Chefferie de Projets et Cybersécurité Technologies biomédicales et Cybersécurité - Conférence originale GCS Télésanté Haute-Normandie 19 janvier ...
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Chefferie de Projets et Cybersécurité
Technologies biomédicales et Cybersécurité
Conférence originale
GCS Télésanté Haute-Normandie
19 janvier 2017
Vincent TRELY
Expert en Cybersécurité et SIS
Président Fondateur de l’APSSIS – Association Pour la Sécurité des
Systèmes d’Information de Santé
Ancien Directeur des Systèmes d’Information, RSSI et Directeur des Pôles
Médico-Techniques (Biologie, Pharmacie, Imagerie) du Centre Hospitalier
du Mans (2007-2012)
Ancien DSI et Risk Manager du Groupe Industriel ARO - Langley Holdings
(2002-2007), RSSI de la Deutsche Bank France (2000-2002)
Maître de Conférences dans plusieurs Universités et Ecoles françaises et
internationales
Conseil auprès d’établissements de santé, GCS, ARS et Institutionnels
2
01net – les pirates à l’abordage des hôpitaux – pages 34 à 36 – N°852 – 2/15 novembre Que Choisir – Etablissement de santé : Cyberattaques, les virus se répandent – pages 55-56 – N°550 – septembre 2016 FranceInter.fr – BigData : C’est une révolution qui va bouleverser notre système de santé – 8 septembre 2016 Ça m’intéresse – Hackers : De Quoi sont-ils vraiment capable – pages 76-78 – N°427 – septembre 2016 Biologiste info – Sécurité des SIH : Une prise de conscience qui tarde – juin/juillet/août 2016 France Bleu Maine – Introduction à la Cybersécurité – 5 avril 2016 Techniques Hospitalière – Et nos données de santé dans tout ça ? – pages 43-46 – N°756 – mars-avril 2016 Mag Securs – « Sécurité des objets connectés vaste programme… » - pages 30-31 – N°49 – 1er trimestre 2016 Le Maine – 3 questions à Vincent Trély – 2015 Le Figaro.fr – Les données de santé attirent les hackers – 13 février 2015 DSIH – Sécurité des SI : retour du front – pages 34-36 – N°14 – janvier 2015 Notre Temps Santé – Pour ou contre l’automesure – pages 10-11 – N°3 – décembre/janvier/février 2014/2015 Revue Hospitalière de France – 4 questions à Vincent Trély – pages 38-40 – N°560 – septembre-octobre 2014 DSIH – Les 50 qui font avancer la e-santé – page 49 – N°9 – mai 2013 Francetvinfo.fr – Quand des dossiers médicaux se retrouvent sur le net – 15 avril 2013 Le Monde – Des dossiers de patients divulgués sur internet – page 11 – N°21202 - 20 mars 2013 Le Mans TV (LMTV) – La sécurité des systèmes de santé – 4 décembre 2012 Lettre ENOVACOM – Cas d’établissement/gestion des identités – page 4 – 1er semestre 2011 Hôpital Partenaire – S.I.H – pages 91-93 – N°20 – juin 2011 Ouest France – Santé : gare au piratage des données numérisées – 2011
Votre conférence
1. Pourquoi parler de cybersécurité à l’Hôpital ?
Cyber insécurité générale
Cyber insécurité des systèmes connectés et des SI de santé
2. Institutions, Lois et Réglementations
La Loi (Droit des Patients, Santé, Programmation Militaire, Renseignement) – la CNIL – les Normes
Stratégie : ANSSI – Ministère de la Santé – DGOS – ASIP Santé – ARS & GCS
Tactique : Gouvernance SSI - PSSI – Chartes – Acculturation aux bonnes pratiques
Terrain : VOUS
Contrôle : RSSI – Certifications HAS – Audits DGOS – CNIL – Certification des comptes – ISO 27XXX
3. Vous sur le terrain : vos pouvoirs, vos organisations, vos indicateurs, vos responsabilités
Statuts du Chef de Projet : Son rôle central – Un observateur privilégié – Un pouvoir délimité actif
Statuts des Experts biomédicaux : Leur rôle central – Des observateurs privilégiés – Un pouvoir délimité actif
Pertinence des rôles : Application intelligente des règles – Pédagogie – Lanceur d’alertes
Le rôle de l’analyse de risques
4. Questions – Réponses – Débat
5
1. Pourquoi parler de cybersécurité à l’Hôpital ?
Cyber insécurité générale
Cyber insécurité des systèmes connectés et des SI de santé
Des exemples – Des chiffres – Des commentaires
6
400 millions de dollars : C'est la perte financière estimée liée aux fuites de données, provenant de 700 millions de données
compromises.
99,9% des vulnérabilités des systèmes sont exploitées plus d'un an après avoir été identifiées. 7 millions de vulnérabilités ont
été exploitées en 2014, mais 10 vulnérabilités couvrent à elles seules 97% des attaques. Elles sont souvent très anciennes.
Il existe plus de 170 millions de malwares. Sur 20 000 organisations, 5 évènements liés à des malware ont lieu chaque
seconde.
30% des incidents sont attribuables à l'erreur humaine.
