La sécurisation des systèmes d'information en santé



Documents pareils
RÉFÉRENTIEL GÉNÉRAL DE SÉCURITÉ

Référentiel Général de Sécurité

PRESTATAIRES D AUDIT DE LA SECURITE DES SYSTEMES D INFORMATION

HOPITECH BORDEAUX. L'informatisation de la fonction restauration pour une meilleure gestion

Menaces informatiques et Pratiques de sécurité en France Édition Paris, 25 juin 2014

Montrer que la gestion des risques en sécurité de l information est liée au métier

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

État Réalisé En cours Planifié

VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

27 mars Sécurité ECNi. Présentation de la démarche sécurité

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN build 8069

Premier ministre. Agence nationale de la sécurité des systèmes d information. Prestataires d audit de la sécurité des systèmes d information

Vers un nouveau modèle de sécurité

PASSI Un label d exigence et de confiance?

L hygiène informatique en entreprise Quelques recommandations simples

C ) Détail volets A, B, C, D et E. Hypothèses (facteurs externes au projet) Sources de vérification. Actions Objectifs Méthode, résultats

Copyright Société PRONETIS Droits d'utilisation ou de reproduction réservés.

L analyse de risques avec MEHARI

POLITIQUE DE SÉCURITÉ DES SYSTÈMES D INFORMATION DE L ÉTAT. Version 1.0

Référentiel de compétences

Le Dossier Médical Personnel et la sécurité

Risk Assurance & Advisory Services Pour un management des risques performant et «résilient»

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015

La fonction Conformité dans l assurance

La sécurité des systèmes d information

Référentiel de qualification de prestataires de services sécurisés d informatique en nuage (cloud computing) - référentiel d'exigences

Guide Pratique Règles pour les dispositifs connectés d un Système d Information de Santé

Synthèse. Quelle performance opérationnelle pour la sécurité de l information?

5 novembre Cloud, Big Data et sécurité Conseils et solutions

Point d actualité DMP et Messageries Sécurisées de Santé

Excellence. Technicité. Sagesse

Les nouveaux guides de la CNIL. Comment gérer des risques dont l impact ne porte pas sur l organisme

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

La sécurité informatique

Sécurité informatique: introduction

Atelier A7. Audit de la gestion globale des risques : efficacité ou conformité?

La solution IdéoSanté une suite Web 2.0

Livre blanc. La sécurité de nouvelle génération pour les datacenters virtualisés

Panorama général des normes et outils d audit. François VERGEZ AFAI

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

Sujet 2 : Interconnexion de réseaux IP (routeurs CISCO). Sujet 3 : Implémentation d un serveur VPN avec OpenVPN.

Les cyber risques sont-ils assurables?

Orange Business Services. Direction de la sécurité. De l utilisation de la supervision de sécurité en Cyber-Defense? JSSI 2011 Stéphane Sciacco

Retour d expérience PCI DSS OSSIR. Gérard Boudin. 8 avril 2014

Mise en place de la composante technique d un SMSI Le Package RSSI Tools BOX

INF 1160 Les réseaux d entreprise

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

DESCRIPTION FONCTIONNELLE ET TECHNIQUE DE LA CHAÎNE HOMOLOGUEE CHAINE DE COLLECTE CC_EEAXXES_RAO3

Présentation de la démarche : ITrust et IKare by ITrust

L Agence nationale de la sécurité des systèmes d information

L impact du programme de relance sur le projet régional 19/05/2009 COPIL AMOA 1

La sécurité de l'information

Classification : Non sensible public 2 / 22

s é c u r i t é Conférence animée par Christophe Blanchot

PRÉVENIR ET DIMINUER VOS RISQUES ANTICIPATE AND REDUCE YOUR RISKS

2012 / Excellence. Technicité. Sagesse

dans un contexte d infogérance J-François MAHE Gie GIPS

Gestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques?

SCOLARITE Services. Guide pour les Parents et les Elèves. Version Dernière Mise à jour 26 Juin Scolarité services guide de l utilisateur

FAIRE FACE A UN SINISTRE INFORMATIQUE

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012

Guide d utilisation. Version document 0.8. Trouver toute la documentation sur :

Gestion des mises à jour logicielles

THEORIE ET CAS PRATIQUES

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

Fiche Technique. Cisco Security Agent

Schéma directeur du système d information. Réunion de lancement : 18 octobre 2013

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?

