Jean-François Baillette, ITrust TOP 10 DES FAILLES DE SÉCURITÉ
Présentation Est un dans la et l Acteur innovant Surveillance Amélioration continue de la Sécurité des Systèmes d Information. Expertise en SSI Produits Centre de sécurité
Présentation Aeronautics/Engineering Bank Healthcare Food industry SME/Association Leading IT provider Education
Cadre général de la Sécurité des SI D : Disponibilité I : Intégrité C : Confidentialité P : Preuve
Cadre général de la Sécurité des SI Disponibilité Un ami urgentiste m a dit dernièrement que: Soigner les malades n est pas une difficulté, Trouver des lits disponibles en spécialité c est moins évident Intégrité Les équipes des hôpitaux sont formées à l Identito-vigilance, la pharmaco-vigilance, "La peur en code barres» dans le livre de Cédric Cartau décrit une situation où 2 enfants échangent leur bracelets
Cadre général de la Sécurité des SI Confidentialité Serment d'hippocrate et celui de l'ordre apportent un respect à la personne humaine et la notion d'intimité, Versus OpenData et objets connectés Preuve Il existe d excellentes raisons métier et médicolégales pour que les processus de stérilisation soient parfaitement contrôlés de bout en bout
Cadre général de la SSI - SPOF Single Point Of Failure Le grain de sable Les accidents n arrivent pas toujours là où on s y attend et où on aurait vu du risque Exemple du CHU de Nantes : pour des raisons de licence périmée, l imprimante codes barre pour plateaux repas ne fonctionne plus et provoque une rupture de la chaîne d'approvisionnement des 3000 lits de l hôpital.
Avez-vous des vulnérabilités? Vos vulnérabilités menacent-elles : La disponibilité de votre SI? (Si le réseau tombe que se passe-t il?) L intégrité des informations ou des patients? (Pompes à insuline, pace maker) La confidentialité des informations qui vous sont confiées? (Bases de données ou équipements avec mots de passe par défaut) Votre capacité à établir des preuves? (Altération de logs, suppression de fichiers, )
90% de chances Que notre équipe rentre chez vous avec seulement 10 clefs
Constat 75% C est le taux d entreprises piratées au cours des 2 dernières années (Source étude Cenzic). Ce taux atteint 90% sur les statistiques de nos audits. La plupart du temps les entreprises ne savent même pas qu elles sont piratées.
Constat 115 audits depuis 2007
TOP Ten Les 10 failles de sécurité les plus fréquemment rencontrées
10, 09, 08, 10 Systèmes trop verbeux : DNS 09 - Relations de confiance telnet,.rhosts, hosts.equiv, 08 Gestion des droits Exemple du stagiaire qui a souvent plusieurs maîtres de stages et tous leurs droits
07, 06, 05 07 Protocoles d administration Avec SNMP on peut arrêter un onduleur pourquoi pas le bloc opératoire? 06 Bases de données Mot de passe d origine 0000 (pour ne pas oublier) 05 Partage de fichiers Le plus souvent sans restriction
04, 03, 02 04 Serveurs de test ou à l abandon Contiennent de nombreuses informations exploitables Voire des informations confidentielles 03 : Vulnérabilités web/internet Cookies avec mots de passe en clair Caméras de vidéo-surveillance utilisables 02 : Mots de passe 1234 Sous le clavier Ou dans un fichier
01 Vulnérabilités Historiques Vulnérabilités connues Quasiment 100% de présence Problématique la plus facile à exploiter et à automatiser Il suffit de mettre à jour les systèmes et applications pour s en prémunir. Responsables de la plupart des exploitations dans l actualité Exemple du Playstation Network Conficker dans les hôpitaux
Conclusion Plus de 9 fois sur 10 nous pénétrons un système au cours d un audit à partir d une vulnérabilité de ce top 10. 75% C est le taux d entreprises piratées au cours des 2 dernières années. 97% Des attaques auraient pu être évitées par des contrôles simples ou intermédiaires (Source Verizon). Un outil de détection de services et de vulnérabilités automatisé permet d identifier la majeure partie de ces menaces.
Bonne nouvelle : 99% des failles de sécurité peuvent être corrigées très facilement Et ne sont pas traitées par les antivirus et firewalls!
2 ème bonne nouvelle : C est comme les lunettes, la première paire est gratuite! Elle vous permet une auto-évaluation en continu.
A quoi ça sert? A piloter le processus de sécurité Vue Destinataire Indicateurs Stratégie DG/DSI - % du budget SSI dans le budget SI - Nombre de plaintes - Nombre d évènements indésirables - % utilisateurs formés Pilotage DSI - Nombre d incidents majeurs - Couverture des risques - Avancements des projets / mesures SSI Opérationnels DSI-OP - Nombre d incidents de sécurité - Taux de vulnérabilité des architectures - Taux de couverture antimalware - Taux de conformité du parc PC By courtesy of Stéphane Duchesnes, RSSI CHU Bordeaux
Qui peut aider? Souvent le salut vient de la réglementation. Les incitatifs sont forts dans hôpital numérique avec des bénéfices à la clef Le contrôle est rendu obligatoire, c est une tendance forte dans les normes et guides Guide d hygiène sur la sécurité de l ANSSI 20 contrôles de sécurité du SANS Norme santé HDS publications de l ASIP Travaux des RSSI, des GCS, ISO 27001
Qui peut aider? Le GCS TéléSanté Centre est un outil à disposition de ses adhérents pour les accompagner dans leur démarche. TéléSanté Centre propose un service d'audit flash de sécurité permettant d'aider les établissement à faire leur autoévaluation en termes de maturité Sécurité des SI.
Questions? ITrust - Siège Social 55 Avenue l Occitane, BP 67303 31673 Labège Cedex +33 (0)5.67.34.67.80 contact@itrust.fr www.itrust.fr www.ikare-monitoring.com