Il y a 9 modèles de risques identifiés, mais trois d'entre eux représentent 75% des attaques : les erreurs humaines, les menaces
internes, et les malwares.
http://www.usine-digitale.fr/article/la-complexification-des-cyberattaques-en-8-chiffres.N339067
7
Etat
Cyber espionnage Cyberguerre
Axe économique Axe politico militaire
Cybercriminalité
Cyberhacktivisme
Entreprise
8
Juin 2016 : Les données personnelles de 112.000 policiers ont fuité sur Internet
L’enquête vise un employé de la mutuelle. Ce dernier aurait agi par vengeance après
une affaire de primes non versées.
http://www.20minutes.fr/toulouse/1873723-20160627-donnees-personnelles-
112000-policiers-fuite-internet
Juin 2016 : Des milliers de caméras de surveillance piratées pour mener des attaques
informatiques
Certaines caméras de surveillance ne se contentent pas de filmer et de transférer leurs
images à leur propriétaire. Une entreprise américaine de sécurité informatique a
récemment découvert que 25 000 d’entre elles, disséminées partout dans le monde,
servaient aussi à mener des attaques informatiques.
http://mobile.lemonde.fr/pixels/article/2016/06/28/des-milliers-de-cameras-de-
surveillance-piratees-pour-mener-des-attaques-
informatiques_4959453_4408996.html
9
Juillet 2016 : La Chine probablement mêlée au piratage d'un régulateur bancaire américain
Des pirates informatiques probablement liés aux autorités chinoises ont pénétré au début de la
décennie dans les ordinateurs d'un régulateur bancaire américain, y compris celui de sa présidente,
selon une commission du Congrès américain.
http://www.zonebourse.com/actualite-bourse/La-Chine-probablement-melee-au-piratage-d-un-
regulateur-bancaire-americain--22692400/
Juillet 2016 : La Russie pourrait très bientôt publier les emails confidentiels d'Hillary Clinton
http://www.atlantico.fr/pepites/e-mails-hillary-clinton-seraient-aux-mains-vladimir-poutine-
2751845.html
10Après avoir cru être piraté par une organisation terroriste finalement, le service informatique de la
compagnie s’est rendu compte que quelqu’un avait piraté le mot de passe ‘123456’ qui verrouillait l’accès
au site de réservations et s’était amusé à changer librement les tarifs directement dans la base de données
(…)
Il a été découvert que c’est un gamin de 11 ans qui a été arrêté après l’identification de son adresse IP par
les enquêteurs spécialisés. Il comptait seulement acquérir deux billets pour lui et sa petite copine mais les
choses lui ont échappé et c’est tout le site de réservations qui a vu ses prix divisés par 100 ou 200 suivant
les circonstance.
https://www.radiocockpit.fr/2015/02/03/un-hacker-
pirate-le-site-web-dair-france-et-propose-des-tarifs-
sans-concurrence/#
11 Numéros de cartes bancaires : de 2 à 6 € ; 50 € avec le code.
Code d’accès à des applications sensibles : de 1 à 5 €.
Kit de racket informatique : 100 €.
Vente de virus : de 100 à 2 000 €.
Location d’un Botnet : 8 € pour une heure.
Attaque DDOS : de 500 à 1 500 €.
Outil d’envoi accompagné de :
◦ 5 millions d’adresses de messagerie : 140 €
◦ 20 millions d’adresses de messagerie : 350 €
Dossier complet d’une personne physique : 50 €
Logiciel d’espionnage sophistiqué : 50 000 € Un dossier médical serait revendu 50 dollars
Bases de données d’emails de tous types : de 100 à 1M$ (estimations actuelles entre 50 et 250$)
contre une trentaine de dollars pour des
codes de carte bancaire
1213
Les TIC offrent de vraies révolutions positives dans nos existences mais la vigilance et l’acculturation des usagers sont primordiales
Les Etablissements de Santé publics et privés, MCO, Médico-Sociaux, SSR, USLD, EHPAD, Maisons Médicales Cabinets Libéraux traitent de la donnée de
santé à caractère personnel en permanence, sur des environnements numériques partagés (PC, serveurs, tablettes, smartphones, matériel médical...)
Au sein de l’écosystème de Santé, la complexité est grande.
Parce que la santé n’est pas un processus industriel comme les autres…
Parce que les SI, construits couches par couches depuis les années 1990, sont fragiles et encore peu urbanisés.
Parce que les forces en présence sont multiples : Direction, Médecins, petites et grosses structures, enjeux divergents... Et qu’il
faut donc expliquer, négocier plutôt que d’imposer.
Parce que certaines pratiques médicales excluent de facto certaines pratiques usuelles propres à la sécurité des SI
Parce que les Professionnels de Santé sont encore peu acculturés aux concepts de la Sécurité
Parce que la France a été un peu naïve sur le dossier et que les Instances ont pris conscience assez récemment de l’impact des
technologies numériques
14
14Les Etablissements de Santé (CHU, CH, Privés) traitent « l’aigüe »
Le « chronique » se gère en « ambulatoire »
L’ambulatoire nécessite la mise en réseau d’un ensemble hétérogène de professionnels de Santé : Médecins,
Hôpitaux, Libéraux, Pharmaciens, Assistants Sociaux, Soins de suite et de réadaptation, Maisons médicales,
Médecins spécialistes, Psychologues, Dispositifs médicaux…
Le système est donc intrinsèquement communicant et cherche à l’être, quel que soit la qualification des
communications !
Le système n’est pas ignorant des technologies de l’information et de la communication et de leur constant
développement
Alors le système s’adapte et fait usage…
Le système est difficilement contraignable par l’essence même de sa mission
L’avenir parle d’un maximum d’ambulatoire (objectif fixé par la Ministre pour 2015 : 50%) et de HAD
(Hospitalisation à domicile), les Hôpitaux n’étant pas gréés pour accueillir la génération des baby boomers.
