Cybercriminalité et santé Actualité, réalités, SSI et PGSSI-S

Dimension: px

Commencer à balayer dès la page:

Download "Cybercriminalité et santé Actualité, réalités, SSI et PGSSI-S"

Odette Favreau
il y a 8 ans
Total affichages :

1 Cybercriminalité et santé Actualité, réalités, SSI et PGSSI-S LES RENCONTRES QUALITE EFFICIENCE ARS PAYS DE LOIRE UNE CONFÉRENCE DE L APSSIS VINCENT TRELY, PRÉSIDENT FONDATEUR 1

2 L ARS Pays de Loire invite l APSSIS Vincent TRELY Expert SI, SSI Président Fondateur de l APSSIS Informations et réflexions autour de la Sécurité des SI de santé

3 LA CYBERCRIMINALITÉ, UN FLÉAU DE SOCIÉTÉ! Enfants en danger, Entreprises ruinées Etats menacés, Citoyens espionnés, Internautes détroussés, PC hors service Les TIC offrent de vraies révolutions positives dans nos existences, mais la vigilance et l acculturation des usagers est primordiale Mais des moyens d agir pour se protéger Des technologies Des logiciels Des experts Un minimum de culture du risque est nécessaire à nos générations

4 LA CYBERCRIMINALITÉ, UN FLÉAU DE SOCIÉTÉ! INFORMATIONS GENERALES Un état des lieux inspiré des Conférences de Gérard PELIKS, EADS CASSIDIAN

5 LES ACTEURS DE L INSÉCURITÉ Etat Cyberespionnage Cyberguerre Axe économique Axe politico militaire Cybercriminalité Cyberhacktivisme Entreprise Guerre par l information Guerre pour l information Guerre contre l information

6 LA DISPONIBILITÉ DE L INFORMATION TIENT PARFOIS À UN FIL Vélizy, mai 2011

7 PRÉSIDENCE ESPAGNOLE DE L UNION EUROPÉENNE

8 PRÉSIDENCE ESPAGNOLE DE L UNION EUROPÉENNE

9 CYBERGUÉRILLA, CYBERCOMBAT DE RUE OU CYBERGUERRE? Estonie 2007 : perturbation massive d un pays Confiker 2008 : blocage des avions de la marine et des appareils médicaux Géorgie 2008 : guerre sur les réseaux et les dénis de services Iran 2010 : Le ver Stuxnet était dans la centrifugeuse, attaque sur les SCADA Bercy 2011 : les APT et le G20 Areva 2011 : Intrusions et vols Juillet 2009, création de l ANSSI Sony 2011 : 100 millions de comptes piratés DigiNotar 2011 : perte de confiance envers les certificats numériques

10 CYBERGUÉRILLA, CYBERCOMBAT DE RUE OU CYBERGUERRE? 2012 Anonymous 2012 : les «associations de malfaiteurs» Février 2012, Piranet Wiper avril 2012 : blocage des terminaux pétroliers de l IRAN Flame juin 2012 : La boîte à outils de l espionnage Elysée avril 2012 : Les informations sensibles piratées? Rapport Bockel Gauss août 2012 : Espionnage sur les transactions bancaires au Liban Cyber Europe Et les multiples révélations sur l espionnage mondial orchestrée par la NSA

11 STUXNET MÊME EN FRANCE

12 L INVASION DES MALWARES Rapport de PandaLabs début 2012 : 26 millions de nouvelles souches de malwares en circulation en 2011 Entre et nouvelles menaces lancées chaque jour Moyenne mondiale des ordinateurs infectés : 39% 50%+ d ordinateurs infectés en Chine, Taïwan et Thaïlande

13 TOUS SONT MENACÉS! En 2010, le nombre de mobiles connectés à Internet a dépassé celui des stations (PC, serveurs) connectés à Internet.

14 AUCUN FORMAT, AUCUN PÉRIPHÉRIQUE NE SONT À L ABRI! attaques sur Androïddepuis début 2012 Trend Micro, octobre 2012 La sécurité dans la mobilité, aujourd hui, n existe pratiquement pas 14

15 Aucun format, aucun périphérique n est à l abri

16 QUE FONT LES LOGICIELS MALVEILLANTS AVEC VOTRE SMARTPHONE?

17 L invasion des malwares Rapport de PandaLabs 2011

18 Rien que ces derniers mois

19 Rien que ces derniers mois

20 Rien que ces derniers mois

21 Rien que ces derniers mois

22 Rien que ces derniers mois C est tous les jours, dans la presse, qu on nous relate le best of de la cybercriminalité

23 Et ces derniers jours :

25 SES OUTILS SONT COMMUNICANTS, DOIVENT L ÊTRE ET C EST IRRÉVERSIBLE! Plus de applications médicales en ligne. Voir «Le Petit Traité du Bonheur 2.0» - ce qui nous attend, à très court terme

