gcs/ars bourgogne 21112013rappel à l’ordre de l’anssi oct 2011 : «les principes de base...
TRANSCRIPT
21112013
Agence Régionale de Santé
Bourgogne
GCS/ARS Bourgogne
Michel Raux
Michel Raux, Directeur Systèmes d’Information, CH Versailles
Du risque de l’évolution à l’évolution du risque
Du risque de l’évolution
à l’évolution du risque
ou
“le regard d’un DSI sur la sécurité
du système d’information”
Choisir d’évoluer, c’est accepter…
…de créer du lien,
donc de la complexité,
donc du risque
Être ou ne pas être
conscient des risques
Accepter ou non de prendre le risque (Risque : existence d'une probabilité de voir un danger se concrétiser)
Ce qui génère le Risque, c’est le contexte de l’usage
Le paradigme CORPUS
Conformité (atteinte du modèle)
Bonne Pratique (recommandation)
Usage (réalité)
Conformité (atteinte du modèle)
Bonne Pratique (recommandation)
Usage (réalité)
Ce qui génère le Risque, c’est le contexte de l’usage
Le paradigme CORPUS
PROCESSUS : Parcours du patient
PLAN DE SOINS IDENTITIFICATION PRESCRIPTION
Le contexte de l’usage, pour un SIH …
… demande de maitriser les risques d’un
système complexe (cum plexus = avec de l’entrelacement) …
Fin du support
Windows XP
Convergence
téléphonie
informatique
Cloud Computing,
Byod
Intégration
du biomédical
Développement
applicatif incitatif
(H2007-H2012-HN)
Intégration
inter-applicative
(EAI)
Accélération des
rythmes (DMS)
Règlementation
T2A, CBUM, FIDES HPST
GCS, CHT
Télécoms,
visioconférence
Echanges
Ville-Hôpital
Réorganisations
internes,
évolution des
pratiques
… en perpétuel changement
Parcours du patient Parcours du patient
Situation A Situation B
Les risques « système d’information »
Risques informatiques
Risques systèmes liés à
l’organisation et à l’humain
Les risques « changement »
Conduite de projet
Les risques de l’évolution
Face à la demande d’évolution rapide du SIH :
LA SURETE DE FONCTIONNEMENT
Propriété d’un système telle que ses utilisateurs
puissent placer une confiance justifiée dans le service
qu’il leur délivre.
« La confiance que nous devons placer
dans les TIC est elle à la hauteur de
notre dépendance ? »
propriété se rapporte à (par exemple)
DISPONIBILITE
accessibilité (prêt à l’utilisation)
• Suffisamment de postes informatiques
• Assurer la mobilité (réseau WIFI)
• Ergonomie des applications informatique
• Temps de réponses
SURETE DE FONCTIONNEMENT
Définition d'un taux de
disponibilité cible des
applicatifs et mise en œuvre
d’une évaluation de ce taux
P2.2 5b E2-EA1
propriété se rapporte à (par exemple)
FIABILITE (Continuité de service)
• Qualité technique des équipements
• Qualité des applications informatiques
• Redondance des équipements
• Qualité de l’alimentation électrique
SURETE DE FONCTIONNEMENT
Existence de procédures
assurant d'une part un
fonctionnement dégradé du
système d'information au cœur
du processus de soins en cas
de panne et d'autre part un
retour à la normale
P2.3 5b E2-EA1
propriété se rapporte à (par exemple)
CONFIDENTIALITE (Absence de divulgation
non autorisée de
l’information)
• Disposer d’une politique de sécurité (charte
d’utilisation du SI)
• Gestion contrôlée des accès (traçabilité)
SURETE DE FONCTIONNEMENT
P3.4 P3.5 10c E1-EA1
Taux d'applications permettant une
traçabilité des connexions au SIH
Taux d'applications gérant des
données de santé à caractère
personnel intégrant un dispositif
d'authentification personnelle
propriété se rapporte à (par exemple)
INTEGRITE (Absence d’altération
inappropriée de
l’information)
• L’intégration : la question des interfaces
entre applications (sémantique et syntaxe)
• Les sauvegardes / restaurations des
données
SURETE DE FONCTIONNEMENT
propriété se rapporte à (par exemple)