1516
17
18
Août 2014 : Les données personnelles de 4,5 millions de patients de Community Health Systems (CHS), un groupe hospitalier
privé américain gérant 206 établissements dans 29 états, ont été exposées lors d’une cyber-attaque menée au printemps par
des hackers présumés chinois.
Le groupe a indiqué que l’identité, la date de naissance, les coordonnées et les numéros de sécurité sociale de patients reçus
ces cinq dernières années par des médecins affiliés ont été volés. Les tarifs exorbitants d’hôpitaux et l’absence d’un système
de santé centralisé font des États-Unis une cible très lucrative pour les hackers.
D’après John Halamka, DSI de l’hôpital BIDMC de Boston, des personnes ne disposant pas d’une assurance santé pourraient
acheter ces données et usurper l’identité de leur titulaire dans l’espoir d’obtenir un traitement.
Le DSI estime qu’un dossier médical peut être vendu entre 50 et 250 dollars sur le marché noir.
http://www.actusoins.com/24195/usa-cyber-attaque-les-donnees-personnelles-patients.html
19Un infirmier pirate le système informatique du CHU de Nice – 2014
Une dizaine d’ordinateurs a été infiltrée cet été par un logiciel capable de collecter des données médicales. L’enquête de la PJ avec
l’équipe informatique a permis d’identifier… un infirmier. Il cherchait à obtenir des informations sur ses collègues
http://www.actusoins.com/26614/infirmier-pirate-systeme-informatique-du-chu-nice.html
Un pirate annonce à des internautes qu'ils sont atteints du cancer – 2014
Un pirate informatique a diffusé plus d'un millier de courriels à des internautes britanniques qui avaient passé des examens à
l’Institut National des Soins de Santé. Les adresses mails, trouvées très certainement via une faille sur le site en question, ont été
utilisées pour inquiéter les patients. La mauvaise blague a été dénoncée par des médecins généralistes contactés par leurs patients
inquiétés.
www.zataz.com
20Le 1er mai 2015, au Centre Marie Curie (Valence), les membres du service de
radiothérapie découvraient avec stupeur le piratage de deux disques réseaux contenant
les données des patients, qui, pendant 24 heures, n’ont pu subir leur séance de
radiothérapie.
http://www.pourquoidocteur.fr/Articles/Question-d-actu/12565-Cyberattaques-les-
etablissements-de-sante-tentent-de-se-proteger
21Des hackers russes dérobent 600 000 données personnelles de patients d’une Institution de santé américaine –
Juillet 2016
La société américaine spécialisée en sécurité, InfoArmor, vient de révéler un vol massif de données de patients
américains, dont ont été victimes les Institutions de santé américaines. Le vol perpétré par un groupe de hackers
russes concernerait près de 600 000 données personnelles de patients américains.
http://www.globalsecuritymag.fr/eaction-Balabit-des-hackers-russes,20160713,63718.html
22L’assureur américain Anthem, la mutuelle outre-Atlantique Premera Blue
Cross ou le laboratoire français LABIO…
Le laboratoire de biologie médicale LABIO est la cible d'un
groupe de pirates. Ce dernier revendique avoir dérobé pas
moins de 40 000 identifiants (nom, prénom, login et mot de
passe) ainsi que « des centaines » de bilans médicaux. Une
rançon de 20 000 euros est demandée. Les fuites
d'informations confidentielles ont déjà commencé…
http://www.nextinpact.com/news/93499-labio-fr-pirate-
demande-rancon-et-publication-resultats-medicaux.htm
23LES ETABLISSEMENTS DE SANTÉ ET LA SÉCURITÉ
Le matériel médical est trop sensible aux cyber-attaques selon la FDA
La FDA a publié un communiqué pour rappeler aux professionnels de la santé américains les dangers pouvant
provenir de piratages. L’organisme appelle ainsi à une vigilance extrême et une meilleure protection des
équipements médicaux. Tous les appareils, du Pacemaker au scanner Rayons X peuvent être piratés et peuvent ainsi
présenter un danger pour les patients.
http://www.presse-citron.net/le-materiel-medical-est-trop-sensible-aux-cyber-attaques-selon-la-fda/
24LES ETABLISSEMENTS DE SANTÉ ET LA SÉCURITÉ
Un hacker parvient à pirater un pacemaker
Expert en sécurité informatique chez IO Active, Barnaby Jack Barnaby s’est livré à une
démonstration plutôt inquiétante lors du congrès Breakpoint 2012, tendant à montrer qu’il est
possible de pirater un stimulateur cardiaque à distance.
Installé à une dizaine de mètres de l’appareil médical, et muni uniquement d’un ordinateur
portable, Barnaby Jack a réussi à lui envoyer plusieurs décharges de 830 volts, ce qui, s’il avait été
porté par un être humain aurait provoqué une crise cardiaque.
Lors de sa démonstration, l’expert a expliqué être parvenu à se procurer les données
confidentielles des porteurs de stimulateurs cardiaques distribués par une grande marque, dont il
n’a pas donné le nom. Grâce à ces données il a pu ensuite implanter un logiciel corrompu destiné à
perturber le fonctionnement normal de l’appareil médical.