RÉSOLUTION EUROPÉENNE

Qu est-ce qu un système d Information? 1

Politique de sécurité de l actif informationnel

Créer un tableau de bord SSI

Prestations d audit et de conseil 2015

Solutions McAfee pour la sécurité des serveurs

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

ASCOM IP-DECT CONVERGENCE DES SOLUTIONS VOIP ASCOM

Etude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799

Référentiels d Interopérabilité

Guide de bonnes pratiques de sécurisation du système d information des cliniques

Cinq questions sur la vraie utilité de l'iso Alexandre Fernandez-Toro

Fiche technique: Sécurité des terminaux Symantec Endpoint Protection La nouvelle technologie antivirus de Symantec

Mini-Rapport d Audit basé sur la méthode d analyse MEHARI

CNAM-TS. Constitution et mise en place d une équipe sécurité

data center services Optimiser le data center Conformité Sécurité Efficacité Your business technologists. Powering progress

3 minutes. cybersécurité. avec Orange Consulting. pour tout savoir sur la. mobile, network & cloud. maîtrisez vos risques dans le cybermonde

TRIBUNE BRAINWAVE GOUVERNANCE ET SéCURITé. Shadow IT, la menace fantôme. Une tendance irréversible mais pas dénuée de risques.

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes

DMP Compatibilité : une offre logicielle qui couvre la majorité des médecins de ville

Bibliographie. Gestion des risques

Comment optimiser les tests avec une démarche d automatisation simplifiée

SÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE

La signature électronique au service de l'émission de factures dématérialisées. Un cas B-to-C

Transcription:

La sécurisation des systèmes d'information en santé L homologation de sécurité RGS Direction des Systèmes d Information 09/04/2015

L AP-HP en quelques chiffres 38 hôpitaux 7 millions de patients 38 000 naissances Plus de 95 000 professionnels au service des patients En lien avec 7 facultés de médecine, l AP-HP forme un médecin sur cinq en France Un budget annuel de près de 7 milliards d euros 2

Le Référentiel Général de Sécurité (RGS) La règlementation La règlementation L ordonnance n 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives. Le décret n 2010-112 du 2 février 2010 et l arrêté du 6 mai 2010. Objectifs Améliorer l accès aux services publics par la création de conditions d échanges simplifiées et sécurisées par voie électronique. Trouver un équilibre entre la protection des administrés et la liberté de l administration pour agir. 3

Le Référentiel Général de Sécurité (RGS) La démarche Choix de la démarche selon les enjeux. Identifier les risques de sécurité de l information. Fixer les objectifs de sécurité proportionnée. Déduire les fonctions de sécurité. Homologuer la sécurité du système. Réexaminer régulièrement la sécurité et les risques. Support méthodologique : Guide de l homologation de sécurité en neuf étapes simples édité par l Agence Nationale de la Sécurité des Systèmes d Information (ANSSI) 4

Le Référentiel Général de Sécurité (RGS) Composition de la commission d homologation La Direction Générale La direction maîtrise d ouvrage du projet Le Directeur des Systèmes d Information Le responsable de la sécurité des systèmes d Information La maitrise d œuvre L exploitant Selon la nature du projet : La direction des affaires juridiques La direction médicale et/ou un représentant de la CME La direction des usagers et/ou un représentant des usagers Un expert extérieur 5

Gestion des risques La méthode EBIOS Evènements redoutés Contexte Scénarii de menaces Contexte Evènements redoutés Scénarii de menaces Pourquoi et comment va-ton gérer les risques? Quel est le sujet de l étude? Quels sont tous les évènements craints? Quels seraient les plus graves? Quels sont tous les scénarios possibles? Quels sont les plus s? Risques Risques Quelle est la cartographie des risques? Comment choisit-on de les traiter? Mesures de sécurité Mesures de sécurité Quelles mesures devrait-on appliquer? Les risques résiduels sont-ils acceptables? Vision MOA Vision MOE 6

