20171129-4 colloque ssi-plan d'action ssi

P. Tourron – Tous droits réservés 1

Philippe TOURRON

RSSI-APHM

3ème COLLOQUE SSI - 29 novembre 2017

Application de l’instruction DSSIS 309

Pour gérer les risques numériques (en santé)

Plan d’action SSI : mise en œuvre à l’AP-HM

P. Tourron – Tous droits réservés

PLAN

Contexte

Pourquoi protéger les données de

santé ?

Comment protéger les données de

santé ?

Enjeux à venir

Débat

questionsApplication de

l’instruction DSSIS 309Gérer les risques

numériques (en santé)


CONTEXTENous sommes tous S.I. dépendants


Contexte : Sécurité numérique

Enjeux majeurs : protéger les patients

• Leurs soins, leur « santé »

• Leurs données

• Freins à la sécurisation : 30% budget, 30% absence de prise de conscience des risques, 40% (divers : applications, hétérogénéité, …)

Le périmètre ?• Les logiciels (du DPI au portail

patient)• Les infrastructures (des postes

aux serveurs en passant par le pilotage de l’électricité), cloud …

• Les moyens médicaux techniques (de l’ECG à la l’IOT de santé)

-> dans l’établissement/l’entreprise-> Et au-delà

Définitions : aspect


POURQUOI PROTEGER LES DONNEES DE SANTE ?


Pourquoi protéger : Sécurité numérique de la santé

Un système d’information conditionnant la qualité de soin

Un système d’information pour l’ouverture et la mobilité : L’attractivité pour les patients,

les professionnels de santé, le lien ville-hôpital, l’intégration du numérique au quotidien

Le mariage difficile de la disponibilité et de la confidentialité

devient ainsi un enjeu stratégique. Un contexte de cybermenaces en hausse (rançon, revente, …)

Etre attaqué c’est comme tomber malade :

il faut pouvoir se soigner vite et bien

• Minimiser les causes et les impacts des risques SI : manager le sécurité


La logique de Système de Management

SECURISER

C’est

MANAGER

donc

GOUVERNER

Et au final

DECIDER LA PRISE DE RISQUE au bon niveau de responsabilité

Manager : revue régulière SSI et SDSI, sanctuariser des budgets

Les propriétaires de risques sont ceux qui peuvent les traiter

(prendre, éviter, réduire, transférer) cf ISO 27001:2013

7


COMMENTPROTEGER LES DONNEES DE SANTE ?


PLAN INSTRUCTION DSSIS 309 déclinaison APHM : en synthèse

Toutes les mesures organisationnelles : intégrées dans nos démarches et certifications ISO 27001, 9001 (ITIL) et agréments HDS : analyse de risques, prise en compte par la direction car intégrée au SDSI, RSSI et CSSI, CIL/DPD, PCA, gestion de crise (intègrant le signalement)

Passer en mode HDS pour les nouvelles applications même internes

Démarche d’homologation RGS organisée (commission, analyse, audit, décision)

Sensibiliser les utilisateurs : e-learning (conduite du projet national via CAIH : 50 activités ciblées santé), sensibilisation sécurité aux nouveaux arrivants, formation SSI pour le Biomed, gestions des risques SI au plan de formation

Charte au RI (instruction= accélérateur)

Inventaire (outils indispensables) intégrant le biomed et gestion des incidents et des changements associés (ITIL)

Augmenter le niveau et la finesse de filtrage avec les réseaux externes (ou interconnectés) et le partage de l’identification/filtrage des menaces (wildfire paloalto, anti DDOS via service chez les FAI)

Protection des accès externes : mainteneurs (bastion d’administration WAB) et utilisateurs (portail d’authentification forte CPS et OTP : WAM)

Segmentation réseaux : commencer par les zones sensibles (HDS, GTC, plateaux techniques biomed, composants non maintenus ou administrés par des tiers, …), ajuter des composants de filtrage (boîtiers stormshield)

Éliminer les systèmes obsolètes (ou les protéger en périphérie : boîtiers stormshield, logiciels malwarebyte, trend, paloalto, …)