Une démonstration destinée à prévenir les entreprises concernées de la nécessité de développer
leur cybersécurité face aux risques d’« assassinat anonyme ».
http://bigbrowser.blog.lemonde.fr/2012/10/24/coeur-a-prendre-un-hacker-parvient-a-pirater-
un-pacemaker/
25LES ETABLISSEMENTS DE SANTÉ ET LA SÉCURITÉ
Les hackers veulent faire des gains rapidement et les
internautes lambda sont ceux dont le système
informatique est le moins sécurisé. Le développement des
objets connectés les met aussi en danger. Ceux de la
maison permettent par exemple aux hackers de savoir si
vous êtes chez vous et si vous êtes seul ou non, en
fonction de la consommation de votre ballon d’eau
chaude ou d’électricité.
Les objets connectés dans le domaine de la santé
présentent également des risques. Dans un rapport,
Europol mentionnait que les objets connectés étaient un
nouveau terrain de jeu et prédisait un premier meurtre par
hacking.
Récemment, Dick Cheney lui-même, l’ancien vice-
président des Etats-Unis, a fait désactiver la fonction sans
fil de son pacemaker de peur d’être piraté.
http://www.20minutes.fr/monde/1498039-20141209-
cyberattaques-particuliers-cible-numero-2015
26LES ETABLISSEMENTS DE SANTÉ ET LA SÉCURITÉ
« L’agence y fait état de plusieurs attaques contre les pompes à morphine de modèle Symbiq infusion System. »
« La vulnérabilité de ce dispositif médical laisse craindre qu’un utilisateur non autorisé à contrôler l'appareil puisse modifier la
posologie de la pompe ce qui conduirait à un sur dosage ou un sous dosage d’analgésiques critique pour le patient. D’autres
modèles de pompes du même fabricant (modèles Plum A et Plum A+), destinés à délivrer différents médicaments par voie
intraveineuse et notamment commercialisés en France, avaient déjà fait l’objet de piratages au cours des derniers mois. »
« Selon Lynne Dunbrack, responsable de l’étude: « pour les organisations du monde de la santé […] la question n'est pas de savoir si
elles vont subir une cyberattaque, mais quand ».
Article paru en Août 2015 : http://www.francetvinfo.fr/sante/patient/droits-et-demarches/une-cyber-attaque-de-pompes-a-
morphine-redoutee-par-les-etats-unis_1045663.html
27LES ETABLISSEMENTS DE SANTÉ ET LA SÉCURITÉ
http://www.lesechos.fr/idees-debats/cercle/cercle-133356-experience-de-cyberattaque-reussie-sur-un-robot-
de-chirurgie-le-secteur-de-la-sante-est-il-suffisamment-protege-1122213.php
Dans le cadre de cette expérience, ils ont réussi à prendre le contrôle d'un robot d'intervention chirurgicale, à
intercepter les ordres du chirurgien pour modifier les gestes de l'appareil et altérer leur précision, mais aussi à
l'arrêter complètement.
Le gouvernement, au même titre que l'APSSIS, met en place des mesures et des initiatives pour garantir la
protection des patients et des professionnels, comme le projet "hôpital numérique" lancé en 2011 visant à
améliorer la qualité et la sécurité des systèmes d'information hospitaliers.
28LES ETABLISSEMENTS DE SANTÉ ET LA SÉCURITÉ
https://blog.kaspersky.fr/pirater-robot-medical/4510/
Les chercheurs ont affirmé au MIT Technology Review
que prendre le contrôle du dispositif de téléchirurgie fut
un jeu d’enfant dans la mesure où le Protocole de
Téléchirurgie Interopérable est totalement ouvert au
public et disponible.
29LES ETABLISSEMENTS DE SANTÉ ET LA SÉCURITÉ
Hackers : votre santé les intéresse
Si le numérique s’insère de plus en plus dans notre société, notamment par les objets connectés, ce n’est pas sans contreparties
extrêmement dangereuses en raison de ce qui se nomme l’interface. En pratique la possibilité de s’insérer dans des dispositifs
informatisés pour en prendre le contrôle. Un des exemples qui a été mis en évidence est celui des seringues auto-pulsées. Elles
injectent par exemple des médicaments en post-opératoire. Il est possible de hacker les appareils et d’en modifier le débit de
l’extérieur des locaux hospitaliers.
http://www.medias-presse.info/hackers-votre-sante-les-interesse/43768
Quand l’informatique met en danger la santé
Médias Presse Info a fait part à de nombreuses reprises du piratage informatique dans le monde
médical. Celui-ci entre autres, concernait les seringues auto-pulsées en usage notamment en post-
opératoire. Il est possible aux hackers, de l’extérieur, de faire varier le débit de ces pompes à perfusion,
voire de les neutraliser. Mais il en est de même pour les stimulateurs cardiaques (pacemakers),
stimulateurs implantés dans le cerveau, des stents (ressorts glissés dans les artères) ; bref tout ce qui
est « connecté » à internet.
Ceci se nomme l’interface : un dispositif informatisé peut toujours être piraté par un autre dispositif de
cette nature.
Plus grave est le piratage des données médicales, le but de crapules étant de rançonner les hôpitaux ou
des cliniques. De telles malveillances deviennent de plus en plus courantes car partout les données
médicales sont stockées sur le web.
http://www.medias-presse.info/quand-linformatique-met-en-danger-la-sante/49697
30LES ETABLISSEMENTS DE SANTÉ ET LA SÉCURITÉ
Un équipement médical plante durant une opération sur le cœur à cause d'un scan antivirus qui s'est lancé
en plein milieu de la procédure
Un patient qui subissait une opération de chirurgie cardiaque dans un hôpital aux États-Unis a été mis en
danger suite à une mauvaise configuration d’un logiciel antivirus qui a fait planter un équipement médical
crucial en plein milieu de l’opération
http://www.developpez.com/actu/98422/Un-equipement-medical-plante-durant-une-operation-sur-le-
coeur-a-cause-d-un-scan-antivirus-qui-s-est-lance-en-plein-milieu-de-la-procedure/
31LES ETABLISSEMENTS DE SANTÉ ET LA SÉCURITÉ
En 2015, plus de 1 300 cyberattaques contre des établissements de santé ont été signalées.
