Cellule ACSS Dispositif de traitement des signalements des incidents de sécurité des SI de santé - Cyberveille Santé
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Cellule ACSS Dispositif de traitement des signalements des incidents de sécurité des SI de santé Emmanuel Sohier, Expert sécurité à l’ASIP Santé
Sommaire
Les activités de la cellule ACSS
Le traitement des signalements
Quelques chiffres sur la première année d’activité
Le portail cyberveille-santé
2
Les activités de la cellule ACSS
3
Cellule Accompagnement Cybersécurité des Structures de Santé
Une logique de sensibilisation et d’accompagnement
Contexte
L’interconnexion croissante des réseaux et les besoins de dématérialisation exposent les systèmes d’information à
une plus grande menace et à des incidents de sécurité. La mise en défaut de ces systèmes pourrait impacter
fortement l’activité de l’ensemble des acteurs du secteur et la prise en charge des patients.
Règlementation Gouvernance
• Article L. 1111-8-2 du code de la santé publique prévoit • La mise en place du dispositif de traitement des
l’obligation de signalement des incidents de sécurité. signalements des incidents de sécurité est
pilotée par le Haut Fonctionnaire de Défense et
• Le décret n° 2016-1214 du 12 septembre 2016 décrit les de Sécurité (HFDS/FSSI)
conditions selon lesquelles sont signalés les incidents • La mise en œuvre opérationnelle est déléguée à
graves de sécurité des systèmes d’information. l’ASIP Santé.
Création d’une Cellule ACSS
• L’arrêté d’application du 30 octobre 2017 relatif aux modalités Accompagnement Cybersécurité des
de signalement et de traitement des incidents Structures de Santé
La cellule Accompagnement Cybersécurité des Structures de Santé
Objectifs
• Renforcer le suivi des incidents de sécurité
La cellule Accompagnement Cybersécurité des
dans les structures de santé ciblées :
Structures de Santé (ACSS) mène trois activités
établissements de santé, hôpitaux militaires,
opérationnelles :
laboratoires de biologie médicale et les centres
de radiothérapie ;
Traitement des signalements d’incidents de sécurité
• Alerter et informer l’ensemble des acteurs numérique et accompagnement des structures
de la sphère santé dans le cas d’une menace
pouvant avoir un impact sur le secteur ;
Animation du portail Web « cyberveille-santé » dédié à
• Partager des bonnes pratiques sur les la sécurité numérique dans le secteur santé
actions de prévention ainsi que sur les
réponses à apporter suite aux incidents, afin de
Mise à disposition d’un espace sécurisé d’échanges
réduire les impacts et de mieux protéger les
pour les correspondants cyberveille-santé
systèmes.
5
Temps forts de la cellule ACSS
20 septembre 2017 : Ouverture 6 Juin 2018 : Journée
3-5 avril 2018: Présentation des
du portail cyberveille - Publication d’information et d’échanges avec
activités de la cellule ACSS au
des premiers bulletins cyberveille les Agences Régionales de Santé
congrès de l’APSSIS
et cyberveille santé (ARS)
7 août 2018 : Alertes sur l’usage
24 novembre 2017 : présentation
24 avril 2018 : Alerte du Remote Desktop Protocol
des premières tendances sur les
Drupalgeddon 2 (RDP) et la campagne massive
signalements au colloque SSI 2017
d’hameçonnage
2017 2018 2019
1 décembre 2017 : Publication de 29-31 mai 2018: Présentation des
1er octobre 2017 : Ouverture du
la première alerte concernant la activités de la cellule ACSS au
service de traitement des
diffusion d’un faux message sur le Salon HIT
signalements
RGPD
6
Le traitement des signalements
7
Je déclare mon incident de sécurité sur https://signalement.social-sante.gouv.fr
-1- -2- -3- -4-
Accéder au Portail des Choisir « l’incident de sécurité Remplir le formulaire de Validation et envoi du
signalements des Systèmes d’Information » déclaration signalement à l’ARS
et compétente et à l’ASIP
Cliquer sur « Professionnels de Santé
Santé »
8La cellule ACSS accompagne les structures …
Seuls le FSSI et des personnels habilités de l’ASIP
Santé ont accès aux informations relatives à
l’incident et à son traitement
Prise en compte -
Déclaration Accompagnement Fin de traitement
Qualification
Analyse de la criticité Recommandations
adaptées
En cas d’incident majeur Fiches réflexes
Portail des signalements Selon l’origine de
CORRUSS l’incident et ses impacts
9Etape de résolution de l’incident
Communication de mesures de sécurité d’urgence adaptées :
Mise à disposition de « fiches réflexes » thématiques sur le portail cyberveille-santé
o Phishing
o Cryptovirus / code malveillant
o Défiguration de sites web
Recommandations complémentaires sur mesure lors des échanges, par courriels ou
par téléphone
o Changement des mots de passe des utilisateurs des sites web compromis
