Informations et réflexions autour de la Sécurité des SI et des SIH en particulier

Menaces sur les SI en général et sur les SIH en particulier Organisation de la SSI au sein de l écosystème de santé Programme Hôpital Numérique : une vision pragmatique PPT1 Le Problème Sécurité Actualité, menaces, cyberespace et biotechnologies GCS HAUTE-NORMANDIE 14-15-16 Octobre 2014

Informations et réflexions autour de la Sécurité des SI et des SIH en particulier

CHIFFRES Nombre d internautes (particuliers, sociétés, institutions): 2 484 915 152 soit environ 35% de la population mondiale. Fin 2014, le nombre d'internautes dans le monde franchira la barre des 3 milliards. 144 milliards d emails sont échangés chaque jour et 68,8% d entre eux sont des spams h t t p : / / w w w. l e n e t e x p e r t. f r / l e s - s t a t i s t i q u e s - du- n u m e r i q u e - u s a g e s - r i s q u e s - c y b e r c r i m i n a l i t e / Près de 120 000 personnes par an se font voler leur identité sur le net (Daniel Martin, ancien commissaire de la DST et spécialiste des nouvelles technologies) h t t p : / / w w w. p r o t e g e r s o n i m a g e. c o m / c y b e r - c r i m i n a l i t e - t e r r a i n - f e r t i l e - a f r i q u e /

CHIFFRES Chaque seconde, 18 internautes dans le monde sont victimes d actes malveillants en ligne, soit plus d un million et demi de personnes chaque jour. 41 % des Français utilisant des smartphones ont été victimes d'actes de cybercriminalité au cours des 12 derniers mois contre seulement 29 % en Europe et 38% dans le Monde. 60 % des utilisateurs de terminaux mobiles ne savent pas qu'il existe des solutions de sécurité pour ceux-ci. En France, 29 % des adultes utilisent leur terminal personnel à la fois pour travailler et pour jouer, contre 38 % en Europe et 49% dans le monde. h t t p : / / w w w. s y m a n t e c. c o m / f r / f r / a b o u t / n e w s / r e l e a s e / a r t i c l e. j s p? p r i d = 2 0 1 3 1 0 1 7 _ 0 1 / Les cyberattaques ciblées ont bondi de 91% dans le monde en 2013, et en France ce sont surtout les PME qui sont visées en tant que portes d'entrée vers les plus grands groupes (Rapport Symantec) Alors qu'elles avaient progressé de 42% entre 2011 et 2012, les attaques ciblées (visant des personnes, des entreprises, un secteur ou gouvernement) ont enregistré une croissance de 91% pour la seule année 2013. Ces attaques ont duré en moyenne trois fois plus longtemps qu'en 2012 Coordonnées bancaires, données commerciales, propriété intellectuelle, informations gouvernementales: «En 2013, le nombre de violations de données a augmenté de 62% par rapport à 2012, avec plus de 552 millions d'identités exposées» h t t p : / / w w w. 2 0 m i n u t e s. f r / m o n d e / 1 3 4 6 0 6 1-20140408- c y b e r a t t a q u e s - c i b l e e s - bondi- 91- m o n d e - 2013

LA CYBERCRIMINALITÉ, UN FLÉAU DE SOCIÉTÉ! Enfants en danger, Entreprises ruinées, Etats menacés, Citoyens espionnés, Internautes détroussés, PC et grands réseaux hors service Le monde virtuel s est parfaitement adapté et a su rapidement développer les mauvais usages du monde réel. Des moyens d agir pour se protéger existent : Des Institutions Des technologies Des méthodes Des logiciels Des experts Un minimum de culture du risque est nécessaire à nos générations

LES ACTEURS DE L INSÉCURITÉ Etat Cyberespionnage Cyberguerre Axe économique Axe politico militaire Cybercriminalité Cyberhacktivisme Entreprise Guerre par l information Guerre pour l information Guerre contre l information

LE SYSTÈME DE SANTÉ : UNE NOUVELLE CIBLE Les TIC offrent de vraies révolutions positives dans nos existences mais la vigilance et l acculturation des usagers est primordiale Or, au sein de l écosystème de Santé, la complexité est grande. Parce que la santé n est pas un processus industriel comme les autres Parce que les Directeurs d Etablissements ne sont pas les Patrons des Médecins Parce que certaines pratiques médicales excluent de facto certaines pratiques usuelles propres à la sécurité des SI Parce que les Professionnels de Santé sont peu acculturés aux concepts de la Sécurité Parce que les Instances nationales (Ministère, DGOS, ASIP Santé) ont pris conscience assez récemment de l impact des technologies numériques