Plus de 1 300 attaques informatiques contre des établissements de santé français ont été
répertoriées au ministère des Affaires sociales en 2015, a indiqué Philippe Loudenot, FSSI lors du
congrès de l'APSSIS.
L'infection des systèmes par des rançongiciels augmente fortement et partout…
32La Loi (Droit des Patients, Santé, Programmation Militaire, Renseignement) – la CNIL – les Normes
Stratégie : ANSSI – Ministère de la Santé – DGOS – ASIP Santé – ARS & GCS
Tactique : Gouvernance SSI - PSSI – Chartes – Acculturation aux bonnes pratiques
Terrain : VOUS
Contrôle : RSSI – Certifications HAS – Audits DGOS – CNIL – Certification des comptes – ISO 27XXX
33 La disponibilité des SI
La disponibilité des SI est au centre des préoccupations sécuritaires ministérielles, pour garantir la
communication et le traitement des demandes des citoyens, des entreprises, des associations et des
autres administrations.
Les SI doivent remplir leurs fonctions dans des conditions prédéfinies d ’ horaires, de délais et de
performance.
L’intégrité des données et des traitements
Les SI doivent garantir que les informations opérationnelles sont inaltérables et certifier de leur
exhaustivité, de leur validité et de leur cohérence.
La confidentialité des informations manipulées par les SI des MCAS
Les SI doivent garantir la confidentialité des informations sensibles, voire critiques du point de vue
politique, économique, ou nominatif, en respectant notamment les obligations légales et règlementaires.
La traçabilité des événements sur le SI
Les SI doivent permettre la traçabilité des événements majeurs afin d’assurer notamment l’imputabilité
des actions, le contrôle des usages
3435
Réputation / image
◦ De l’événement qui ne porte pas atteinte à l’image de l’établissement au
rejet définitif des patients pour un établissement
Social & organisation
◦ De la gène ponctuelle à l’arrêt prolongé de toute activité de soins
◦ De la démotivation du personnel au conflit social
Financier
◦ De la perte sans impact significatif à celle remettant en cause l’équilibre
financier de l’établissement
Responsabilité / juridique
◦ De l’affaire classée sans suite à la condamnation pénale ou risques
judiciaires
Patient
◦ De l’inconfort au décès
36Protection des Contrôle financier
données à caractère personnel (Loi de sécurité financière)
(Loi n°78-17 du 6 janvier 1978 ou loi « Informatique et Libertés »)
Sécurité des communications et de l’Internet
(Code des postes et des communications électroniques, Loi pour la confiance
dans l'économie numérique, Loi Création et Internet)
Protection des données de santé à caractère personnel
Article L1111-8 du Code de la santé publique
Secret des correspondances, Lutte contre la fraude informatique
respect de la vie privée (art 323-1 à 323-7 du Code Pénal, Loi « Godfrain »)
(Article 9 du Code Civil)
Protection de la propriété intellectuelle Lutte contre la délinquance et le terrorisme
(Code de la Propriété Intellectuelle) Loi anti-terrorisme de 2006, Loi d'Orientation et de Programmation pour la
Sécurité Intérieure (LOPSI), Plan Piranet
Protection du secret professionnel,
dont le secret médical Protection de l'ordre public
(art 226-13/14/15 du Code Pénal, code du Travail) (article 227-24 du Code Pénal)
37Divulgation de données à caractère personnel – Sur des 5 ans de prison et 300 000 €
espaces publics ou suite à l’attribution de droits non (articles 226-21 et 323-2 du Code pénal / Loi
conformes Informatique et Libertés)
Accès illicite à des données, falsification de documents, 5 ans de prison et 300 000 €
modification de données (article 452-5 du Code pénal / Loi Godfrain)
Propagation d’un virus, blocage de comptes 5 ans de prison et 75 000 €
informatiques (article 323-2 du Code pénal / Loi Godfrain)
Divulgation du contenu d’une correspondance privée 1 an de prison et 45 000 €
(article 226-15 du Code pénal)
Téléchargement de fichiers protégés (musique, films), 3 ans de prison et 300 000 € (articles
122-4, 335-3 du Code de la propriété
copie illicite de logiciels Intellectuelle)
Ces sanctions peuvent venir compléter des sanctions disciplinaires internes
3839
L’informatique est de plus en plus utilisée en milieu hospitalier et est devenue
indispensable pour assurer les activités de l’hôpital.
La sécurité des systèmes d’information est un enjeu pour l’Institution, afin de :
Assurer la disponibilité des systèmes informatiques, pour une continuité de
fonctionnement de nos applications métiers
Assurer la fiabilité et la traçabilité des actions réalisées avec les applications
médicales
Éviter la fuite de nos informations sensibles en assurant leur confidentialité
En particulier les données de santé de nos patients, ainsi que les données de l’Institution
Les personnels techniques ont un rôle particulier à jouer en matière de
sécurité de l’information, par leurs missions et leurs responsabilités. Les
Chefs de Projets, souvent au centre, ont une position particulière favorable.
