P. Tourron – Tous droits réservés 1
Philippe TOURRON
RSSI-APHM
3ème COLLOQUE SSI - 29 novembre 2017
Application de l’instruction DSSIS 309
Pour gérer les risques numériques (en santé)
Plan d’action SSI : mise en œuvre à l’AP-HM
P. Tourron – Tous droits réservés
PLAN
Contexte
Pourquoi protéger les données de
santé ?
Comment protéger les données de
santé ?
Enjeux à venir
Débat
questionsApplication de
l’instruction DSSIS 309Gérer les risques
numériques (en santé)
P. Tourron – Tous droits réservés
CONTEXTENous sommes tous S.I. dépendants
P. Tourron – Tous droits réservés
Contexte : Sécurité numérique
Enjeux majeurs : protéger les patients
• Leurs soins, leur « santé »
• Leurs données
• Freins à la sécurisation : 30% budget, 30% absence de prise de conscience des risques, 40% (divers : applications, hétérogénéité, …)
Le périmètre ?• Les logiciels (du DPI au portail
patient)• Les infrastructures (des postes
aux serveurs en passant par le pilotage de l’électricité), cloud …
• Les moyens médicaux techniques (de l’ECG à la l’IOT de santé)
-> dans l’établissement/l’entreprise-> Et au-delà
Définitions : aspect
P. Tourron – Tous droits réservés
POURQUOI PROTEGER LES DONNEES DE SANTE ?
P. Tourron – Tous droits réservés
Pourquoi protéger : Sécurité numérique de la santé
Un système d’information conditionnant la qualité de soin
Un système d’information pour l’ouverture et la mobilité : L’attractivité pour les patients,
les professionnels de santé, le lien ville-hôpital, l’intégration du numérique au quotidien
Le mariage difficile de la disponibilité et de la confidentialité
devient ainsi un enjeu stratégique. Un contexte de cybermenaces en hausse (rançon, revente, …)
Etre attaqué c’est comme tomber malade :
il faut pouvoir se soigner vite et bien
• Minimiser les causes et les impacts des risques SI : manager le sécurité
P. Tourron – Tous droits réservés
La logique de Système de Management
SECURISER
C’est
MANAGER
donc
GOUVERNER
Et au final
DECIDER LA PRISE DE RISQUE au bon niveau de responsabilité
Manager : revue régulière SSI et SDSI, sanctuariser des budgets
Les propriétaires de risques sont ceux qui peuvent les traiter
(prendre, éviter, réduire, transférer) cf ISO 27001:2013
7
P. Tourron – Tous droits réservés
COMMENTPROTEGER LES DONNEES DE SANTE ?
P. Tourron – Tous droits réservés
PLAN INSTRUCTION DSSIS 309 déclinaison APHM : en synthèse
Toutes les mesures organisationnelles : intégrées dans nos démarches et certifications ISO 27001, 9001 (ITIL) et agréments HDS : analyse de risques, prise en compte par la direction car intégrée au SDSI, RSSI et CSSI, CIL/DPD, PCA, gestion de crise (intègrant le signalement)
Passer en mode HDS pour les nouvelles applications même internes
Démarche d’homologation RGS organisée (commission, analyse, audit, décision)
Sensibiliser les utilisateurs : e-learning (conduite du projet national via CAIH : 50 activités ciblées santé), sensibilisation sécurité aux nouveaux arrivants, formation SSI pour le Biomed, gestions des risques SI au plan de formation
Charte au RI (instruction= accélérateur)
Inventaire (outils indispensables) intégrant le biomed et gestion des incidents et des changements associés (ITIL)