Gestion des risques La Matrice d aversion aux risques FRÉQUENCE 1 / semaine Très fortement 1 / mois Fortement 1 / an Moyennement 1 / 10 ans Faiblement < 1 / 10 ans Très faiblement CRITICITÉ Vert Orange Rouge Rouge Rouge Vert Orange Rouge Rouge Rouge Vert Orange Orange Rouge Rouge Vert Vert Orange Orange Rouge Vert Vert Vert Orange Orange Établissement Activité Aucun impact sur l'activité Dégradation transitoire de l'activité Gravité des conséquences Dégradation permanente de l'activité Arrêt de l'activité, avec solution de remplacement Arrêt définitif de l'activité 7

Gestion des risques Critères d acceptation Niveau de risque Risque faible Risque moyen Risque fort Acceptation/Traitement du risque Acceptation par défaut Obligation de traitement du risque Obligation de traitement du risque Les options de traitement des risques Acceptation Refus Réduction Transfert Les risques résiduels Les risques résiduels "vert" sont acceptés par défaut. Après traitement des risques, l'acceptation des risques résiduels "orange" doit être formelle et prise par une personne dument habilitée. Après traitement des risques, aucun risque résiduel accepté ne peut être "rouge". 8

Identification des risques Schéma de principe Périmètre (exemple) Paiement Accuser de réception Paiement Bordereaux récapitulatifs journaliers TIPI Mise à jour dettes payées WEB Téléservice de paiement en ligne Téléservice d e-paiement Messagerie Pare-feu WEB Services Pare-feu SAP Dispatcher Messagerie électronique Quittance Pare-feu Passerelle de messagerie Pare-feu Serveur de messagerie Serveur d application Base de données Usager Périmètre de l analyse des risques de sécurité Centre informatique Réseau Infrastructures communes AP-HP EIFEL 9

Evaluation des risques avant l application des mesures de sécurité complémentaires (exemple fictif) FRÉQUENCE 1/ semaine Très fortement 1/ mois Fortement 1/ an Moyennement 1/ 10 ans Faiblement CRITICITÉ Vert Orange Rouge Rouge Rouge Vert Orange Rouge Rouge Rouge R01 (Net) R02 (Net) Vert Orange Orange Rouge Rouge Vert Vert Orange Orange Rouge < 1/ 10 ans Très faiblement Vert Vert Vert Orange Orange GRAVITÉ 1 2 3 4 5 R01 R02 Attaque rendant le téléservice de paiement en ligne indisponible. Attaque du module de paiement en ligne porte atteinte à l'intégrité du téléservice ouvrant la possibilité à des fraudes. 10

Les mesures de sécurité complémentaires les plus significatives (exemple) Mettre en œuvre des composants éprouvés et maitrisés par les équipes. Identification automatisée des vulnérabilités techniques. Correction des vulnérabilités techniques dans des délais compatibles avec les enjeux. Centraliser et exploiter les événements de sécurité avec un SIEM en lien avec les vulnérabilités. Réaliser un test d intrusion sur l environnement de production. 11

Le tableau de bord sécurité Vulnérabilités / Evénements de sécurité 12

Evaluation des risques après application des mesures de sécurité complémentaires (exemple fictif) FRÉQUENCE 1/ semaine Très fortement 1/ mois Fortement 1/ an Moyennement 1/ 10 ans Faiblement Vert Orange Rouge Rouge Rouge Vert Orange Rouge Rouge Rouge Vert Orange Orange Rouge Rouge R01 (après traitement) R01 (Net) R02 (après traitement) CRITICITÉ R02 (Net) Vert Vert Orange Orange Rouge < 1/ 10 ans Très faiblement Vert Vert Vert Orange Orange GRAVITÉ 1 2 3 4 5 R01 R02 Attaque rendant le téléservice de paiement en ligne indisponible. Attaque du module de paiement en ligne porte atteinte à l'intégrité du téléservice ouvrant la possibilité à des fraudes. 13

Le Référentiel Général de Sécurité (RGS) Une opportunité Impliquer des acteurs non experts de la sécurité des SI Objectiver les risques de sécurité Identifier les mesures de sécurité les plus performantes Mesurer régulièrement son niveau de sécurité Valoriser les travaux pour les autres projets de SI 14

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back