C2i métiers de la santé Chapitre 1 - L information en Santé Domaine 3 Sécurité 4 - Évaluer les dispositifs de sécurisation des informations, des supports et des traitements Jean-Marie RENARD Université Lille2 - octobre 2007
Objectifs Analyser un cahier des charges relatif aux dispositifs de sécurité informatique Mettre en place un dispositif de sauvegarde des données Analyser les services offerts par le dispositif de la Carte Professionnelle de Santé C2i Métiers de la Santé - Année universitaire 2006/2007 Tous droits réservés. 10pt 2
1 - cahier des charges relatif aux dispositifs de sécurité La sécurité des systèmes d'information repose sur le respect d'un ensemble complexe de contraintes Sa robustesse dépend de celle de son maillon le plus faible C2i Métiers de la Santé - Année universitaire 2006/2007 Tous droits réservés. 10pt 3
1.2 les contraintes sur la sécurité Différents domaines doivent être analysés: L'environement physique Les dispositifs informatiques Les systèmes logiques Cette typologie se justifie par les métiers concernés principalement par chacun de ces domaines C2i Métiers de la Santé - Année universitaire 2006/2007 Tous droits réservés. 10pt 4
1.2.1 L'environnement physique Plusieurs facteurs peuvent altérer l'environement physique des dispositifs informatiques. Nous distinguerons: La sécurité des accès La sécurité thermique La sécurité électrique C2i Métiers de la Santé - Année universitaire 2006/2007 Tous droits réservés. 10pt 5
1.2.1 L'environnement physique La sécurité des accès Quels sont les dispositifs prévu pour contrôler les accès et empêcher les intrusions Solidité: Locaux fermés. Portes et fenêtre «blindés» Surveillance: vidéo-surveillance, gardiennage.. Gestions des autorisations Listes des personnels autorisés, accès par badge... Procédure pour garantir un accès 7/24? C2i Métiers de la Santé - Année universitaire 2006/2007 Tous droits réservés. 10pt 6
1.2.1 L'environnement physique La sécurité thermique: Les dispositifs informatiques dissipent de la chaleur: serveur (moyen): environ 1000 W équipement réseau: 15W par port Exposition, vitres... Système de ventilation et de réfrigération Système de protection incendie. Extincteurs automatiques (information, risques). C2i Métiers de la Santé - Année universitaire 2006/2007 Tous droits réservés. 10pt 7
1.2.1 L'environnement physique La sécurité électrique: Alimentation «courant fort» adaptée (220V) Qualité du courant Onduleurs Protection contre les surtensions et les parasites Continuité de de l'alimentation Groupes électrogènes, au niveau d'un bâtiment Batteries (+ onduleurs) C2i Métiers de la Santé - Année universitaire 2006/2007 Tous droits réservés. 10pt 8
1.2.2. Les dispositifs informatiques Réserve («spare») matériels de remplacement (disques, routeurs, serveurs...) Redondance A l'intérieur d'un dispositif: alimentations, contrôleurs, cartes réseaux... Entre dispositifs: serveurs redondants avec bascule automatique Sauvegardes C2i Métiers de la Santé - Année universitaire 2006/2007 Tous droits réservés. 10pt 9
1.2.2. Les dispositifs informatiques Répartition dynamique (load-balancing) répartition de charges entre plusieurs systèmes Exemples: serveurs de base de données, serveurs Webs, pares-feu. Elle s'associe en général à la mise en oeuvre d'architectures logicielles complexes plus ou moins spécifiques. C2i Métiers de la Santé - Année universitaire 2006/2007 Tous droits réservés. 10pt 10
1.2.3 Les systèmes logiques Très grande diversité et complexité très importante Plusieurs niveaux souvent intriqués: Système Réseau (OSI 4 surtout) Application (OSI 7 ) Client-serveur Architectures multi-parties (n-tiers) P2P C2i Métiers de la Santé - Année universitaire 2006/2007 Tous droits réservés. 10pt 11
1.2.3 Les systèmes logiques Des propriétés (6): identification, authentification, confidentialité, disponibilité, intégrité, non répudiation. Des fonctionnalités: Contrôle des accès Contrôle des échanges Continuité du service Des technologies: chiffrement, web2.0... C2i Métiers de la Santé - Année universitaire 2006/2007 Tous droits réservés. 10pt 12