Augmenter le niveau et la finesse de filtrage avec les réseaux externes (ou interconnectés) et le partage de l’identification/filtrage des menaces (wildfire paloalto, anti DDOS via service chez les FAI)
Protection des accès externes : mainteneurs (bastion d’administration WAB) et utilisateurs (portail d’authentification forte CPS et OTP : WAM)
Segmentation réseaux : commencer par les zones sensibles (HDS, GTC, plateaux techniques biomed, composants non maintenus ou administrés par des tiers, …), ajuter des composants de filtrage (boîtiers stormshield)
Éliminer les systèmes obsolètes (ou les protéger en périphérie : boîtiers stormshield, logiciels malwarebyte, trend, paloalto, …)
P. Tourron – Tous droits réservés
La pédagogie SSI : Sensibiliser tous les acteurs
P. Tourron – Tous droits réservés
Sensibiliser à la SSI
P. Tourron – Tous droits réservés
La gestion des risques : 2 roues motrices
12
FIM
FASSI
(FIL Fiche d’Incident Majeurintégrant la recherche des causes)
(FAASI : Fiche d’Analyse de la Sécurité du SI
intégrant le besoin de PIA/RGPD)
ACHAT
P. Tourron – Tous droits réservés
Comment protéger : Sécurité numérique en synthèse
Et si finalement tout convergeait vers …? une vision de la cible à atteindre, un cadre prêt
et « relativement constant », une légitimité : la gestion par les risques
Un système de management de la sécurité du SI : conformité/certification ISO27001
Menaces agiles :
apprendre à gérer des crises
ISO 27001 - RGPD ITIL, HDS, paliers PGSSI …)
Sensibilisation – e-learning, méthode -Ebios
P. Tourron – Tous droits réservés
Comment protéger : AGIR
Les Freins : • Changer• Coûts• prioriser
Les leviers : • La règlementation/lois : HDS évolution vers une certification
• Les incidents (l’actualité) et La prise de conscience de la criticité du SI de santé sous tous ses angles (DIC … A)
• Les soutiens des structures nationales (HFDS/FSSI, ASIP, ANSSI, …) et des autres• La prise de conscience de la criticité/valeur du SI et de la donnée personnelle• Des label, normes
Les basics : • Sauvegarde, chiffrement, protection/privacy by design• Authentification renforcées, cloisonnement et filtrage des réseaux internes ET externes• Sécurité physique• La gestion de l’obsolescence/maintenance
P. Tourron – Tous droits réservés
EXERCICE EXERCICE EXERCICE
CELLULE DE CRISE
Responsable de crise : ANALYSER – DECIDER
Responsable de la communication : (faire) COMMUNIQUER
Chef des opérations : SCENARIOS – ORGANISER
Experts : ETAT DES LIEUX – ACTIONS POSSIBLES - REALISATION
Responsable de la main courante : MEMOIRE de la crise pour PILOTAGE et RETEX (preuve)
P. Tourron – Tous droits réservés
ALERTE … BLITZ CRISE
16
CONTEXTE
EVENEMENTS REDOUTES
SCENARIOS DE MENACES
RISQUES
MESURES
PREVENTION
RECUPERATION
PROTECTION
DICT
ANALYSERISQUES
Les Etbs des participants attaqués en saturation DOS
Corruption d’annuaire
INDISPONIBILITE ACCES EXTERNE
SI DES ETBSACCES INTERNET E/S
PLUS D’ACCES DEPUIS/VERS INTERNET
PLUS D’ACCES INTERNE/USURPATION ?
IMPACTS : HDS ?/APPLI SAS?/COM
IMPACTS : AUCUNE APPLI ACCESSIBLE/VOL
DISPO
CONSERVER ANNUAIRE SAIN
ISOLER NEUTRALISER AVEC FNS ACCES
RESTAURER SAUVEGARDE AD
ANNUAIRES
INDISPONIBILITE ACCES INTERNES
INTEGRITE
!
ALERTER
!