INOCUITE (Absence de
conséquence pour
l’environnement )
• Interférences radioélectriques
• Rayonnement radioélectrique
• Traçabilité des composants toxiques
SURETE DE FONCTIONNEMENT
propriété se rapporte à (par exemple)
MAINTENABILITE (Aptitude aux
réparations et aux
évolutions)
• Qualité technique
• Qualité des contrats de maintenance
• Relation avec les fournisseurs
• Astreintes informatiques
SURETE DE FONCTIONNEMENT
Paradigme CORPUS : les zones à Risque
Conformité (atteinte du modèle)
Bonne Pratique (recommandation)
Usage (réalité)
LE SCHEMA « LOGIQUE »
la conformité éloigne du
risque,
la bonne pratique doit
atteindre la conformité,
L’usage doit tendre vers
l’application des bonnes
pratiques,
Paradigme CORPUS : les zones à Risque
Conformité (atteinte du modèle)
Bonne Pratique (recommandation)
Usage (réalité)
VARIANTE 1
les bonnes pratiques
sont « plus avancées »
que la conformité,
L’usage doit tendre vers
l’application des bonnes
pratiques
La conformité doit
évoluer
Paradigme CORPUS : les zones à Risque
Conformité (atteinte du modèle)
Bonne Pratique (recommandation)
Usage (réalité)
VARIANTE 2
C’est l’usage , qui
garantit le moindre
risque (on appelle ça ,
parfois « l’expérience »,
parfois « le système D »)
Ce sont souvent des
situations particulières
Face à la demande d’évolution rapide du SIH :
Il faut faire parler ensemble des applications
étrangères les unes aux autres
Processus Identification Patient
Processus Mouvements
Processus Prescription
Processus Commande fournisseur
Processus Facturation
Etc…
En créant du lien on crée de la complexité…
… et l’on renforce la nécessité d’un langage commun,
pour réduire les risques de ne pas se comprendre !
Dans des processus interconnectés
Les 4 piliers d’un langage commun
Structures (gérer le fichier commun de structures : POLES, SERVICES, UF, CAC,
FINESS…)
Actes (gérer le recueil de l’activité)
Identités et mouvements (gérer les identités et mouvements ; Cellule d’Identitovigilance)
Nomenclatures (gérer les nomenclatures et leurs versions : CIO-SP, CIO-DM, CIM10,
CCAM, … )
En guise de conclusion …
« un esprit S.A.I.N.
dans
des corps (techniques)
S.A.I.N.S »
Pour minimiser les risques systèmes d’information
Pour minimiser les risques systèmes d’information
Un esprit
S.A.I.N.
Structures (gérer le fichier
commun de
structures)
Actes (gérer le
recueil des
actes)
Identités (gérer les identités ;
Cellule d’Identito-
vigilance)
Nomenclatures (gérer les nomenclatures et
leurs versions)
Pour minimiser les risques systèmes d’information
dans des corps (techniques)
S.A.I.N.S. Sécurisés (politique de
sécurité : créer
une confiance
justifiée)
Accessibles (rendre
l’information
accessibles en
équipant
suffisamment )
Immédiats (assurer des
performances
garantissant
l’utilisation)
Normalisés (faciliter les échanges de
données en s’appuyant
sur ce qui est normalisé)
Stables (savoir gérer et
amortir le
changement)
En 2012 En 2016
Hôpital Numérique
Certification 2014
Auditabilité des SI
1,5 % du budget
d’exploitation
? du budget
d’exploitation
Pour minimiser les risques systèmes d’information
Merci de votre attention …
« À cause du clou, le fer fut perdu.
À cause du fer, le cheval fut perdu.
À cause du cheval, le cavalier fut perdu.
À cause du cavalier, le message fut perdu.
À cause du message, la bataille fut perdue.
À cause de la bataille, la guerre fut perdue.
À cause de la guerre, la liberté fut perdue.
Tout cela pour un simple clou. »
Benjamin Franklin
21112013
Agence Régionale de Santé
Bourgogne
GCS/ARS Bourgogne
Alain Bernard
Alain Bernard, Directeur Santé, Nexthink
Les 40 règles d'hygiène informatique de l'ANSSI s'appliquent-t-elle
à la communauté hospitalière?
