Cybercriminalité et santé Actualité, réalités, SSI et PGSSI-S

Documents pareils
Informations et réflexions autour de la Sécurité des SI et des SIH en particulier

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012

Tout sur la cybersécurité, la cyberdéfense,

La sécurité informatique à l heure de la 3 ème plate-forme. Karim BAHLOUL Directeur Etudes et Conseil IDC France 20 mai 2014

Cybersecurite. Leader européen - management des vulnérabilités - monitoring sécurité - Expertise as a service depuis 2007

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

5 novembre Cloud, Big Data et sécurité Conseils et solutions

THEORIE ET CAS PRATIQUES

Club toulousain

SMSI et normes ISO 27001

ISO/CEI 27001:2005 ISMS -Information Security Management System

Catalogue des formations 2014 #CYBERSECURITY


Attaques ciblées : quelles évolutions dans la gestion de la crise?

Introduction sur les risques avec l'informatique «industrielle»

La sécurité informatique

Symantec CyberV Assessment Service

Cinq questions sur la vraie utilité de l'iso Alexandre Fernandez-Toro

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

Denis JACOPINI est l auteur de ce document. Il est joignable au et sur conferences@lenetexpert.fr

Division Espace et Programmes Interarméeses. État tat-major des armées

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

L analyse de risques avec MEHARI

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015

Des modules adaptés aux réalités des métiers de la sécurité de l information

L Audit selon la norme ISO27001

Prestations d audit et de conseil 2015

CYBERSÉCURITÉ INDUSTRIELLE CONSTATS & SOLUTIONS

Gestion du risque numérique

PRÉVENIR ET DIMINUER VOS RISQUES ANTICIPATE AND REDUCE YOUR RISKS

Les Infrastructures critiques face au risque cybernétique. Par M. Ahmed Ghazali Président de la Haute Autorité de la Communication Audiovisuelle

La sécurité IT - Une précaution vitale pour votre entreprise

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET

Brève étude de la norme ISO/IEC 27003

Menaces informatiques et Pratiques de sécurité en France Édition Paris, 25 juin 2014

La révolution de l information

Nouveau usages, nouvelle gestion des identités?

PASSEPORT DE CONSEILS AUX VOYAGEURS. Partir à l étranger avec son téléphone, sa tablette ou son ordinateur portable

Guide pratique spécifique pour la mise en place d un accès Wifi

1. Le m-paiement. 2. Le régime juridique du m- paiement. 3. Le m-paiement et les failles de sécurité

Trois Certificats d Etudes Spécialisées pour certifier vos compétences dans nos écoles d ingénieurs et accéder aux métiers de la cybersécurité :

L'infonuagique, les opportunités et les risques v.1

Archivage électronique - Règle technique d exigences et de mesures pour la certification des PSDC

Meilleures pratiques de l authentification:

Copyright Société PRONETIS Droits d'utilisation ou de reproduction réservés.

Technologies de l information Techniques de sécurité Systèmes de management de la sécurité de l information Vue d ensemble et vocabulaire

Big Data : se préparer au Big Bang

Congrès national des SDIS 2013

Mise en place d un SMSI selon la norme ISO Wadi Mseddi Tlemcen, le 05/06/2013

AUDIT CONSEIL CERT FORMATION

3 minutes. cybersécurité. avec Orange Consulting. pour tout savoir sur la. mobile, network & cloud. maîtrisez vos risques dans le cybermonde

Sécurité informatique: introduction

RAPPORT D INFORMATION

Intégrer l assurance dans la gestion des risques liés à la sécurité des données

Excellence. Technicité. Sagesse

politique de la France en matière de cybersécurité

When Recognition Matters

Panorama général des normes et outils d audit. François VERGEZ AFAI

Progressons vers l internet de demain

VISION : MULTILAYER COLLABORATIVE SECURITY *

2012 / Excellence. Technicité. Sagesse

Evaluation de l expérience tunisienne dans le domaine de l audit de la sécurité des systèmes d information

Consulter notre site : Network Telecom Security Solutions. en partenariat technique avec

sommaire dga maîtrise de l information LA CYBERDéFENSE

Mise en œuvre d un système de management de la sécurité de l information (SMSI) au sein de l Ambassade du Royaume du Maroc à Tunis

Formation en SSI Système de management de la SSI

RÉFÉRENTIEL GÉNÉRAL DE SÉCURITÉ

Catalogue de formation LEXSI 2013

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

VIEW FROM SWITZERLAND ON FIGHTING CYBER CRIME

La sécurité des PABX IP. Panorama des risques et introduction des mesures de protection

PROJET SINARI. Approche de la Sûreté de fonctionnement et de la cyber-sécurité. Sécurité des Infrastructures et Analyse des Risques

Les attaques APT Advanced Persistent Threats

Référentiel Général de Sécurité

Les Plans de Sécurité Informatique

La sécurité informatique

Une nouvelle approche globale de la sécurité des réseaux d entreprises

ISO 2700x : une famille de normes pour la gouvernance sécurité

CATALOGUE DE FORMATION

Gestion des cyber-risques

Qu est-ce qu un système d Information? 1

Jean-Nicolas Piotrowski, Dirigeant Fondateur d ITrust

Atelier C06. Cyber résilience : Protéger ses données et celles de ses clients

la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information

le paradoxe de l Opérateur mondial

LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL. CNRS RSSIC version du 11 mai 2012

SANS SEC 504 : Techniques de hacking, exploitation de failles et gestion des incidents

Vector Security Consulting S.A

ISO conformité, oui. Certification?