o Mise en liste noire des adresses mail utilisées par un escroc
o Blocage du protocole de bureau à distance pour éviter une nouvelle intrusion d’un attaquantEtape d’amélioration de la résilience aux incidents
Conseils sur la mise en place de mesures conservatoires à l’issue
de l’incident :
Evaluation technique des plans d’action sécurité
o Priorisation des mesures proposées
o Proposition pour améliorer la sécurité du SI
• Ex : utilisation d’une application pour l’administration locale ou pour limiter l’exploitation de
vulnérabilités
Rappel des bonnes pratiques de développement et d’administration
o Guides de l’ANSSI sur la configuration d’un domaine Active Directory ou la conception
d’application webLa cellule ACSS accompagne les structures …
Seuls le FSSI et des personnels habilités de l’ASIP
Santé ont accès aux informations relatives à
l’incident et à son traitement
Prise en compte -
Déclaration Accompagnement Fin de traitement
Qualification
Analyse de la criticité Recommandations Clôture du suivi du
adaptées traitement du signalement
En cas d’incident majeur Fiches réflexes Retours d’expérience
Portail des signalements Selon l’origine de
CORRUSS l’incident et ses impacts
12Des bonnes pratiques qui sont encore à promouvoir
La sensibilisation régulière des utilisateurs aux messages malveillants
et aux tentatives d’hameçonnage
o Vérifier la provenance du mail et/ou la destination du lien malveillant
o Au moindre doute, ne pas cliquer sur le lien ni sur les pièces jointes
o Signaler le mail à son service informatique et le supprimer
L’administration du réseau et des serveurs
o Ne pas exposer de machines directement sur Internet
o Ne donner que les droits nécessaires à chaque utilisateur
o Mettre à jour les serveurs avec les derniers patchs de sécurité
o Segmenter le réseau en VLAN avec filtrage des flux
o Appliquer une politique de mot de passe respectant les règles de l’art
13Quelques chiffres sur la
première année d’activitée
14Quelques chiffres après une année d’activité
319 signalements déclarés sur la période 43% des incidents ont un impact sur des
octobre 2017 – septembre 2018 informations patient à caractère personnel
11% des incidents ont ou auraient pu entrainer
86% des signalements sont issus des une mise en danger des patients
établissements de santé
47% des incidents ont une origine
49% des incidents ont contraint les structures malveillante (virus ou attaque)
à mettre en place un fonctionnement dégradé
du système de prise en charge des patients 15% des incidents concernent des bugs
applicatifs
15Quelques chiffres après une année d’activité
Nombre d'incidents par type d'origine
Message électronique malveillant 50
Logiciel malveillant / virus 43
Bug applicatif 43
Perte du lien télécom 37
Compromission d'un système d'information 27
Dysfonctionnement de l’infrastructure 25
Panne électrique 22
Intervention accidentelle sur le SI 16
Autre 15
Vol d'équipement 12
Défiguration d'un site internet 10
Fuite d'information 9
Attaque en dénis de service 4
0 10 20 30 40 50 60
16Quelques chiffres après une année d’activité
Origine malveillante des incidents au cours de la
période
80
Vol d'équipement
70
Message électronique malveillant
60
47% des Logiciel malveillant / virus
incidents 50
malveillants Fuite d'information
répartis en 8 40
catégories : Défiguration de sites internet
30
20 Compromission de systèmes
d'information
10 Autre
0 Attaque en dénis de service
T4 2017 T1 2018 T2 2018 T3 2018
17Portail cyberveille-santé
18https://www.cyberveille-sante.gouv.fr - le portail Web de référence sur la
sécurité numérique dans le secteur santé
11 alertes
193 bulletins cyberveille-santé
560 bulletins cyberveille
9 fiches réflexes publiées
242 correspondants
cyberveille-santé
19Des supports documentaires pour les acteurs de la sécurité
Dans l’espace documentaire, la
cellule ACSS met à disposition des
structures de santé :
Des fiches réflexes pour la réponse à incidents
Des guides de bonnes pratiques
Une section juridique
Une section PGSSI-S et instructions ministérielles
20Connectez-vous pour échanger dans un espace sécurisé
En se connectant à l’espace authentifié, les correspondants de la
cellule ACSS peuvent :
Consulter des retours d’expérience concernant des actes de cybermalveillance
Donner et partager leur avis sur l’ensemble des informations publiées
Echanger sur des sujets de cybersécurité (retours d’expérience, évolution du cadre
réglementaire, etc…)
Consulter l’annuaire des correspondants
21Des alertes sur des menaces conjoncturelles
22Favoriser la coopération pour mieux informer l’ensemble des acteurs en cas
de menace sectorielle
Menaces
Accompagner les acteurs dans la mise en place de mesures de sécurité adaptées à la
menaceVous pouvez aussi lire
