons-leur des risques Risques qui vont avec les bénéfices Risque résiduel

Timeline

USB

CONFICKER

Pacemakers and Implantable Cardiac Defibrillators : Software Radio Attacks

Security holes enable attackers to switch off pacemakers, rewrite firmware from 30 feet away

Barnaby Jack

1er Pacemaker implantable

Dr Mark C Lidwell of the Royal Prince Alfred Hospital of Sydney

1er Pacemaker

GT MAS RSSI Biomed…


1926 1932 2013 1960 1996 1999 2008-2009 2012

Kevin Fu

2013

Aux Etats-Unis, la FDA a mis en garde les fabricants d’appareils médicaux électroniques contre les risques de cyber-attaques, et les conséquences désastreuses qu’elles pourraient avoir sur les patients. Elle considère les appareils médicaux électroniques et les réseaux en hôpital encore trop vulnérables à ce type d’attaques, et rappelle aux fabricants la nécessité de mieux protéger leurs appareils. La FDA, traditionnellement responsable d’évaluer la sécurité des appareils de santé, voit son rôle évoluer progressivement, vers des questions de protection des données et de « cyber-sécurité » des appareils.


Center for Internet Security

« What’s so encouraging to me in terms of mobile medical device

security is that we are on the cusp of tremendous positive change, and

we are doing it before accidents happen. »

« We must approach this process in a careful manner, with the input of

many organizations and individuals, in order to develop security

solutions without compromising the confidentiality, integrity and

availability of the devices. »


William F PELGRIN, President & CEO

Conclusion

Faites-vous encore confiance en vos systèmes d’information de

santé ?

Thank you for being so … Patient


21112013


Bourgogne

GCS/ARS Bourgogne

Benjamin NATHAN

Benjamin Nathan, Responsable Technique, Varonis Europe

Le Diable est dans les détails … des données

… et du Code.


Les Données Humaines sont une mine d’Or


Bases de données relationnelles, hautement structurées, basées sur un schéma rigide

Documents financiers, données multidimensionnelles, calculs mathématiques

Schéma prédéfini. Reporting mensuel, non adapté aux événements en temps réel

Séries de données dans le temps, aucun schéma prédéfini

Générées par presque tous les systèmes informatiques, formats très divers

Volume massif : navigation rapide et corrélation primordiales

Données machine Données de l’activité Données humaines

« Passerelle vers le cerveau », générées chaque jour par de nombreuses sources

Données non structurées : fichiers de traitement de texte, tableurs, présentations, fichiers image, audio, vidéo.

Stockées dans les intranets des entreprises, les partages de fichiers et les courriers électroniques

Mais la quantité de données augmentent de façon exponentielle…


D’ici 2020, les centres

informatiques géreront :

• 14 fois plus de données

• 10 fois plus de serveurs

• avec 1,5 fois plus de

personnel informatique

Source : IDC Digital Universe

Les entreprises sont

responsables de la

protection de 80 %

de toutes les données

Opportunité d’extraire plus

de valeur par le marquage

et l’analyse (Big data)

Organizations IndividualsCould be is Tagged is Analyzed

2012 2020Data Servers IT Staff

Il est necessaire de mettre en place des politiques de securisation.


80 % des entreprises stockent des données qui ne leur appartiennent pas, mais…

Seulement 34 % d’entre elles ont la certitude de savoir où les

données tierces sont stockées

22 % seulement connaissent les propriétaires de toutes les

données

37 % seulement en révoquent l’accès régulièrement

19 % seulement supervisent toutes les activités d’accès 75 % éprouvent des difficultés à trouver les données périmées et inutiles

Source : État de la protection des données http://www.varonis.com/research

Source : Données en déplacement http://www.varonis.com/research

Sécurité

Conformité

Rétention

Quels sont les risques ?

• Fuite d’information confidentielle • Usurpation d’identité • Complexité de gestion

• développement de code non sécurisé car non managé • prise de contrôle par manque de gouvernance des

identités

Benjamin Nathan, Responsable Avant-Vente Technique, Varonis Europe

-----

Garantir le fonctionnement nominal d’un SI nécessite la mise en œuvre de sa supervision :

• Surveiller ses paramètres de fonctionnement • Surveiller ses performances • Déployer une politique de Gouvernance de données • Mettre en place les processus de réaction afin de

traiter au plus tôt les incidents


Démonstration


• Site marchand

• comment « optimiser » ses achats en ligne

• importance d’un code sécurisé

• Serveurs dans l’entreprise

• prise de contrôle à distance

• importance d’une gouvernance des données

(y compris fichiers) et des identités