Transcription:

Cybercriminalité et santé Actualité, réalités, SSI et PGSSI-S LES RENCONTRES QUALITE EFFICIENCE ARS PAYS DE LOIRE UNE CONFÉRENCE DE L APSSIS VINCENT TRELY, PRÉSIDENT FONDATEUR 1

L ARS Pays de Loire invite l APSSIS Vincent TRELY Expert SI, SSI Président Fondateur de l APSSIS Informations et réflexions autour de la Sécurité des SI de santé

LA CYBERCRIMINALITÉ, UN FLÉAU DE SOCIÉTÉ! Enfants en danger, Entreprises ruinées Etats menacés, Citoyens espionnés, Internautes détroussés, PC hors service Les TIC offrent de vraies révolutions positives dans nos existences, mais la vigilance et l acculturation des usagers est primordiale Mais des moyens d agir pour se protéger Des technologies Des logiciels Des experts Un minimum de culture du risque est nécessaire à nos générations

LA CYBERCRIMINALITÉ, UN FLÉAU DE SOCIÉTÉ! INFORMATIONS GENERALES Un état des lieux inspiré des Conférences de Gérard PELIKS, EADS CASSIDIAN

LES ACTEURS DE L INSÉCURITÉ Etat Cyberespionnage Cyberguerre Axe économique Axe politico militaire Cybercriminalité Cyberhacktivisme Entreprise Guerre par l information Guerre pour l information Guerre contre l information

LA DISPONIBILITÉ DE L INFORMATION TIENT PARFOIS À UN FIL Vélizy, mai 2011

PRÉSIDENCE ESPAGNOLE DE L UNION EUROPÉENNE

PRÉSIDENCE ESPAGNOLE DE L UNION EUROPÉENNE

CYBERGUÉRILLA, CYBERCOMBAT DE RUE OU CYBERGUERRE? Estonie 2007 : perturbation massive d un pays Confiker 2008 : blocage des avions de la marine et des appareils médicaux Géorgie 2008 : guerre sur les réseaux et les dénis de services Iran 2010 : Le ver Stuxnet était dans la centrifugeuse, attaque sur les SCADA Bercy 2011 : les APT et le G20 Areva 2011 : Intrusions et vols Juillet 2009, création de l ANSSI Sony 2011 : 100 millions de comptes piratés DigiNotar 2011 : perte de confiance envers les certificats numériques

CYBERGUÉRILLA, CYBERCOMBAT DE RUE OU CYBERGUERRE? 2012 Anonymous 2012 : les «associations de malfaiteurs» Février 2012, Piranet Wiper avril 2012 : blocage des terminaux pétroliers de l IRAN Flame juin 2012 : La boîte à outils de l espionnage Elysée avril 2012 : Les informations sensibles piratées? Rapport Bockel Gauss août 2012 : Espionnage sur les transactions bancaires au Liban Cyber Europe Et les multiples révélations sur l espionnage mondial orchestrée par la NSA

STUXNET MÊME EN FRANCE

L INVASION DES MALWARES Rapport de PandaLabs début 2012 : 26 millions de nouvelles souches de malwares en circulation en 2011 Entre 63000 et 73000 nouvelles menaces lancées chaque jour Moyenne mondiale des ordinateurs infectés : 39% 50%+ d ordinateurs infectés en Chine, Taïwan et Thaïlande

TOUS SONT MENACÉS! En 2010, le nombre de mobiles connectés à Internet a dépassé celui des stations (PC, serveurs) connectés à Internet.

AUCUN FORMAT, AUCUN PÉRIPHÉRIQUE NE SONT À L ABRI! 100 000 attaques sur Androïddepuis début 2012 Trend Micro, octobre 2012 La sécurité dans la mobilité, aujourd hui, n existe pratiquement pas 14

Aucun format, aucun périphérique n est à l abri

QUE FONT LES LOGICIELS MALVEILLANTS AVEC VOTRE SMARTPHONE?