La pédagogie SSI : Sensibiliser tous les acteurs


Sensibiliser à la SSI


La gestion des risques : 2 roues motrices

12

FIM

FASSI

(FIL Fiche d’Incident Majeurintégrant la recherche des causes)

(FAASI : Fiche d’Analyse de la Sécurité du SI

intégrant le besoin de PIA/RGPD)

ACHAT


Comment protéger : Sécurité numérique en synthèse

Et si finalement tout convergeait vers …? une vision de la cible à atteindre, un cadre prêt

et « relativement constant », une légitimité : la gestion par les risques

Un système de management de la sécurité du SI : conformité/certification ISO27001

Menaces agiles :

apprendre à gérer des crises

ISO 27001 - RGPD ITIL, HDS, paliers PGSSI …)

Sensibilisation – e-learning, méthode -Ebios


Comment protéger : AGIR

Les Freins : • Changer• Coûts• prioriser

Les leviers : • La règlementation/lois : HDS évolution vers une certification

• Les incidents (l’actualité) et La prise de conscience de la criticité du SI de santé sous tous ses angles (DIC … A)

• Les soutiens des structures nationales (HFDS/FSSI, ASIP, ANSSI, …) et des autres• La prise de conscience de la criticité/valeur du SI et de la donnée personnelle• Des label, normes

Les basics : • Sauvegarde, chiffrement, protection/privacy by design• Authentification renforcées, cloisonnement et filtrage des réseaux internes ET externes• Sécurité physique• La gestion de l’obsolescence/maintenance


EXERCICE EXERCICE EXERCICE

CELLULE DE CRISE

Responsable de crise : ANALYSER – DECIDER

Responsable de la communication : (faire) COMMUNIQUER

Chef des opérations : SCENARIOS – ORGANISER

Experts : ETAT DES LIEUX – ACTIONS POSSIBLES - REALISATION

Responsable de la main courante : MEMOIRE de la crise pour PILOTAGE et RETEX (preuve)


ALERTE … BLITZ CRISE

16

CONTEXTE

EVENEMENTS REDOUTES

SCENARIOS DE MENACES

RISQUES

MESURES

PREVENTION

RECUPERATION

PROTECTION

DICT

ANALYSERISQUES

Les Etbs des participants attaqués en saturation DOS

Corruption d’annuaire

INDISPONIBILITE ACCES EXTERNE

SI DES ETBSACCES INTERNET E/S

PLUS D’ACCES DEPUIS/VERS INTERNET

PLUS D’ACCES INTERNE/USURPATION ?

IMPACTS : HDS ?/APPLI SAS?/COM

IMPACTS : AUCUNE APPLI ACCESSIBLE/VOL

DISPO

CONSERVER ANNUAIRE SAIN

ISOLER NEUTRALISER AVEC FNS ACCES

RESTAURER SAUVEGARDE AD

ANNUAIRES

INDISPONIBILITE ACCES INTERNES

INTEGRITE

!

ALERTER

!

TRACES/PLAINTE

ISOLER NEUTRALISER

Ph. Tourron


FIN EXERCICE

Gérer les crises = Gérer les risques à grande vitesse

•Se préparer à l’imprévu•S’organiser pour décider•S’organiser pour (ré)agir … vite

Des rôles, un entrainement, des reflexes, des procéduresPermet de rendre pragmatique et opérationnel les

PCA/PRA


Quelques conseils

Extrait article Gestion Hospitalière avril 2017, P.Tourroncf références en fin de présentation


ENJEUX A VENIRAu-delà du plan SSI


ENJEUX à venir : Sécurité numérique de santé = des opportunités, une valeur ajoutée

La signature numérique, le chiffrement, l’authentification forte

La sécurité numérique : valeur ajoutée pour la confiance numérique

Rends possible (conformité/fiabilité) :

• L’identité numérique (pour l’accès aux données et aux dispositifs) pour les personnes, pour les logiciels, pour les appareils médicaux

• La dématérialisation : la preuve numérique

• La communication sécurisée (IOT, cloud, …)