Alain Bernard, Directeur Santé, Nexthink
Rappel à l’ordre de l’ANSSI
Oct 2011 : «Les principes de base (l'hygiène de base de la sécurité des systèmes d’information) n’étant pas respectés, tout le reste ne sert à rien. »
Oct 2012 : « De nombreuses attaques informatiques, traitées par l’agence nationale de sécurité des systèmes d’information (ANSSI), auraient pu être évitées si des mesures techniques essentielles avaient été appliquées par les organisations victimes. »
« Certaines de ces mesures sont si évidentes et relativement simples à mettre en œuvre, que l’on peut les qualifier de « règles élémentaires d’hygiène informatique ». Ne pas les suivre expose votre organisation à des risques d’incidents majeurs, susceptibles de mettre son fonctionnement ou sa compétitivité en danger, voire d’entraîner l’arrêt de son activité. »
Nov 2012 : publication du guide hygiène informatique et sa checklist de 40 règles et mesures de base
Alain Bernard, Directeur Santé, Nexthink
« Une fois ces règles partagées et appliquées, vous aurez accompli une part importante de votre mission : permettre à votre organisation de continuer à servir ses clients ou ses usagers, en respectant l’intégrité et la confidentialité des informations qui les concernent. »
http://www.ssi.gouv.fr/IMG/pdf/guide_hygiene_informatique_anssi.pdf
http://www.ssi.gouv.fr/IMG/pdf/checklist_hygiene_informatique_anssi.pdf
Les 40 Règles
Alain Bernard, Directeur Santé, Nexthink
I. Connaître précisément le système d’information et ses utilisateurs
II. Maîtriser le réseau III. Mettre à niveau les logiciels IV. Authenfication et mots de passe V. Sécuriser les équipements terminaux VI. Segmenter le réseau et contrôler l’annuaire VII. Protéger le réseau interne de l’internet VIII. Surveiller les systèmes IX. Sécuriser les postes des administrateurs X. Contrôler l’accès aux locaux et sécurité physique XI. Organiser la réaction en cas d’incident XII. Sensibliser XIII. Faire auditer la sécurité
Constat princeps : un problème de gouvernance
Alain Bernard, Directeur Santé, Nexthink
90%
des incidents sont de
sources internes
20%
de mesures adéquates
basiques règlent 80%
des problèmes
La sécurité des
systèmes
d’information n’est pas
qu’un problème de
moyens mais de
gouvernance, de
compétences et de
responsabilité
Gouvernance : des gisements d’économies insoupçonnés
Alain Bernard, Directeur Santé, Nexthink
• 80% des menaces sécurité • 50% des problèmes de performance • 70% des demandes support
• Economie moyenne possible
500€+/an/utilisateur *
• * Etude Gartner Group, Forrester
• Inventaire et usages
• Performance • Sécurité • Coûts
Sureté : Mise en pratique des 40 règles
Alain Bernard, Directeur Santé, Nexthink
Renforcer la protection et évoluer vers une défense en profondeur
Acte 2: traçabilité des activités des postes Recensement/analyse des applications non recensées et utilisées Recensement/analyse de toutes les connexions et ports utilisés Recensement/analyse des droits effectifs des utilisateurs
Acte 1: Gouvernance SSI Le suivi du parc informatique, Le suivi du parc applicatif Le suivi de la qualité de service Le suivi de la conformité aux politiques de sécurité Le suivi des accès utilisateurs
Maîtrise des Risques IT, Métier, Légaux
Finalité de la PGSSI (Politique de Sécurité des SI Santé)
Alain Bernard, Directeur Santé, Nexthink
Risque légal
Risque IT
Métier
Finalité de la PGSSI (Politique de Sécurité des SI Santé)
Alain Bernard, Directeur Santé, Nexthink
Obligations légales non respectées Double saisie du PMSI Gestion budgétaire altérée Déploiement CPS non contrôlé
Risque légal
Gestion approximative des actifs IT Multiples failles de sécurité Comportements et usages déviants Hétérogénéité des versions des logiciels Indisponibilité et mauvaise performance
Risque IT
Métier
Non-interopérabilité des SI cliniques Fiabilité altérée des diagnostics Fuite de données, données corrompues Efficience des procédures
ILLUSTRATIONS DU MANQUE D’HYGIÈNE DANS LES HÔPITAUX
Open Bar
Alain Bernard, Directeur Santé, Nexthink
Recensement et classification
Inventaire applications cliniques (classification O6)
Risque métier fort :
Différents postes… différents résultats (?)