26 SES OUTILS SONT COMMUNICANTS, DOIVENT L ÊTRE ET C EST IRRÉVERSIBLE!

27 SES OUTILS SONT COMMUNICANTS, DOIVENT L ÊTRE ET C EST IRRÉVERSIBLE!

28 AFFAIRES RÉCENTES DEVANT PORTER À RÉFLEXION

29 LES ÉTABLISSEMENTS DE SANTÉ SONT PARTICULIÈREMENT SENSIBLES À CE TYPE D INFECTION

30 ATTAQUE SUR LES SCADA (*) LA SANTÉ : NOUVELLE CIBLE (*) Supervisory Control And Data Acquisition

31 Le système d information, c est l ensemble des moyens, des procédures et des processus qui génèrent, traitent, gèrent, consignent et protègent l information de l entreprise. Souvent associé à l informatique et aux systèmes informatiques (PC, serveurs, stockage, logiciels métiers ou logiciels généraux), le système d information, c est également le papier, l information blanche (publique), l information grise (privée, confidentielle, stratégique) et l information noire (à la limite de la légalité, très confidentielle ou très stratégique). L aspect clairement stratégique du système d information en fait un élément clé de l entreprise et un élément identifié comme cible pour le reste du monde (pirates, espions, mécontents ) Le système d information, c est aussi les nouveautés (BYOD, AVEC, CLOUD, BIG DATA ) et il faut «se les assimiler» Bonne nouvelle : c est encadré, comme la Qualité!

32 UN ENVIRONNEMENT COMPLEXE!

33 PAYSAGE SSI / SANTÉ

34 NORMES ISO Ensemble de normes pour la conception et la mise en œuvre d un système de gestion de la sécurité de l information

35 QU EST-CE QU UN SMSI? La sécurité du système d information se gère globalement au niveau de l établissement par la mise en place d un système de management. La norme ISO/IEC décrit ce système de management applicable à tout organisme et présente les mesures organisationnelles à mettre en œuvre. Par exemple, la norme ISO aborde ce système de management par rapport aux spécificités de la santé. ISO/IEC précise que ce système de management doit s inspirer de, voire s inscrire dans, le système de mangement existant au sein de l organisme tel que celui de la qualité ISO/IEC 9001 ou de l environnement ISO/IEC

36 LA NORME ISO27001 POUR UN SYSTÈME DE GESTION DE LA SÉCURITÉ DE L INFORMATION ISO27001 ISO Overview et Vocabulary ISO Code of Practice ISO2700x ISO ISMS Requirements ISO Implementation guide ISO ISO Measurements Risk Management Exigence s pour la sécurité de l informat ion Act Maintenir et améliorer Plan Etablir Check Contrôler et réviser Do Implanter et exploiter Gestion de la sécurité de l inform ation ISO Accreditation bodies ISO Auditor guideline Exigences d'un Système de Management de la Sécurité de l Information (SMSI) pour la définition et la mise en œuvre d un processus de gestion de la sécurité du SI Approche basée sur les risques Certification possible des SMSI par des organismes tiers Processus de gestion et d amélioration continuer de la sécurité de l information Clause 4 - Système de Management de la Sécurité de l Information Clause 5 - Gestion des responsabilités Clause 6 - Audits internes du SMSI Clause 7 - Revues du SMSI Clause 8 - Amélioration du SMSI

37 MÉTHODES D ANALYSE DE RISQUE SSI Il existe un très grand nombre de méthodes d analyse de risque SSI dans le monde (CRAMM, Octave, mesari, Mehari, EBIOS, ) Des normes comme ISO27005 ou ISO (management du risque) donnent un cadre Deux méthodes d analyse de risques les plus utilisées en France dans le domaine de la santé EBIOS de l ANSSI MEHARI du CLUSIF

38 PGSSI-S Objectifs : «Définir les niveaux d exigence, règles et moyens juridiques, organisationnels, techniques et humains nécessaires pour garantir la sécurité de l information dans les secteurs santé et médicosocial» «Au bénéfice des patients, des professionnels et des établissements de santé» Principes fondateurs rédigés 38

39 ALORS, EN CONCLUSION? De l information Tout le monde De la formation RSSI, référents De l usage conscient Tout le monde De la méthode Institutionnels et Agences Des pratiques à faire évoluer, donc de la conduite du changement Tout le monde Pas de peur, de la vigilance et de l usage de connaissances! MERCI BEAUCOUP DE VOTRE ATTENTION 39

Documents pareils

Informations et réflexions autour de la Sécurité des SI et des SIH en particulier

Informations et réflexions autour de la Sécurité des SI et des SIH en particulier Menaces sur les SI en général et sur les SIH en particulier Organisation de la SSI au sein de l écosystème de santé Programme Hôpital Numérique : une vision pragmatique PPT1 Le Problème Sécurité Actualité,