• Les soins/télémédecine à distance

Tout en veillant à …


DETAIL DES MESURES DU PLAN Instruction DSSIS 309


Mesures de priorité 1 à mettre en place dans les 6 mois

Gestion des ressources humaines [RH]

un RSSI (Responsable Sécurité du Système d’Information)

Complément : Des CSSI par directions et domaines techniques, des référents SSI par etbs du GHT : une équipe transverse formée à l’analyse de risques des « veilleurs » et relais

Charte utilisateur annexée au règlement intérieur

Solution : adaptation fiche HN en GT passage par les instances : opposable, communiquée

Organisation [ORG]

Cartographie /inventaire à jour de votre établissement (postes de travail, serveurs, équipements réseaux, équipements biomédicaux…)

Solution : des outils (GLPI, OCS, ..) souvent différents DSI/Biomed/DT. Avoir a minima accès à tous en gestion de crise/incident. Mise à jour la plus automatisée possible

Une procédure de signalement et de traitement des incidents de sécurité SI article L. 1111-8-2 du code de la santé publique

Solution :Intégrée à la gestion incident (ITIL) escalade/gestion de crise (manuel /fiche reflexe)



Gestion du poste de travail [PC]

Tous les postes de travail sont protégés par un antivirus, les postes nomades étant, équipés d’un pare-feu local

Solution: masters conformes, chiffrement des postes nomades

Difficultés : Biomed : complexe (incompatibilité, maintenance/exploitation externalisées) solutions : protections périmétriques matériels et logiciels (boîtier réseau filtrage attaques et virus, logiciel anti-exploit, FW niveau 7o, …)

Gestion des comptes utilisateurs [USER]

Mots de passe utilisés robustes (respectent les recommandation de la CNIL) et sont renouvelés périodiquement.

Solution : 8 car 4 familles chgt /6 mois; CPE ou 12 car/3 mois pour administrateurs. Intégration de la CPS / Carte pro quand facilite la sécurité (Urgences, Réa, DIM, DSI)

Difficulté : mot de passe initial/perte/des cas de besoins génériques à encadrer et limiter : modes dégradés, blocs, machines de monitoring .

Solutions : questions secrètes, sms pour réinitialisation, limitation cptes génériques aux postes dédiés, droits restreints, gestion sécurisée pour la communication du mot de passe

Gestion des sauvegardes [SAUV]

Plan de sauvegardes régulièrement testées.

Difficultés : Exhaustivité impossible en allant jusqu’au test fonctionnel lourd

Solutions : plan de test tournant pour applications critiques et typologies représentatives, un plan d’audit permet de gérer l’amélioration continue



Organisation [ORG]

Procédure d’appréciation du risque avant toute mise en production d’une application informatique (homologation)

Solutions :

• FASSI (Fiche Analyse SSI) pour tous projets et changements non standards (ITIL) et CCTP sécurité REF-000

• Pour analyse simplifiée (DICP) et détecter besoin homologation RGS, démarche CNIL et RGPD/PIA

• Revue de risque mensuelle (ISO27001)

Gestion du poste de travail [PC]

Un plan de mise à jour des postes de travail dans leur dernière version de système d’exploitation

Solutions : Parc DSI, plan « simple » déploiement automatiques des patch de sécurité

Difficultés : Traiter les bugs de Maj et parc complexes (Biomed, technique) nécessitant validation éditeurs, mainteneurs

Solutions : outils de contrôle de conformité/anomalies, vulnérabilités/protection périmétriques

Maintien en conditions de sécurité de l’ensemble des systèmes numériques est prise en charge par votre RSSI et votre DSI

(postes de travail, serveurs, équipements actifs, équipements biomédicaux…) notamment en appliquant les mises à jour

proposées par les éditeurs et constructeurs

Difficultés : Pb de qualification des applications , arrêt des applications pour mises à jour,

Solutions : intégrer les contraintes dans les cctp (maj, tests de non régression) REF-000, créneau de patch management négocié avec direction et CME, protections périmétriques



Gestion des réseaux [RES]