TRACES/PLAINTE
ISOLER NEUTRALISER
Ph. Tourron
P. Tourron – Tous droits réservés
FIN EXERCICE
Gérer les crises = Gérer les risques à grande vitesse
•Se préparer à l’imprévu•S’organiser pour décider•S’organiser pour (ré)agir … vite
Des rôles, un entrainement, des reflexes, des procéduresPermet de rendre pragmatique et opérationnel les
PCA/PRA
P. Tourron – Tous droits réservés
Quelques conseils
Extrait article Gestion Hospitalière avril 2017, P.Tourroncf références en fin de présentation
P. Tourron – Tous droits réservés
ENJEUX A VENIRAu-delà du plan SSI
P. Tourron – Tous droits réservés
ENJEUX à venir : Sécurité numérique de santé = des opportunités, une valeur ajoutée
La signature numérique, le chiffrement, l’authentification forte
La sécurité numérique : valeur ajoutée pour la confiance numérique
Rends possible (conformité/fiabilité) :
• L’identité numérique (pour l’accès aux données et aux dispositifs) pour les personnes, pour les logiciels, pour les appareils médicaux
• La dématérialisation : la preuve numérique
• La communication sécurisée (IOT, cloud, …)
• Les soins/télémédecine à distance
Tout en veillant à …
P. Tourron – Tous droits réservés
DETAIL DES MESURES DU PLAN Instruction DSSIS 309
P. Tourron – Tous droits réservés
Mesures de priorité 1 à mettre en place dans les 6 mois
Gestion des ressources humaines [RH]
un RSSI (Responsable Sécurité du Système d’Information)
Complément : Des CSSI par directions et domaines techniques, des référents SSI par etbs du GHT : une équipe transverse formée à l’analyse de risques des « veilleurs » et relais
Charte utilisateur annexée au règlement intérieur
Solution : adaptation fiche HN en GT passage par les instances : opposable, communiquée
Organisation [ORG]
Cartographie /inventaire à jour de votre établissement (postes de travail, serveurs, équipements réseaux, équipements biomédicaux…)
Solution : des outils (GLPI, OCS, ..) souvent différents DSI/Biomed/DT. Avoir a minima accès à tous en gestion de crise/incident. Mise à jour la plus automatisée possible
Une procédure de signalement et de traitement des incidents de sécurité SI article L. 1111-8-2 du code de la santé publique
Solution :Intégrée à la gestion incident (ITIL) escalade/gestion de crise (manuel /fiche reflexe)
P. Tourron – Tous droits réservés
Mesures de priorité 1 à mettre en place dans les 6 mois
Gestion du poste de travail [PC]
Tous les postes de travail sont protégés par un antivirus, les postes nomades étant, équipés d’un pare-feu local
Solution: masters conformes, chiffrement des postes nomades
Difficultés : Biomed : complexe (incompatibilité, maintenance/exploitation externalisées) solutions : protections périmétriques matériels et logiciels (boîtier réseau filtrage attaques et virus, logiciel anti-exploit, FW niveau 7o, …)
Gestion des comptes utilisateurs [USER]
Mots de passe utilisés robustes (respectent les recommandation de la CNIL) et sont renouvelés périodiquement.
Solution : 8 car 4 familles chgt /6 mois; CPE ou 12 car/3 mois pour administrateurs. Intégration de la CPS / Carte pro quand facilite la sécurité (Urgences, Réa, DIM, DSI)
Difficulté : mot de passe initial/perte/des cas de besoins génériques à encadrer et limiter : modes dégradés, blocs, machines de monitoring .
Solutions : questions secrètes, sms pour réinitialisation, limitation cptes génériques aux postes dédiés, droits restreints, gestion sécurisée pour la communication du mot de passe
Gestion des sauvegardes [SAUV]
Plan de sauvegardes régulièrement testées.
Difficultés : Exhaustivité impossible en allant jusqu’au test fonctionnel lourd
Solutions : plan de test tournant pour applications critiques et typologies représentatives, un plan d’audit permet de gérer l’amélioration continue
P. Tourron – Tous droits réservés
Mesures de priorité 2 à mettre en place dans les 12 mois
Organisation [ORG]
Procédure d’appréciation du risque avant toute mise en production d’une application informatique (homologation)
Solutions :
• FASSI (Fiche Analyse SSI) pour tous projets et changements non standards (ITIL) et CCTP sécurité REF-000
• Pour analyse simplifiée (DICP) et détecter besoin homologation RGS, démarche CNIL et RGPD/PIA
• Revue de risque mensuelle (ISO27001)
Gestion du poste de travail [PC]
Un plan de mise à jour des postes de travail dans leur dernière version de système d’exploitation
Solutions : Parc DSI, plan « simple » déploiement automatiques des patch de sécurité
Difficultés : Traiter les bugs de Maj et parc complexes (Biomed, technique) nécessitant validation éditeurs, mainteneurs
