Stratégies opérationnelles SSI Gouvernance et traçabilité des postes CHU Nice

Gouvernance et Sécurité des Systèmes d information Marseille- 7 juin 2011 Stratégies opérationnelles SSI Gouvernance et traçabilité des postes CHU Nice

Gouvernance et traçabilité des postes? Gouverner c est : Savoir d où l on vient et où l on va Définir sa trajectoire de progrès Mesurer quotidiennement par indicateurs et tableaux de bord Traçabilité des postes de travail : Qui, que, quoi, quand, comment, où Inventaire + usages + disponibilité Temps réel, alertes, collecte d évidences et de preuves Objectifs : Gestion des actifs IT et de leurs usages Maîtrise des risques SSI, métiers, légaux

Prise de conscience et plan d action national Observatoire O6 de la DGOS Inventaire et classification FSSI Prise de mesure de l état de maîtrise des risques SSI des EDS Impacts pour les professionnels de santé (risques métiers) Impacts pour les Directions Générales (risques légaux) Segment SSI UniHA Gouvernance SSI du poste de travail Programme national expérimentation NEXThink (oct 2009) Audit de situation, prise d empreinte, tableaux de bord A ce jour, plus de 80 hôpitaux équipés, dont le CHU Nice CHRU, CHU, CH, HL, PSI, SSA Echantillon représentatif

La contribution de NEXThink Parce que le poste de travail est le point sensible NEXThink cartographie automatiquement en temps réel son comportement dans un environnement réseau

Et permet le pilotage par tableaux de bord de gouvernance, de maitrise des risques, de performance des SIS

Retour d expérience au CHU de Nice William Grollier

Chiffres du CHU de Nice Entre 70.000 et 100.000 Spams interceptés par jour 20 virus détectés par jour en moyenne (principalement via les clefs USB) De multiples tentatives quotidiennes d introduction dans le système d information au travers des accès publics De fréquentes tentatives d installations de logiciels hors stratégie Quelques tentatives de lancement de programmes prohibés (outils de cracks) Prêts de codes utilisateurs : Médecins Seniors Internes Médecins Secrétaires médicales

Contexte de Nexthink au CHU de Nice Utilisation des deux fonctionnalités distinctes: Pilotage basé sur des indicateurs et des tableaux de bords Interrogation et alerte concernant le fonctionnement de l ensemble du parc clients La solution mise en place intervient en complément des autres outils Solution de protection des postes (anti virus, contrôle d applications, Proxy Web, AntiSpam, etc ) Logiciel de suivi des configurations (Microsoft SMS par exemple) Outils d analyse réseau Objectif de renforcer la protection et d évoluer vers une défense en profondeur

Traçabilité des postes de travail : Outil de pilotage Les tableaux de bords et indicateurs permettent : Le suivi du parc informatique : Nombre, marque et modèle des postes déployés Capacités en terme de RAM, CPU et espace disque Versions D OS, patchs et des applications installés Identification des postes en limites de capacités (disque, ou RAM par exemple) pour intervention préventive Le suivi applicatif : Cartographie applicative : Nombre de postes, nom de l exécutable, ports utilisés Versions des applications métiers pour le suivi des déploiements Indicateur sur le nombre de postes installés vs le nombre de licences disponibles Corrélation avec leur localisation pour fixer un ordre de priorité dans les interventions (postes fortement utilisés ou mutualisés)

Traçabilité des postes de travail : Outil de pilotage Le suivi de la conformité à la politique de sécurité : Suivi de l activité de l antivirus officiel (alerte en cas de non activité) et recensement d autres versions ou éditeurs Suivi des binaires décelés comme «à risque»

Les compteurs globaux : Aperçu de l environnement

Pilotage : Application dossier du patient

Pilotage : Application dossier du patient

Suivi des exécutables à risque

Conformité Antivirale

Conformité à la politique de sécurité : Détection des nouveaux exécutables

Qualité de Service

Traçabilité des postes de travail : Défense en profondeur Recensement de tous les exécutables lancés sur les postes Binaires référencés «A risque» Exécutables lancés sur peu de postes Exécutables licites établissant des connexions suspectes (notepad sur port 80) Noms étranges ou aléatoires Version de binaires différente du standard

Traçabilité des postes de travail : Défense en profondeur Recensement des connexions et ports utilisés Liste des ports utilisés Inventaire des postes classés par nombre de connexions Alerte sur connexions inter-postes sur ports spécifiques (détection conficker par ex.) Connexions inter-postes générés par Java Recherche immédiate suite à une alerte Certa

Conformité à la politique de sécurité Recensement des logins utilisateurs Recherche de code utilisateurs connectés simultanément sur plusieurs postes Recherche des logins en administrateur local et des exécutables lancés

Cartographie des ports

Attaque Conficker

Alertes par Messagerie

Traçabilité des postes de travail : Assistance utilisateur Vision globale d un poste Pas d interrogation du poste : Les éléments s affichent même si le poste ne fonctionne plus Permet l analyse des évènements survenus avant le dysfonctionnement : Installation de nouveaux programmes, exécution de nouveaux binaires, etc Informations Hardware, performances et volumétrie sur une seule vue Possibilité de zoomer sur une période temporelle Interface paramétrable

Traçabilité des postes de travail : Assistance utilisateur Actions sur les postes Possibilité d exécution de commandes ou de programmes (paramétrable) directement depuis l application, avec transmission des paramètres du contexte sélectionnés Programmation des interventions : A partir des deux outils Définition des priorités d interventions (postes les plus actifs ou sensibles) Anticipation de problèmes : Configurations insuffisantes pour une mise à jour

Traçabilité des postes de travail : Bilan Outil intuitif et facilement paramétrable Fonctionnalités étendues, répondant à nos attentes Réelle valeur ajoutée par rapport à nos outils existants Partage de connaissance par la mise à disposition d une bibliothèque de requêtes Produit évolutif, apportant des fonctionnalités supplémentaires

Le CHU de Nice et les autres Résultats étude utilisateurs NEXThink

Méthodologie de l étude Echantillon à ce jour : Plus de 80 EDS en France (CHRU, CHU, CH, HL, PSI, SSA) Dans le cadre du Programme National d expérimentation NEXThink Résultats des prises de mesure irréfutable de l état de maîtrise des risques des EDS et des impacts directs et indirects 3 familles de mesures 3 niveaux d appréciation 3 exigences absolues Identification des des actions risques correctives urgentes pour retour à une situation contrôlée

Conséquences : Retour sur non investissement Virut, Downadup Mobilisation de 20 à 150 jours / hommes par établissement Malwares et autres petit indésirables Blacklist des réseaux de messagerie. Perte définitive des messages pendant deux jours, Mauvaise version de Viewer Dicom Fenêtre de contraste non optimale en mammographie Ancienne version du client de prescription Erreur potentiel sur unité de dosage mmol/kg ; mml/kg Défaut d optimisation des Vlans entre les blocs et le serveur Pacs Non affichage des images dans le bloc en cas de fort trafic

Conséquences Risques IT, Métier & Légaux

Eléments de réponse suite au constat 90% des incidents sont de sources internes 20% de mesures adéquates de base réglent 80% des problèmes La sécurité n est pas un problème de moyens mais de gouvernance, de compétences et d appropriation Source : FSSI

Gouvernance et SSI des postes de travail Donc, il est urgent de maîtriser son risque informatique pour réduire ses risques métiers et ainsi ses risques légaux.