LA CYBERCRIMINALITÉ : quelques récents exemples Santé INFORMATIONS GENERALES http://curio.ca/fr/ver-dans-le-systeme-de-sante-quebecois-virus-informatique/s/3917/ http://www.actusoins.com/24195/usa-cyber-attaque-les-donnees-personnellespatients.html http://www.sciencesetavenir.fr/high-tech/20130701.obs6027/le-premier-homme-infectepar-un-virus-informatique.html http://www.ticsante.com/importante-fuite-de-donnees-pour-une-cinquantaine-d-hopitauxequipes-d-un-logiciel-de-gestion-des-urgences-ns_1624.html

PRÉSIDENCE ESPAGNOLE DE L UNION EUROPÉENNE

PRÉSIDENCE ESPAGNOLE DE L UNION EUROPÉENNE

CYBERGUÉRILLA, CYBERCOMBAT DE RUE OU CYBERGUERRE? E s t o n i e 2 0 07 : p e r t u r b ation m a ssive d u n p a ys C o n f i k er 2 0 08 : blocage d e s a vi o n s d e la m a rine e t d e s a p p a reils m é d i cau x G é o r g i e 2 0 08 : g u e r r e s u r l e s r é seaux e t les d é n i s d e s e r vi ces Juillet 2009, création de l ANSSI I r a n 2 0 10 : Le ve r S t u x n e t é t a i t d a n s l a c e n t r ifugeuse, a t t a q u e s u r l e s S C AD A B e r cy 2 0 11 : les AP T e t l e G 2 0 Ar e va 2011 : Intrusions e t vo l s S o n y 2 0 11 : 100 m i l l i o n s d e comptes p i r a t és D i g i N o t ar 2 0 11 : perte d e confiance e n ve rs l e s c e rtifi cat s n u m é riques

CYBERGUÉRILLA, CYBERCOMBAT DE RUE OU CYBERGUERRE? Anonymous 2012 : les «associations de malfaiteurs» Wiper avril 2012 : blocage des terminaux pétroliers de l IRAN Février 2012, Piranet Rapport Bockel F l a m e juin 2012 : La b o î t e à o u t i l s d e l espionnage E l ys é e vi c t i m e d u n e c yb e r attaque Cyber Europe G a u s s a o û t 2 0 12 : E s p i o n n age s u r l e s t r a n sact i o ns b a n c aires a u L i b a n 2 0 13: l Ad m i n i s t r ation O b a m a d é c l are l a g u e r re a u x c yb e r a t taques 2 0 14 : Orange d e nouve a u vi c t i m e d e c yb e r a t t aque Et les multiples révélations sur l espionnage mondial orchestrée par la NSA

L INVASION DES MALWARES Le malware est un terme générique pour différents types de logiciels malveillants : virus, vers, chevaux de Troie, rootkits,spywares, Environ 74 000 nouveaux virus informatiques créés chaque jour en moyenne en 2013 32% des ordinateurs dans le monde sont infectés par ce type de malware h t t p : / / w w w. a u t o u r d u w e b. f r / 7 4-0 0 0 - n o u v e a u x - v i r u s - i n f o r m a t i q u e s - c r e e s - c h a q u e - j o u r - ou- en- s o m m e s - nous/

Sur Internet, tout est à vendre Numéros de cartes bancaires : de 2 à 6 ; 50 avec le code. Code d accès à des applications sensibles : de 1 à 5. Kit de racket informatique : 100. Vente de virus : de 100 à 2 000. Location d un Botnet : 8 pour une heure ; pour 1000 téléchargements vers : l Australie: 500 $ La Grande-Bretagne : 400 $ Les USA, la France, l Espagne, la Grèce : 120 $ Attaque DDOS : de 500 à 1 500. Outil d envoi accompagné de : 5 millions d adresses de messagerie : 140 20 millions d adresses de messagerie : 350 Dossier complet d une personne physique : 50 Logiciel d espionnage sophistiqué : 50 000

TOUS SONT MENACÉS! En 2010, le nombre de mobiles connectés à Internet a dépassé celui des stations (PC, serveurs). En 2013, il y avait pratiquement autant de téléphones mobiles et autres objets connectés sur terre que d'habitants. L'étude réalisée par Cisco a ainsi dénombré 7 milliards de terminaux mobiles dans le monde en 2013.