Solutions : outils de contrôle de conformité/anomalies, vulnérabilités/protection périmétriques
Maintien en conditions de sécurité de l’ensemble des systèmes numériques est prise en charge par votre RSSI et votre DSI
(postes de travail, serveurs, équipements actifs, équipements biomédicaux…) notamment en appliquant les mises à jour
proposées par les éditeurs et constructeurs
Difficultés : Pb de qualification des applications , arrêt des applications pour mises à jour,
Solutions : intégrer les contraintes dans les cctp (maj, tests de non régression) REF-000, créneau de patch management négocié avec direction et CME, protections périmétriques
P. Tourron – Tous droits réservés
Mesures de priorité 2 à mettre en place dans les 12 mois
Gestion des réseaux [RES]
Garantir l’identification et la protection de tous les accès à internet et de télémaintenance, moyens techniques paramétré de manière adaptée et maintenus pour le faire
Difficultés : Pb du biomed avec des solutions packagées constructeurs et ouverture de liens souvent permanents pour monitoring voire maintenance
Solution : proxy, reverse proxy, vpn, bastion d’administration , centralisation et corrélation des traces, formation des administrateurs
Sécurisation du wifi et la séparation des réseaux professionnels et des réseaux invités
Solution : séparer les usages et les réseaux , automatiser les vpn y compris en interne pour le wifi
Gestion des comptes utilisateurs [USER]
comptes utilisateurs avec profils et droits différentiés selon le principe du moindre privilège (utilisateur, prestataire, administrateur…)
Solution : politique d’habilitation, audit et revues d’habilitation dépendant aussi des éditeurs (label sécurité souhaitable cf REF-000)
Gestion des ressources humaines [RH]
formation SSI et l’inscription d’au moins une action de sensibilisation à la SSI sont bien inscrite dans le plan de formation
Solution : sessions types : sensibilisation encadrement, SSI biomédical, gestion des risques, gestion de crise … extension au GHT (environ 300 personnes formées). E-learning (1500 personnes formées, utilisation mixte)
P. Tourron – Tous droits réservés
Mesures de priorité 3 à mettre en place dans les 18 mois
Gestion des réseaux [RES]
Mettre en œuvre un cloisonnement du réseau de la structure par grandes familles d’usage (administration, paie, plateau technique…) et par niveaux de sécurité
homogènes
Difficultés : Existant souvent complexe à faire évoluer
Solutions : mise en place sur le périmètre restreint agréé HDS puis extension progressive , intégrer du filtrage sur le LAN, changer les habitudes de gestion des réseaux (à « plat »)
Enregistrement et analyse des traces d’accès au système d’information
Solution : outil de centralisation et corrélation des traces (SIEM) , construire des alertes , rapports et procédures de traitement
Gestion des contrats de sous-traitance SI [PRESTA]
Encadrement contractuel de tous les accès par des prestataires, au réseau de votre établissement et la vérification des clauses de réversibilité
Solution : Annexe CCTP SSI REF-000 pour nouveaux marchés, avenant pour les anciens (complexe pour les conventions, les centrales d’achat)
Organisation [ORG]
Réaliser et tenir à jour une analyse des risques SI de votre établissement
Solution : outils et méthode Ebios (démarche intégrée à l’agrément HDS et à la certification ISO27001 mais aussi à l’homologation RGS et au PIA du RGPD)
Définir et mettre en œuvre un plan d’action associé validés par les instances de gouvernance de votre établissement. engagement chaque année, sur la réduction
d’un nombre limité de risques
Solution : intégré à ISO 27001 et inscrire la gestion des risques dans le SDSI, revue d’avancement et la validation du SDSI intègrent de fait l’engagement sur la
réduction des risques par la direction
P. Tourron – Tous droits réservés
Pour continuer : Références
Publication dans la revue Gestion Hospitalière, (avril 2017) « La sécurité numérique en environnement hospitalier »
Publication (FIC newsletter, Forum International de la Cyber sécurité -July 2017) « la gestion de crise une réponse agile aux menaces sur les systèmes critiques de santé : https://www.observatoire-fic.com/la-gestion-de-crise-ssi-une-reponse-agile-aux-menaces-sur-les-systemes-critiques-de-sante/
Publication “La donnée de santé face au RGPD” (SECEM magazine -Oct 2017) ; http://secem.fr/secem-magazine/
P. Tourron – Tous droits réservés
MERCI DE VOTRE PARTICIPATION
DEBAT / QUESTIONS
Top Related