versions différentes en production, de logiciels de prescription médicamenteuse, calculs
complexes de dosage
Homogénéité des versions applications cliniques
Suivi de la qualité des applications critiques
Virut, Downadup, Conflicker
Sureté : Mise en pratique des 40 règles
Alain Bernard, Directeur Santé, Nexthink
Malwares et autres indésirables
Version non à jour de Viewer Dicom
Version du client de prescription obsolète
Hétérogénéité logiciels de saisie d’actes
Défaut qualité réseau entre blocs et PACS
Mobilisation de 20 à 150 jours/h
1 Blacklist des réseaux de messagerie avec perte définitive de messages 2 Zero Access et surconsommation de bande passante
Mauvais contraste en mammographie
Erreur potentielle de dosage
Défauts et rejets de facturation (PMSI, FSE)
Non affichage d’images au bloc en cas de trafic intense
Etude réalisée en 2011 CHRU, CHU, CH, HL, PSI, SSA, Echantillon représentatif
• Inventaire • Usages • Disponibilité
• IT • Métier • Juridique
• Confidentialité • Qualité des Soins • Responsabilité
3 familles de mesures 3 niveaux d’appréciation des risques 3 exigences absolues
Résultats observés : Base + 80 Hôpitaux
Alain Bernard, Directeur Santé, Nexthink
Bilan gouvernance conformité des postes de travail Nombre de versions en production
(recommandation = 1) Nombre de versions applicatifs
métier
Alain Bernard, Directeur Santé, Nexthink
UniHA Segment Sécurité des Systèmes d’Information
Alain Bernard, Directeur Santé, Nexthink
Alain Bernard, Directeur Santé, Nexthink
Contribution de NEXTHINK ANSSI, PGSSI, Gouvernance
GOUVERNANCE
MAITRISE DES RISQUES
QUALITE DE SERVICE
Par l’analyse permanente dynamique du comportement et des usages des postes de travail
Par la supervision temps réel de l’ensemble des infrastructures informatiques
Pilotage des projets de gouvernance économique, de maîtrise des risques, de qualité de service, et de transformation des SIS
Alain Bernard, Directeur Santé, Nexthink
Merci
Alain Bernard, Directeur Santé, Nexthink
21112013
Agence Régionale de Santé
Bourgogne
GCS/ARS Bourgogne
Philippe Loudenot, Fonctionnaire de Sécurité des Systèmes d’Information, Premier Ministre
Philippe Loudenot Fonctionnaire de sécurité
des systèmes d’information, Service du Haut fonctionnaire
De défense et de sécurité auprès du Premier ministre
SCADA ? (Supervisory Control and Data Acquisition)
Sécurité des systèmes d’information de Santé
Philippe Loudenot, Fonctionnaire de Sécurité des Systèmes d’Information, Premier Ministre
Définitions
Information
Philippe Loudenot, Fonctionnaire de Sécurité des Systèmes d’Information, Premier Ministre
Poids
Philippe Loudenot, Fonctionnaire de Sécurité des Systèmes d’Information, Premier Ministre
• 1 page = 4 ko sur support
• 1 Mo = 256 pages
• 1Go = 262 144 pages = 524
rames de papier soit 1310 kg
• 4Go (clé USB) = 1 048 576
pages = 2 097 rames soit 5,2
tonnes
• 1To = 536 871rames soit 1342
tonnes ≃ 35 X
Définitions 2
Philippe Loudenot, Fonctionnaire de Sécurité des Systèmes d’Information, Premier Ministre
Système d’Information Ensemble des moyens humains et matériels ayant pour finalité
Elaborer
Détruire
Stocker
Traiter
Acheminer
durée MdP
SIH traitement
SCADA
€ dossier
Présenter Patient
€
Pour sur un système informatique : Il est estimé couramment un taux de bugs de 5-15 pour 1000 lignes de code
Sans oublier les failles liées aux applications installées sur l’OS !! : - gestion imagerie - logiciel biochimie - logiciel d’étalonnage radiothérapie - DICOM Viewer - Etc.
Déploiement d’un parc de 100 systèmes sous Windows 2000/XP. Le ratio précédent nous permet d’évaluer le nombre global de bugs : Si 1% de ces bugs concernent la sécurité, cela laisse 4000 points d’entrée par système.… à multiplier par le nombre de systèmes, soit 400 000 trous de sécurité !