40 Atteinte à la
Mise en danger de confidentialité des
patients données
Atteinte à la santé des Évènements indésirables Non-respect du secret Non-respect du secret
patients médical professionnel
Coûts supplémentaires Dégradation du climat
Sanctions légales de fonctionnement, de Perte de confiance des social
(civiles et pénales) reconstruction en cas de patients et des
partenaires Fermeture
Infractions à la dégradation du matériel
administrative
réglementation du … Publications négatives
domaine de la Santé Perte financière / dans la presse Désorganisation
manque à gagner interne
Juridique et conformité
Économique Sur l’image Organisationnel
4142
www.ssi.gouv.fr
Les référencements et
labellisations
Les guides techniques
et méthodologiques
43 www.esante.gouv.fr
Rubrique PGSSI –
Documents validés
4445
46
Ensemble de normes pour la conception et la mise en œuvre d’un système de gestion de la sécurité de
l’information
47RH-CONF : personnel de confiance.
Toutes les personnes manipulant des informations sensibles doivent le faire avec une attention et une probité particulière, dans
le respect des textes en vigueur. Les sanctions éventuelles s’appliquant aux cas de négligence ou de malveillance leur sont
rappelées.
RH-UTIL : sensibilisation des utilisateurs des SI
Chaque utilisateur doit être régulièrement informé des exigences de sécurité le concernant, et motivé à leur respect. Il doit être
formé à l’utilisation des outils de travail conformément aux règles SSI.
INT-HOMOLOG-SSI : homologation de sécurité des SI
Tout Si doit faire l’objet d’une décision d’homologation de sa sécurité avant sa mise en exploitation dans les conditions d’emploi
définies. L’homologation est l’acte selon lequel l’Autorité atteste formellement auprès des utilisateurs que le SI est protégé
conformément aux objectifs de sécurité fixés. La décision d’homologation est prise par l’Autorité d’homologation (désignée par
l’Autorité qualifiée), le cas échéant après avis de la commission d’homologation. Cette décision s’appuie sur une analyse de
risques adaptée aux enjeux du système considéré et précise les conditions d’emploi.
INT-SSI : intégration de la sécurité dans les projets
La SSI doit être prise en compte dans toutes les phases des projets informatiques, sous le contrôle de l’autorité d’homologation,
de la conception et de la spécification du système jusqu’à son retrait du service.
INT-QUOT-SSI : mise en œuvre au quotidien de la SSI
La SSI se traite au quotidien par des pratiques d’hygiène informatique. Des procédures écrites définissent les actes élémentaires
du maintien en condition de sécurité lors des phases de conception, d’évolution ou de retrait d’un système. Tout système
d’information doit faire l’objet, outre le maintien en condition opérationnelle, d’un maintien en condition de sécurité.
48ORG-TIERS : gestion contractuelle des tiers
Le RSSI coordonne les actions permettant l’intégration des clauses liées à la SSI dans tout contrat ou convention impliquant
un accès par des tiers à des informations ou à des ressources informatiques.
INT-PRES-CS : clauses de sécurité
Toute prestation dans le domaine des SI est encadrée par des clauses de sécurité. Ces clauses spécifient les mesures SSI que
le prestataire doit respecter dans le cadre de ses activités.
INT-PRES-CNTRL : suivi et contrôle des prestations fournies
Le maintien d’un niveau de sécurité au cours du temps nécessité un double contrôle : l’un, effectué périodiquement par
l’équipe encadrant la prestation, qui porte sur les actions du sous-traitant et la conformité au CDC, l’autre, effectué par une
équipe externe, qui porte sur la pertinence du CDC en amont des projets, la conformité des réponses apportées par le sous-
traitant en phase de recette et le niveau de sécurité global obtenu en production.
EXP-NAVIG : configuration du navigateur Internet.
Le navigateur déployé par l’équipe locale chargée des SI sur l’ensemble des serveurs et des postes de travail
nécessitant un accès Internet ou Intranet doit être configuré de manière sécurisée (désactivation des services inutiles,
nettoyage du magasin de certificats, etc.).
EXP-CI-OS : systèmes d’exploitation.
Les systèmes d’exploitation déployés doivent faire l’objet d’un support valide de la part d’un éditeur ou d’un prestataire de
service. Seuls les services et applications nécessaires sont installés, de façon à réduire la surface d’attaque. Une attention
particulière doit être apportée aux comptes administrateurs.
49EXP-POL-COR : définir et mettre en œuvre une politique de suivi et d’application des correctifs de sécurité.
Le maintien dans le temps du niveau de sécurité d’un système d’information impose une gestion organisée et adaptée des mises
à jour de sécurité. Un processus de gestion des correctifs propre à chaque système ou applicatif doit être défini, et adapté suivant
les contraintes et le niveau d’exposition du système.
EXP-COR-SEC : déploiement des correctifs de sécurité.
Les correctifs de sécurité des ressources informatiques locales doivent être déployés par l’équipe locale chargée des SI en
s’appuyant sur les préconisations et outils proposés par les directions, bureaux ou services informatiques.
EXP-OBSOLET : assurer la migration des systèmes obsolètes.
L’ensemble des logiciels utilisés sur le système d’information doit être dans une version pour laquelle l’éditeur assure le support,
et tenu à jour. En cas de défaillance du support, il convient d’en étudier l’impact et de prendre les mesures adaptées.
EXP-ISOL : isoler les systèmes obsolètes restants.