Garantir l’identification et la protection de tous les accès à internet et de télémaintenance, moyens techniques paramétré de manière adaptée et maintenus pour le faire

Difficultés : Pb du biomed avec des solutions packagées constructeurs et ouverture de liens souvent permanents pour monitoring voire maintenance

Solution : proxy, reverse proxy, vpn, bastion d’administration , centralisation et corrélation des traces, formation des administrateurs

Sécurisation du wifi et la séparation des réseaux professionnels et des réseaux invités

Solution : séparer les usages et les réseaux , automatiser les vpn y compris en interne pour le wifi

Gestion des comptes utilisateurs [USER]

comptes utilisateurs avec profils et droits différentiés selon le principe du moindre privilège (utilisateur, prestataire, administrateur…)

Solution : politique d’habilitation, audit et revues d’habilitation dépendant aussi des éditeurs (label sécurité souhaitable cf REF-000)

Gestion des ressources humaines [RH]

formation SSI et l’inscription d’au moins une action de sensibilisation à la SSI sont bien inscrite dans le plan de formation

Solution : sessions types : sensibilisation encadrement, SSI biomédical, gestion des risques, gestion de crise … extension au GHT (environ 300 personnes formées). E-learning (1500 personnes formées, utilisation mixte)



Gestion des réseaux [RES]

Mettre en œuvre un cloisonnement du réseau de la structure par grandes familles d’usage (administration, paie, plateau technique…) et par niveaux de sécurité

homogènes

Difficultés : Existant souvent complexe à faire évoluer

Solutions : mise en place sur le périmètre restreint agréé HDS puis extension progressive , intégrer du filtrage sur le LAN, changer les habitudes de gestion des réseaux (à « plat »)

Enregistrement et analyse des traces d’accès au système d’information

Solution : outil de centralisation et corrélation des traces (SIEM) , construire des alertes , rapports et procédures de traitement

Gestion des contrats de sous-traitance SI [PRESTA]

Encadrement contractuel de tous les accès par des prestataires, au réseau de votre établissement et la vérification des clauses de réversibilité

Solution : Annexe CCTP SSI REF-000 pour nouveaux marchés, avenant pour les anciens (complexe pour les conventions, les centrales d’achat)

Organisation [ORG]

Réaliser et tenir à jour une analyse des risques SI de votre établissement

Solution : outils et méthode Ebios (démarche intégrée à l’agrément HDS et à la certification ISO27001 mais aussi à l’homologation RGS et au PIA du RGPD)

Définir et mettre en œuvre un plan d’action associé validés par les instances de gouvernance de votre établissement. engagement chaque année, sur la réduction

d’un nombre limité de risques

Solution : intégré à ISO 27001 et inscrire la gestion des risques dans le SDSI, revue d’avancement et la validation du SDSI intègrent de fait l’engagement sur la

réduction des risques par la direction


Pour continuer : Références

Publication dans la revue Gestion Hospitalière, (avril 2017) « La sécurité numérique en environnement hospitalier »

Publication (FIC newsletter, Forum International de la Cyber sécurité -July 2017) « la gestion de crise une réponse agile aux menaces sur les systèmes critiques de santé : https://www.observatoire-fic.com/la-gestion-de-crise-ssi-une-reponse-agile-aux-menaces-sur-les-systemes-critiques-de-sante/

Publication “La donnée de santé face au RGPD” (SECEM magazine -Oct 2017) ; http://secem.fr/secem-magazine/

https://www.observatoire-fic.com/la-gestion-de-crise-ssi-une-reponse-agile-aux-menaces-sur-les-systemes-critiques-de-sante/

https://www.observatoire-fic.com/la-gestion-de-crise-ssi-une-reponse-agile-aux-menaces-sur-les-systemes-critiques-de-sante/

http://secem.fr/secem-magazine/


MERCI DE VOTRE PARTICIPATION

DEBAT / QUESTIONS

20171129-4 colloque ssi-plan d'action ssi

Health & Medicine

Transcript of 20171129-4 colloque ssi-plan d'action ssi