A QUOI PEUT SERVIR MON SMARTPHONE? S o u r c e : R a p p o r t s o p h o s 2014

AUCUN FORMAT, AUCUN PÉRIPHÉRIQUE N EST À L ABRI 100 000 attaques sur Androïd depuis début 2012 Trend Micro, octobre 2012 La sécurité dans la mobilité, aujourd'hui, n existe pratiquement pas 17

AUCUN FORMAT, AUCUN PÉRIPHÉRIQUE N EST À L ABRI

MENACES INTERNES Source : HAPSIS Une liste courte, bien que non exhaustive impliquant une multitude de situations 60 à 80 % des attaques sur un système d information

Rien que ces derniers mois

Rien que ces derniers mois

Attaques DDoS en temps réel La France à la 3ème place mondiale

UN SYSTÈME SPÉCIAL? POURQUOI? Les Etablissements de Santé (CHU, CH, Privés) traitent «l aigüe» Le «chronique» se gère en «ambulatoire» L ambulatoire nécessite la mise en réseau d un ensemble hétérogène de professionnels de Santé : Médecins, Hôpitaux, Libéraux, Pharmaciens, Assistants Sociaux, Soins de suite et de réadaptation, Maisons médicales, Médecins spécialistes, Psychologues Le système est donc intrinsèquement communicant et cherche à l être, quel que soit la qualification des communications! Le système n est pas ignorant des technologies de l information et de la communication et de leur constant développement Alors le système s adapte et fait usage Le système est difficilement contraignable par l essence même de sa mission L avenir parle d un maximum d ambulatoire et de HAD (Hospitalisation à domicile), les Hôpitaux n étant pas gréés pour accueillir la génération des baby boomers.

SES OUTILS SONT COMMUNICANTS, DOIVENT L ÊTRE ET C EST IRRÉVERSIBLE! Plus de 110 000 applications médicales en ligne.

S E S O U T I L S S O N T C O M M U N I CANTS, D O I V E N T L Ê T R E E T C EST IRRÉVERSIBLE!

S E S O U T I L S S O N T C O M M U N I CANTS, D O I V E N T L Ê T R E E T C EST IRRÉVERSIBLE!

S E S O U T I L S S O N T C O M M U N I CANTS, D O I V E N T L Ê T R E E T C EST IRRÉVERSIBLE!

S E S O U T I L S S O N T C O M M U N I CANTS, D O I V E N T L Ê T R E E T C EST IRRÉVERSIBLE!

PIRATAGE ET CONTRÔLE DES OUTILS COMMUNICANTS : UNE REALITE

PIRATAGE ET CONTRÔLE DES OBJETS COMMUNICANTS : UNE REALITE

LES ÉTABLISSEMENTS DE SANTÉ SONT PARTICULIÈREMENT SENSIBLES À CE TYPE D INFECTION

ATTAQUE SUR LES SCADA ( * ) LA SANTÉ : NOUVELLE CIBLE (*) Supervisory Control And Data Acquisition

Un besoin légitime Entre 2012 et 2013, les attaques sur le secteur de la Santé ont augmenté de 40 %. Cela représente 2400 occurrences au moins! Ces attaques sont aussi de plus en plus diversifiées. Source : Atelier.net

LES ETABLISSEMENTS DE SANTÉ ET LA SÉCURITÉ 1/3 Centre Hospitalier de Morlaix - Juin 2012 Saturation des réseaux Accès internet coupé 15 jours pour le retour à la normale En cause : infection par Clé USB, ver Conficker Hôpital américain en Virginie : Mai 2009 Vol de dossiers médicaux de 8 millions de patients Intrusion d un pirate dans le SIH et copie de 36 millions de prescriptions Backup chiffré restitué en échange d une rançon de 10 millions de dollars

LES ETABLISSEMENTS DE SANTÉ ET LA SÉCURITÉ (2/3) Clinique de Champagne - Juin 2012 Plusieurs centaines de dossiers médicaux sur Google Demande de rançon d un prestataire Constitution d une cellule de crise Retour aux dossiers papier En cause : intervention d un prestataire sur le poste d un médecin Centre Hospitalier de Saint-Malo - Septembre 2013 Mise en demeure par la CNIL Transmission de dossiers médicaux non anonymisés pour vérifier la cohérence du codage des actes Plusieurs centaines de dossiers médicaux concernés Image de l établissement mise à mal

