La sécurisation des systèmes d'information en santé L homologation de sécurité RGS Direction des Systèmes d Information 09/04/2015
L AP-HP en quelques chiffres 38 hôpitaux 7 millions de patients 38 000 naissances Plus de 95 000 professionnels au service des patients En lien avec 7 facultés de médecine, l AP-HP forme un médecin sur cinq en France Un budget annuel de près de 7 milliards d euros 2
Le Référentiel Général de Sécurité (RGS) La règlementation La règlementation L ordonnance n 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives. Le décret n 2010-112 du 2 février 2010 et l arrêté du 6 mai 2010. Objectifs Améliorer l accès aux services publics par la création de conditions d échanges simplifiées et sécurisées par voie électronique. Trouver un équilibre entre la protection des administrés et la liberté de l administration pour agir. 3
Le Référentiel Général de Sécurité (RGS) La démarche Choix de la démarche selon les enjeux. Identifier les risques de sécurité de l information. Fixer les objectifs de sécurité proportionnée. Déduire les fonctions de sécurité. Homologuer la sécurité du système. Réexaminer régulièrement la sécurité et les risques. Support méthodologique : Guide de l homologation de sécurité en neuf étapes simples édité par l Agence Nationale de la Sécurité des Systèmes d Information (ANSSI) 4
Le Référentiel Général de Sécurité (RGS) Composition de la commission d homologation La Direction Générale La direction maîtrise d ouvrage du projet Le Directeur des Systèmes d Information Le responsable de la sécurité des systèmes d Information La maitrise d œuvre L exploitant Selon la nature du projet : La direction des affaires juridiques La direction médicale et/ou un représentant de la CME La direction des usagers et/ou un représentant des usagers Un expert extérieur 5
Gestion des risques La méthode EBIOS Evènements redoutés Contexte Scénarii de menaces Contexte Evènements redoutés Scénarii de menaces Pourquoi et comment va-ton gérer les risques? Quel est le sujet de l étude? Quels sont tous les évènements craints? Quels seraient les plus graves? Quels sont tous les scénarios possibles? Quels sont les plus s? Risques Risques Quelle est la cartographie des risques? Comment choisit-on de les traiter? Mesures de sécurité Mesures de sécurité Quelles mesures devrait-on appliquer? Les risques résiduels sont-ils acceptables? Vision MOA Vision MOE 6
Gestion des risques La Matrice d aversion aux risques FRÉQUENCE 1 / semaine Très fortement 1 / mois Fortement 1 / an Moyennement 1 / 10 ans Faiblement < 1 / 10 ans Très faiblement CRITICITÉ Vert Orange Rouge Rouge Rouge Vert Orange Rouge Rouge Rouge Vert Orange Orange Rouge Rouge Vert Vert Orange Orange Rouge Vert Vert Vert Orange Orange Établissement Activité Aucun impact sur l'activité Dégradation transitoire de l'activité Gravité des conséquences Dégradation permanente de l'activité Arrêt de l'activité, avec solution de remplacement Arrêt définitif de l'activité 7
Gestion des risques Critères d acceptation Niveau de risque Risque faible Risque moyen Risque fort Acceptation/Traitement du risque Acceptation par défaut Obligation de traitement du risque Obligation de traitement du risque Les options de traitement des risques Acceptation Refus Réduction Transfert Les risques résiduels Les risques résiduels "vert" sont acceptés par défaut. Après traitement des risques, l'acceptation des risques résiduels "orange" doit être formelle et prise par une personne dument habilitée. Après traitement des risques, aucun risque résiduel accepté ne peut être "rouge". 8
Identification des risques Schéma de principe Périmètre (exemple) Paiement Accuser de réception Paiement Bordereaux récapitulatifs journaliers TIPI Mise à jour dettes payées WEB Téléservice de paiement en ligne Téléservice d e-paiement Messagerie Pare-feu WEB Services Pare-feu SAP Dispatcher Messagerie électronique Quittance Pare-feu Passerelle de messagerie Pare-feu Serveur de messagerie Serveur d application Base de données Usager Périmètre de l analyse des risques de sécurité Centre informatique Réseau Infrastructures communes AP-HP EIFEL 9
Evaluation des risques avant l application des mesures de sécurité complémentaires (exemple fictif) FRÉQUENCE 1/ semaine Très fortement 1/ mois Fortement 1/ an Moyennement 1/ 10 ans Faiblement CRITICITÉ Vert Orange Rouge Rouge Rouge Vert Orange Rouge Rouge Rouge R01 (Net) R02 (Net) Vert Orange Orange Rouge Rouge Vert Vert Orange Orange Rouge < 1/ 10 ans Très faiblement Vert Vert Vert Orange Orange GRAVITÉ 1 2 3 4 5 R01 R02 Attaque rendant le téléservice de paiement en ligne indisponible. Attaque du module de paiement en ligne porte atteinte à l'intégrité du téléservice ouvrant la possibilité à des fraudes. 10
Les mesures de sécurité complémentaires les plus significatives (exemple) Mettre en œuvre des composants éprouvés et maitrisés par les équipes. Identification automatisée des vulnérabilités techniques. Correction des vulnérabilités techniques dans des délais compatibles avec les enjeux. Centraliser et exploiter les événements de sécurité avec un SIEM en lien avec les vulnérabilités. Réaliser un test d intrusion sur l environnement de production. 11
Le tableau de bord sécurité Vulnérabilités / Evénements de sécurité 12
Evaluation des risques après application des mesures de sécurité complémentaires (exemple fictif) FRÉQUENCE 1/ semaine Très fortement 1/ mois Fortement 1/ an Moyennement 1/ 10 ans Faiblement Vert Orange Rouge Rouge Rouge Vert Orange Rouge Rouge Rouge Vert Orange Orange Rouge Rouge R01 (après traitement) R01 (Net) R02 (après traitement) CRITICITÉ R02 (Net) Vert Vert Orange Orange Rouge < 1/ 10 ans Très faiblement Vert Vert Vert Orange Orange GRAVITÉ 1 2 3 4 5 R01 R02 Attaque rendant le téléservice de paiement en ligne indisponible. Attaque du module de paiement en ligne porte atteinte à l'intégrité du téléservice ouvrant la possibilité à des fraudes. 13
Le Référentiel Général de Sécurité (RGS) Une opportunité Impliquer des acteurs non experts de la sécurité des SI Objectiver les risques de sécurité Identifier les mesures de sécurité les plus performantes Mesurer régulièrement son niveau de sécurité Valoriser les travaux pour les autres projets de SI 14