Il est nécessaire d’isoler les systèmes obsolètes, gardés volontairement pour assurer un maintien en condition opérationnelle des
projets, et pour lesquels une migration n’est pas envisageable. Chaque fois que cela est possible, cette isolation doit être
effectuée au niveau du réseau (filtrage strict), des éléments d’authentification (qui ne doivent pas être communs avec le reste du
SI) et des applications (pas de ressources partagées avec le reste du SI).
50La PSSI La Charte de bon usage du SI
Pour répondre aux besoins de sécurité des métiers Pour créer un cadre d’usage adapté des technologies
Pour s’aligner aux enjeux stratégiques du SI numériques, intégrant bons usages, éthique et
déontologie
Une identification des risques en amont, avant de se
Pour répondre aux exigences de la Loi
lancer !
Une intégration de la sécurité dans les projets
impactant le SI, avec corrélation matricielle aux Des règles sur la sécurité des équipements
exigences des normes et certifications Des règles sur les habilitations, les droits d’accès,
Une responsabilisation des utilisateurs du SI et des les mots de passe ou les moyens d’authentification
tiers Des règles sur l’usage d’Internet, des systèmes de
Un objectif constant de continuité des activités messagerie électronique, sur les espaces
métiers (PRA, PCA Métiers) numériques à disposition
Un questionnement permanent sur le qui fera quoi Des processus de remontée d’incidents
dans le système en construction
Un champ d’application défini
Une gestion du risque proactive – Une culture
Une opposabilité juridique
Des sanctions graduelles en cas de non respect
5152
3. Vous sur le terrain : vos pouvoirs, vos
organisations, vos responsabilités
Statuts du Chef de Projet : Son rôle central – Un observateur privilégié – Un pouvoir délimité actif
Pertinence de son rôle : Application intelligente des règles – Pédagogie – Lanceur d’alertes
Analyser les risques en amont, pendant et en aval
Statuts des Ingénieurs, Techniciens et Experts des Technologies biomédicales : Rôles –
Responsabilités - Un pouvoir délimité actif
Pertinence des rôles : Application intelligente des règles – Pédagogie – Indicateurs et Reporting –
Lanceur d’alertes
53Par ses missions et responsabilités,
le personnel chargé de la mise en œuvre des systèmes d’information :
Jouent un rôle prépondérant dans le bon fonctionnement des
Risque de perturbation des activités
Systèmes d’Information et dans le maintien de leur sécurité à un médicales en cas d’incident
niveau optimal
Risque d’utilisation abusive (de manière
Disposent de droits étendus sur les Systèmes d’Information intentionnée ou non) de ces droits, ou
d’usurpation par un tiers !
Doivent protéger les données de l’établissement, des agents et Risque de fuite d’informations sensibles et de
des patients en terme de confidentialité et d’intégrité données personnelles
Ont la possibilité technique d’accéder à des données sensibles,
mais ne doivent y accéder que dans le cadre de leur activité Risque d’atteinte au secret professionnel 54
54
professionnelleVotre mission Votre obligation
Assurer la qualité de service, la sécurité et Respecter les règles de déontologie de
la bonne utilisation des ressources l’Institution dans le cadre de l’exercice de
informatiques vos fonctions
Pour rappel, vous êtes responsable de Par exemple : se tenir à son strict devoir de
l’usage que vous faites des ressources confidentialité, protéger la vie privée des
informatiques personnes et le secret des correspondances
Votre devoir
Dénoncer les crimes et délits (obligation
légale)
Par exemple : ouverture de correspondances privées,
intrusion sur le SI, usurpation d’identité, modification ou
falsification de traces, contrefaçon (copie de MP3 ou de
films)…
55 Suis-je légitime pour accéder aux informations que je suis sur le point de consulter ?
Ces informations sont-elles authentiques ?
Les informations que je gère actuellement sont-elles confidentielles pour moi, nos
patients ou pour l’Institution ? Par exemple, relèvent-elles du secret médical ?
Les actions que je suis sur le point d'exécuter sont-elles de nature à me nuire, à nuire
à nos patients ou à l’Institution ?
Est-ce que je prends les mesures appropriées pour protéger ces informations ?
Ai-je des incertitudes quant à la manière de gérer cette situation délicate ? Si oui, ai-je
sollicité le personnel approprié (mon supérieur hiérarchique, le RSSI…) pour m’aider ?
56Son positionnement privilégié
Un rôle central entre les MOA et les MOE
Un pied chez les métiers, un autre chez les
Directions fonctionnelles et techniques
Un observateur pertinent des comportements
Un pouvoir limité dans l’espace et dans le temps,
mais un pouvoir quand même !
Utiliser ce positionnement pour inculquer les bonnes
pratiques, détecter les mauvaises et faire progresser
l’ensemble du système.
57Son rôle opérationnel
Connaître et comprendre les règles SSI applicables au
systèmes d’information : PGSSI-S Asip Santé, PSSI MCAS
Négocier les règles trop contraignantes si nécessaire à
l’équilibre du projet
Assurer une médiation entre la MOA et les MOE
Solliciter des arbitrages si besoin
Contrôler les points sensibles et analyser les risques :
Les risques liés au projet ont-ils été évalués ? Comment et
par qui ? Quel est le résultat de cette évaluation ?
Le processus des habilitations et de la gestion des droits d’accès au
futur système est-il pensé, rédigé, accepté et opérationnel pour le
lancement ?