LES ETABLISSEMENTS DE SANTÉ ET LA SÉCURITÉ (3/3) 40 Centre Hospitaliers français 09-10/2013 Fichier contenant logins / mots de passe et adresses IP de serveurs de 50 centres hospitaliers disponible sur internet Possibilité d intrusion et de consultation des dossiers médicaux Erreur humaine du côté du fournisseur du logiciel de gestion des urgences CHU de Clermont-Ferrand novembre 2013 Vol du PC portable d un neuroréanimateur Dispositif antivol Données de santé de patients, études scientifiques non encore publiées Non sauvegardées sur un autre support

ATTAQUE SUR LES SCADA (SUPERVISORY CONTROL AND DATA ACQUISITION) Les pacemakers peuvent être piratés et détournés pour délivrer des impulsions électriques mortelles. Transmetteurs sans fil utilisés pour envoyer des instructions aux pacemakers et aux DAI (défibrillateur automatique implantable) mis en cause. Possibilité de provoquer un choc électrique de 830 volts via un pacemaker. Accès aux informations personnelles à propos des patients (leur nom et celui de leur médecin). Possibilité d accéder aux serveurs à distance qui ont été utilisés pour le développement du logiciel. En théorie il serait donc possible d uploader des malwares dans les serveurs de l entreprise pour infecter de multiples pacemakers et DAI. Source : Mag Securs

Le système d information, c est l ensemble des moyens, des procédures et des processus qui génèrent, traitent, gèrent, consignent et protègent l information de l entreprise. Souvent associé à l informatique et aux systèmes informatiques (PC, serveurs, stockage, logiciels métiers ou logiciels généraux), le système d information, c est également le papier, l information blanche (publique), l information grise (privée, confidentielle, stratégique) et l information noire (à la limite de la légalité, très confidentielle ou très stratégique). L aspect clairement stratégique du système d information en fait un élément clé de l entreprise et un élément identifié comme cible pour le reste du monde (pirates, espions, mécontents ) Le système d information, c est aussi les nouveautés (BYOD, AVEC, CLOUD, BIG DATA ) et il faut «se les assimiler» Bonne nouvelle : C est encadré, comme la Qualité!

Cadre réglementaire de la SSI Santé Hygiène du SIH PPT2 Enjeux de la SSI en Santé Normes et Standards Organisation et Tutelles

POURQUOI LES SYSTÈMES D INFORMATION DE SANTÉ SONT SI COMPLEXES? ET BIEN SOUVENT, ÇA RESSEMBLE À CELA Monde extérieur sous contrôle Monde extérieur hors contrôle POUR 40 APPLICATIONS = 1560 INTERFACES POTENTIELLES

ALORS QU UN SYSTÈME D INFORMATION URBANISÉ ET EN CONDITIONS D INTEROPÉRABILITÉ, C EST PLUTÔT ÇA : LES LOGICIELS DE SPECIALITES EAI LA COUCHE PATIENT (DPI) DECISIONNEL LA COUCHE GESTION (ERP) LA COUCHE SERVICES Messagerie Stockage Internet Sécurité Monde extérieur sous contrôle Partenaires Métiers de l Ecosystème Echanges de flux financiers Flux de données

UN ENVIRONNEMENT COMPLEXE!

PAYSAGE SSI / SANTÉ

PRINCIPAUX IMPACTS Réputation / image De l événement qui ne porte pas atteinte à l image de l établissement au rejet définitif des patients pour un établissement Social & organisation De la gène ponctuelle à l arrêt prolongé de toute activité de soins De la démotivation du personnel au conflit social Financier De la perte sans impact significatif à celle remettant en cause l équilibre financier de l établissement Responsabilité / juridique De l affaire classée sans suite à la condamnation pénale ou risques judiciaires Patient De l inconfort au décès

Sécurité des SI : Qualité et continuité des soins Disponibilité L information doit être disponible à tout moment aux personnes qui ont accès à cette information. Intégrité L information doit être précise, complète et ne doit ni être altérée, ni altérable. Les informations ne doivent pouvoir être modifiées que par les personnes autorisées. Confidentialité S assurer que l information est seulement accessible à ceux qui en ont l autorisation. Preuve et le Contrôle Assurer la non-répudiation c est-àdire l impossibilité de nier avoir reçu ou émis un message (preuve) et le contrôle du bon déroulement d une fonction c est-à-dire l auditabilité.