Windows XP = 50 millions
Nouveaux systèmes… Nouveaux risques
Philippe Loudenot, Fonctionnaire de Sécurité des Systèmes d’Information, Premier Ministre
Définition 3
Le concept de sécurité des systèmes d’information recouvre l’ensemble des méthodes, techniques et outils chargés de protéger les ressources d’un système d’information
Sécurité d’un système d’information
Philippe Loudenot, Fonctionnaire de Sécurité des Systèmes d’Information, Premier Ministre
Définition 3
Confidentialité Preuve Disponibilité Intégrité
Philippe Loudenot, Fonctionnaire de Sécurité des Systèmes d’Information, Premier Ministre
La sécurité des systèmes d’information recouvre l’ensemble des moyens techniques et organisationnels pour garantir, au juste niveau requis, la sécurité des informations
Sécurité d’un système d’information
Finalités
Philippe Loudenot, Fonctionnaire de Sécurité des Systèmes d’Information, Premier Ministre
Finalité d’ordre opérationnel Parce que les systèmes et réseaux d’information sont devenus des outils de travail indispensables pour les tâches critiques de la vie professionnelle
Finalité d’ordre stratégique Parce que les systèmes et réseaux d’information sont une composante essentielle au bon fonctionnement « métier »
Finalité d’ordre juridique Parce que la loi l’impose Code pénal, CNIL, LCEN, LSQ…
Finalité de gestion du risque
Pour être en mesure de gérer et de maîtriser de manière active, préventive et continue, les risques de sécurité pesant sur les systèmes d’information plutôt que de subir et de vouloir les éviter et les éradiquer à tout prix
Enjeux
Philippe Loudenot, Fonctionnaire de Sécurité des Systèmes d’Information, Premier Ministre
Dans un monde discret
FFD8FFE000104A4649460 010101004800480000FFE AB8457869660000494921 000800000007000F010000
Philippe Loudenot, Fonctionnaire de Sécurité des Systèmes d’Information, Premier Ministre
Données ou programme ?
#include <stdio.h>
int main (int argc, const char * argv[])
{
FILE *fi, *fo;
char *cp;
int c;
if ((cp=argv[1]) && *cp!='\0')
{ if ((fi=fopen(argv[2],"rb")) != NULL)
{ if ((fo=fopen(argv[3],"wb")) !=
NULL)
{ while ((c=getc(fi)) != EOF)
{ if (!*cp) cp=argv[1];
c ^= *(cp++);
putc(c,fo);}
fclose(fo);}
fclose(fi);
}}}
880400017C0207754082FFD838
6000014E800020880300007C00
07747F80100040BE00104BFFF
…
Insertion
Compilation
Philippe Loudenot, Fonctionnaire de Sécurité des Systèmes d’Information, Premier Ministre
Philippe Loudenot, Fonctionnaire de Sécurité des Systèmes d’Information, Premier Ministre
Et ?
L’intrusion durerait depuis deux ans
Philippe Loudenot, Fonctionnaire de Sécurité des Systèmes d’Information, Premier Ministre
Et ?
Et ?
Philippe Loudenot, Fonctionnaire de Sécurité des Systèmes d’Information, Premier Ministre
SSI PM
La dette de la France est actuellement de 1 787 244 630 euros
Et ?
Philippe Loudenot, Fonctionnaire de Sécurité des Systèmes d’Information, Premier Ministre
Philippe Loudenot, Fonctionnaire de Sécurité des Systèmes d’Information, Premier Ministre
Philippe Loudenot, Fonctionnaire de Sécurité des Systèmes d’Information, Premier Ministre
Pourquoi en parle-t-on ?
…
Médicale
… Savons-nous les gérer tous ?
Maintien à domicile des malades chroniques
Dossier médical
Flux financiers €
Philippe Loudenot, Fonctionnaire de Sécurité des Systèmes d’Information, Premier Ministre
Log/Adm
Base SIH :
• Plus de 2500 identifiants + mots de passe « en clair »
• 41 comptes génériques équivalents « root » ou « admin »
• Archives en libre accès (souvent photocopieur à disposition)
• Quasi tous les matériels connectés non ou mal protégés
– Matériel médical, Photocopieurs, GTC…
Contrôle de l’ensemble des appareils connectés de l’EDS en 1 matinée
Philippe Loudenot, Fonctionnaire de Sécurité des Systèmes d’Information, Premier Ministre
Pourquoi en parle-t-on ?