L invasion des malwares Rapport de PandaLabs 2011

Rien que ces derniers mois

Rien que ces derniers mois

Rien que ces derniers mois

Rien que ces derniers mois

Rien que ces derniers mois C est tous les jours, dans la presse, qu on nous relate le best of de la cybercriminalité

Et ces derniers jours :

SES OUTILS SONT COMMUNICANTS, DOIVENT L ÊTRE ET C EST IRRÉVERSIBLE! Plus de 30 000 applications médicales en ligne. Voir «Le Petit Traité du Bonheur 2.0» - ce qui nous attend, à très court terme

SES OUTILS SONT COMMUNICANTS, DOIVENT L ÊTRE ET C EST IRRÉVERSIBLE!

SES OUTILS SONT COMMUNICANTS, DOIVENT L ÊTRE ET C EST IRRÉVERSIBLE!

AFFAIRES RÉCENTES DEVANT PORTER À RÉFLEXION

LES ÉTABLISSEMENTS DE SANTÉ SONT PARTICULIÈREMENT SENSIBLES À CE TYPE D INFECTION

ATTAQUE SUR LES SCADA (*) LA SANTÉ : NOUVELLE CIBLE (*) Supervisory Control And Data Acquisition

Le système d information, c est l ensemble des moyens, des procédures et des processus qui génèrent, traitent, gèrent, consignent et protègent l information de l entreprise. Souvent associé à l informatique et aux systèmes informatiques (PC, serveurs, stockage, logiciels métiers ou logiciels généraux), le système d information, c est également le papier, l information blanche (publique), l information grise (privée, confidentielle, stratégique) et l information noire (à la limite de la légalité, très confidentielle ou très stratégique). L aspect clairement stratégique du système d information en fait un élément clé de l entreprise et un élément identifié comme cible pour le reste du monde (pirates, espions, mécontents ) Le système d information, c est aussi les nouveautés (BYOD, AVEC, CLOUD, BIG DATA ) et il faut «se les assimiler» Bonne nouvelle : c est encadré, comme la Qualité!

UN ENVIRONNEMENT COMPLEXE!

PAYSAGE SSI / SANTÉ

NORMES ISO Ensemble de normes pour la conception et la mise en œuvre d un système de gestion de la sécurité de l information

QU EST-CE QU UN SMSI? La sécurité du système d information se gère globalement au niveau de l établissement par la mise en place d un système de management. La norme ISO/IEC 27001 décrit ce système de management applicable à tout organisme et présente les mesures organisationnelles à mettre en œuvre. Par exemple, la norme ISO 27799 aborde ce système de management par rapport aux spécificités de la santé. ISO/IEC 27001 précise que ce système de management doit s inspirer de, voire s inscrire dans, le système de mangement existant au sein de l organisme tel que celui de la qualité ISO/IEC 9001 ou de l environnement ISO/IEC 14001.

LA NORME ISO27001 POUR UN SYSTÈME DE GESTION DE LA SÉCURITÉ DE L INFORMATION ISO27001 ISO 27000 Overview et Vocabulary ISO 27002 Code of Practice ISO2700x ISO 27001 ISMS Requirements ISO 27003 Implementation guide ISO 27004 ISO 27005 Measurements Risk Management Exigence s pour la sécurité de l informat ion Act Maintenir et améliorer Plan Etablir Check Contrôler et réviser Do Implanter et exploiter Gestion de la sécurité de l inform ation ISO 27006 Accreditation bodies ISO 27007 Auditor guideline Exigences d'un Système de Management de la Sécurité de l Information (SMSI) pour la définition et la mise en œuvre d un processus de gestion de la sécurité du SI Approche basée sur les risques Certification possible des SMSI par des organismes tiers Processus de gestion et d amélioration continuer de la sécurité de l information Clause 4 - Système de Management de la Sécurité de l Information Clause 5 - Gestion des responsabilités Clause 6 - Audits internes du SMSI Clause 7 - Revues du SMSI Clause 8 - Amélioration du SMSI

MÉTHODES D ANALYSE DE RISQUE SSI Il existe un très grand nombre de méthodes d analyse de risque SSI dans le monde (CRAMM, Octave, mesari, Mehari, EBIOS, ) Des normes comme ISO27005 ou ISO 31000 (management du risque) donnent un cadre Deux méthodes d analyse de risques les plus utilisées en France dans le domaine de la santé EBIOS de l ANSSI MEHARI du CLUSIF

PGSSI-S Objectifs : «Définir les niveaux d exigence, règles et moyens juridiques, organisationnels, techniques et humains nécessaires pour garantir la sécurité de l information dans les secteurs santé et médicosocial» «Au bénéfice des patients, des professionnels et des établissements de santé» Principes fondateurs rédigés 38

ALORS, EN CONCLUSION? De l information Tout le monde De la formation RSSI, référents De l usage conscient Tout le monde De la méthode Institutionnels et Agences Des pratiques à faire évoluer, donc de la conduite du changement Tout le monde Pas de peur, de la vigilance et de l usage de connaissances! MERCI BEAUCOUP DE VOTRE ATTENTION 39

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back