Sécurité des SI 80 % Organisation Méthodes Garantir l intégrité et la disponibilité des informations et des traitements Techniques Sécurité des Systèmes d Information Préserver la confidentialité des données 20 % Outils Prouver et contrôler que les traitements ont été réalisés dans le strict respect de la législation

Sécurité des SI de Santé A la croisée de plusieurs chemins La Santé Sécurité des SI de Santé Le SI de Santé Le Numérique La Sécurité Source : HAPSIS

EXIGENCES HOPITAL NUMERIQUE P r é r e q u is n é c e ssaires à toute d e m a n de d e subvention P r é r e q u is e n application d a n s tous l e s cas au 31 / 1 2 / 2 017

EXIGENCES HOPITAL NUMERIQUE

EXIGENCES HAS

NORMES ISO Ensemble de normes pour la conception et la mise en œuvre d un système de gestion de la sécurité de l information

QU EST-CE QU UN SMSI? La sécurité du système d information se gère globalement au niveau de l établissement par la mise en place d un système de management. La norme ISO/IEC 27001 décrit ce système de management applicable à tout organisme et présente les mesures organisationnelles à mettre en œuvre. Par exemple, la norme ISO 27799 aborde ce système de management par rapport aux spécificités de la santé. ISO/IEC 27001 précise que ce système de management doit s inspirer de, voire s inscrire dans, le système de mangement existant au sein de l organisme tel que celui de la qualité ISO/IEC 9001 ou de l environnement ISO/IEC 14001.

LA NORME ISO27001 POUR UN SYSTÈME DE GESTION DE LA SÉCURITÉ DE L INFORMATION ISO27001 ISO 27000 Overview et Vocabulary ISO 27002 Code of Practice ISO 27004 Measurements ISO2700x ISO 27001 ISMS Requirements ISO 27003 Implementation guide ISO 27005 Risk Management Exigences pour la sécurité de l information Act Maintenir et améliorer Plan Etablir Check Contrôler et réviser Do Implanter et exploiter Gestion de la sécurité de l inform ation ISO 27006 Accreditation bodies ISO 27007 Auditor guideline Processus de gestion et d amélioration continuer de la sécurité de l information Exigences d'un Système de Management de la Sécurité de l Information (SMSI) pour la définition et la mise en œuvre d un processus de gestion de la sécurité du SI Approche basée sur les risques Certification possible des SMSI par des organismes tiers Clause 4 - Système de Management de la Sécurité de l Information Clause 5 - Gestion des responsabilités Clause 6 - Audits internes du SMSI Clause 7 - Revues du SMSI Clause 8 - Amélioration du SMSI

MÉTHODES D ANALYSE DE RISQUE SSI Il existe un très grand nombre de méthodes d analyse de risque SSI dans le monde (CRAMM, Octave,Mehari, EBIOS ) Des normes comme ISO27005 ou ISO 31000 (management du risque) donnent un cadre 3 méthodes d analyse de risques utilisées en France dans le domaine de la santé EBIOS de l ANSSI MEHARI du CLUSIF ET Le QERSI-S du GCS TS Centre et de l APSSIS

PGSSI-S Objectifs : «Définir les niveaux d exigence, règles et moyens juridiques, organisationnels, techniques et humains nécessaires pour garantir la sécurité de l information dans les secteurs santé et médico-social» «Au bénéfice des patients, des professionnels et des établissements de santé» Principes fondateurs rédigés http://esante.gouv.fr/services/politique-generale-de-securite-dessystemes-d-information-de-sante-pgssi-s/en-savoir-plus-0 56

ALORS, EN CONCLUSION? De l information Tout le monde De la formation RSSI, référents De l usage conscient Tout le monde De la méthode Institutionnels et Agences Des pratiques à faire évoluer, donc de la conduite du changement Tout le monde Pas de peur, de la vigilance et de l usage de connaissances! 57

HOPITAL NUMERIQUE Les prérequis Présentation de documents types et échanges

PSSI de l Etat et PGSSI-S La PSSI E publiée le 17 juillet 2014 Présentation La PGSSI-S Présentation Des outils simples pour des réponses précises Présentation

EXIGENCES HOPITAL NUMERIQUE P r é r e q u is n é c e ssaires à toute d e m a n de d e subvention P r é r e q u is e n application d a n s tous l e s cas au 31 / 1 2 / 2 017

EXIGENCES HOPITAL NUMERIQUE