1.2.4 intrications des domaines Exemple: l'utilisation de certificats numériques contenu dans une carte à puce pour réaliser le chiffrement d'échanges de documents par messagerie électronique Carte à puce, lecteur, certificats numériques, application de chiffrement, application de messagerie Difficultés pour l'analyse du niveau de sécurité C2i Métiers de la Santé - Année universitaire 2006/2007 Tous droits réservés. 10pt 13
2 - Mettre en place un dispositif de sauvegarde Un dispositif de sauvegarde est destiné à mettre en sécurité les données contenues dans un système informatique à l'aide d'un mécanisme de duplication. Ses objectifs: Réparer un système, après la défaillance d'un disque dur. Récupérer des données endommagées par erreur (suppression, écrasement, virus...) C2i Métiers de la Santé - Année universitaire 2006/2007 Tous droits réservés. 10pt 14
2 - Mettre en place un dispositif de sauvegarde 3 méthodes de sauvegarde complète ou totale ("full backup") copie de tous les fichiers différentielle copie des fichiers créés ou modifiés depuis la dernière sauvegarde complète Incrémentielle copies des fichiers créés ou modifiés depuis la dernière sauvegarde quel que soit son type C2i Métiers de la Santé - Année universitaire 2006/2007 Tous droits réservés. 10pt 15
2 - Mettre en place un dispositif de sauvegarde Le dispositif de sauvegarde peut comporter un système de disque dur redondant de type RAID (Redundant Array of Inexpensive Disks) Matériel: c'est le contrôleur qui gère le système RAID Logiciel: c'est l'os qui gère le RAID Principalement RAID1 et RAID 5 C2i Métiers de la Santé - Année universitaire 2006/2007 Tous droits réservés. 10pt 16
2 - Mettre en place un dispositif de sauvegarde Les copies de sauvegarde peuvent être effectuées sur différents support: Un lecteur-enregistreur de bande Un autre disque Un autre serveur (dans un autre lieu)... Il existe des dispositifs de sauvegarde qui répliquent les données au travers d'un réseau Peer to Peer. C2i Métiers de la Santé - Année universitaire 2006/2007 Tous droits réservés. 10pt 17
2 - Mettre en place un dispositif de sauvegarde Gestion du RAID logiciel Sous GNU/Linux: mdadm Sous MS-Windows XP ou Mac OSX: utilitaires systèmes Gestion de la réplication Exemples de quelques logiciels opensources Exemple de schéma: J0 Full, J1-J6 sauvegarde incrémentale C2i Métiers de la Santé - Année universitaire 2006/2007 Tous droits réservés. 10pt 18
2 - Mettre en place un dispositif de sauvegarde Exemples de logiciels de réplication AMANDA (The Advanced Maryland Automatic Network Disk Archiver) http://www.amanda.org/ BackupPC, a high-performance, enterprise-grade system for backing up Linux and WinXX PCs and laptops to a server's disk http://backuppc.sourceforge.net/info.html Bacula http://www.bacula.org/fr/ NasBackup http://sourceforge.net/projects/nasbackup/ Areca http://areca.sourceforge.net/ C2i Métiers de la Santé - Année universitaire 2006/2007 Tous droits réservés. 10pt 19
3 - Services offerts par le dispositif CPS La carte CPS est une carte à puce Elle contient des outils de chiffrement selon un mécanisme de couple clef privée - clef publique compatible X509 et S/Mime. Elle s'insère dans un dispositif de gestion de certificat dont l'autorité certifiante est le GIP Sesam-Vitale C2i Métiers de la Santé - Année universitaire 2006/2007 Tous droits réservés. 10pt 20
Mentions légales L'ensemble de ce document relève des législations française et internationale sur le droit d'auteur et la propriété intellectuelle. Tous les droits de reproduction de tout ou partie sont réservés pour les textes ainsi que pour l'ensemble des documents iconographiques, photographiques, vidéos et sonores. Ce document est interdit à la vente ou à la location. Sa diffusion, duplication, mise à disposition du public (sous quelque forme ou support que ce soit), mise en réseau, partielles ou totales, sont strictement réservées au Ministère de l éducation nationale - projet C2i métiers de la Santé. L utilisation de ce document est strictement réservée à l usage privé des étudiants inscrits à l UFR de médecine, de pharmacie et odontologie des universités impliqués dans le C2i métiers de la santé, et non destinée à une utilisation collective, gratuite ou payante. Ce document a été réalisé pour le projet C2i Niveau 2 métiers de la Santé - Ministère de l éducation nationale. C2i Métiers de la Santé - Année universitaire 2006/2007 Tous droits réservés. 10pt 21