Les procédures de continuité d’activité des utilisateurs en cas de
panne prolongée ont-elles été pensées, rédigées, acceptées, testées ? L’Analyse des Risques : un
Les mesures de sécurité techniques usuelles sont-elles prises en processus indispensable, une
compte par la composante technique du projet (hardware, BDD, LAN, ressource pour le Chef de Projet
WAN...) ?
58Contribue à une meilleure maitrise des risques et une augmentation du niveau de sécurité
Améliorer le niveau global de Optimiser les coûts Répondre à des enjeux
Sécurité du SI normatifs et réglementaires
en adoptant un niveau de
en prenant en compte les sécurité en adéquation avec les
besoins de sécurité dès le début véritables enjeux et risques
du projet
Faire de la sécurité « avant » et non « après » … les problèmes !
59Un positionnement trop souvent ambigu =>
Repositionnement
Du matériel biomédical à la « solution biomédicale »
embarquant du hardware, du logiciel, du réseau et
nécessitant un ensemble hétérogène de compétences.
Un partenariat nécessaire avec la DSI et le RSSI.
Des relations à établir selon les principes du « chacun son
métier », avec une dynamique « client – fournisseur ».
Un partenariat nécessaire avec la Direction Technique /
Travaux.
Un rôle de conseil stratégique et technologique, avec des
synthèses de Direction et Médicales.
Utiliser ce positionnement pour inculquer les bonnes
pratiques, détecter les mauvaises et faire progresser
l’ensemble du système.
60Son rôle opérationnel
Connaître et comprendre les règles
Négocier les règles trop contraignantes à l’équilibre du projet
Assurer une médiation entre la MOA, les MOE et le ou les
Fournisseur(s)
Solliciter des arbitrages si besoin
Contrôler les points sensibles : la checklist
Les risques liés au système ont-ils été évalués ? Comment et par qui ?
Quel est le résultat de cette évaluation ?
Les procédures de continuité d’activité des utilisateurs en cas de
panne prolongée ont-elles été pensées, rédigées, acceptées, testées ?
Les mesures de sécurité techniques usuelles sont-elles prises en
compte par la composante technique du projet (hardware, BDD, LAN,
WAN...) ?
Les acteurs sont-ils dans la boucle (DSI, RSSI, Achats, Travaux) ?
Existe-t-il un point central ? Un Chef, de Projet ou Chef tout court ?
61Sa fonction de contrôle et de génération d’indicateurs
Disposer d’un groupe d’indicateurs de pilotage de la sécurité
des composants biomédicaux (matériel et logiciel)
Les utiliser pour soi (tableaux de bords) et pour
communiquer en ascendant ou en descendant.
Intégrer les indicateurs SSI fournis par le RSSI
Prendre l’habitude de les passer en revue, comme les autres
(qualité, planning, coûts...)
Alerter
Tenter de débloquer les résistances aux changements de
certains constructeurs
Assumer un rôle de lanceur d’alertes, avec pédagogie et
discernement
62Etapes Projet Actions SSI
Expression de besoin Identification des besoins de sécurité et des
événements redoutés
Appel d’offre Formalisation des besoins et des exigences de
sécurité Analyse de risques
si nécessaire
(RGS*, criticité,
Sélection de la solution Evaluation de la prise en compte des besoins de
etc.)
Contractualisation sécurité
Mise en œuvre Prise en compte des mesures de sécurité
Recette Vérification des mesures de sécurité
Validation / homologation RGS si nécessaire
Mise en production
Tests / contrôles réguliers
63- Identifier les « biens » : processus, applications, matériels, réseaux, personnes,
Identifier le périmètre et les besoins de organisation, locaux, etc.
sécurité - Evaluer les besoins en Disponibilité, Intégrité, Confidentialité, Traçabilité (en lien avec
les interlocuteurs métiers)
- Identifier les événements redoutés par le métier
Prendre en compte les événements - Evaluer les impacts en cas d’incident : Impact Patient, Organisationnel,
redoutés Juridique, Financier, Image
Pour chaque scénario de menaces prédéfini :
Etudier les scénarios de menaces - Identifier les mesures de sécurité et vulnérabilités existantes
- Ajuster le niveau d’impact et le niveau de vraisemblance
- Traiter les risques : Accepter, réduire, Transférer /
Etablir et mettre en œuvre le plan de Partager, ou refuser le risque
traitement des risques - Mettre en œuvre les mesures associées
- Evaluer l’impact et la vraisemblance des risques
Evaluer et accepter les risques après mise en œuvre du plan de traitement
- Accepter les risques qui subsistent, ou réitérer la
résiduels
démarche
64Les technologies numériques de santé explosent
200 000 applications Médecins / Professionnels de Santé et
Patients en ligne
20 milliards d’objets connectés en 2020 dont 40% liés à la
santé
Des matériels intelligents, bourrés de capteurs, nécessitant
une équipe de management pluridisciplinaire
Des liaisons constantes avec le constructeur, les éditeurs de
logiciels, les constructeurs des matériels supports, les
partenaires de l’écosystème de santé, le DPI, le DMP...
654. Questions – Réponses
Qu’évoque la sécurité des systèmes d’information pour vous ?
Pourquoi est-ce souvent vécu comme une série de contraintes ?
Existe-t-il vraiment des points de blocages techniques ou des prérequis SI
incompatibles ou insurmontables ? Quel est la qualité du lien avec la DSI ?
Les médias, les faits nous montrent dans nos vies personnelles et professionnelles
que le danger numérique est très présent. Alors pourquoi n’est-ce pas une évidence
dans un environnement hautement critique comme les SI de Santé ?
68Vous pouvez aussi lire