Incidents
De multiples points d’entrée : • responsabilité d’un tiers / prestataire • smartphone/tablette/USB • systèmes hétérogènes / MCS
Philippe Loudenot, Fonctionnaire de Sécurité des Systèmes d’Information, Premier Ministre
173,5 jours
Qui prennent de l’ampleur à cause de détections tardives :
Pistes ?
Philippe Loudenot, Fonctionnaire de Sécurité des Systèmes d’Information, Premier Ministre
3 attitudes
Philippe Loudenot, Fonctionnaire de Sécurité des Systèmes d’Information, Premier Ministre
14 avril 1912
environ 1 500 morts / 2200
lum ière sur les insuffisances techniques
création d'une patrouille internationale des glaces
procédure à appliquer en vue d'une collision
veille radio doit être assurée 24h/ 24 sur fréquence dédiée
canots en nombre suffisant
6 mai 1937 35 morts / 97
ruine de la carrière des zeppelins
toutes les machines volantes ne voleront plus à l 'hydrogène défiance vis- à- vis de hydrogène
Struthionidés
QUIZZ
Philippe Loudenot, Fonctionnaire de Sécurité des Systèmes d’Information, Premier Ministre
Qui parmi vous a une politique concernant les mots de passe ?
• La même politique prend-elle en charge les appareils biomédicaux, les accès aux
télé-mainteneurs…?
• Est-ce votre politique ou celle mise en place par une SSII ?
Sur un SI destiné à des maisons médicales
• 5393 identifiants + mots de passe « en clair »
Une première étape ?
Philippe Loudenot, Fonctionnaire de Sécurité des Systèmes d’Information, Premier Ministre
Entente entre le “métier”, les “MOE” et les “SSI”
peuvent ils s’entendre ? Ils ont chacun leurs contraintes…
De quoi on-t’ils peur ?
De leurs (nos) insuffisances et de leurs conséquences De vous, de nous, d’eux : les politiques, les éditeurs, les tutelles, les consultants, les directions, des actionnaires, Des malveillants …
Que voulons nous ?
Philippe Loudenot, Fonctionnaire de Sécurité des Systèmes d’Information, Premier Ministre
Que ça marche !
Parlons-leur des risques Risques qui vont avec les bénéfices Risque résiduel
Timeline
USB
CONFICKER
Pacemakers and Implantable Cardiac Defibrillators : Software Radio Attacks
Security holes enable attackers to switch off pacemakers, rewrite firmware from 30 feet away
Barnaby Jack
1er Pacemaker implantable
Dr Mark C Lidwell of the Royal Prince Alfred Hospital of Sydney
1er Pacemaker
GT MAS RSSI Biomed…
Philippe Loudenot, Fonctionnaire de Sécurité des Systèmes d’Information, Premier Ministre
1926 1932 2013 1960 1996 1999 2008-2009 2012
Kevin Fu
2013
Aux Etats-Unis, la FDA a mis en garde les fabricants d’appareils médicaux électroniques contre les risques de cyber-attaques, et les conséquences désastreuses qu’elles pourraient avoir sur les patients. Elle considère les appareils médicaux électroniques et les réseaux en hôpital encore trop vulnérables à ce type d’attaques, et rappelle aux fabricants la nécessité de mieux protéger leurs appareils. La FDA, traditionnellement responsable d’évaluer la sécurité des appareils de santé, voit son rôle évoluer progressivement, vers des questions de protection des données et de « cyber-sécurité » des appareils.
Philippe Loudenot, Fonctionnaire de Sécurité des Systèmes d’Information, Premier Ministre
Center for Internet Security
« What’s so encouraging to me in terms of mobile medical device
security is that we are on the cusp of tremendous positive change, and
we are doing it before accidents happen. »
« We must approach this process in a careful manner, with the input of
many organizations and individuals, in order to develop security
solutions without compromising the confidentiality, integrity and
availability of the devices. »
Philippe Loudenot, Fonctionnaire de Sécurité des Systèmes d’Information, Premier Ministre
William F PELGRIN, President & CEO
Conclusion
Faites-vous encore confiance en vos systèmes d’information de
santé ?
Thank you for being so … Patient
Philippe Loudenot, Fonctionnaire de Sécurité des Systèmes d’Information, Premier Ministre
21112013
Agence Régionale de Santé
Bourgogne
GCS/ARS Bourgogne
Benjamin NATHAN
Benjamin Nathan, Responsable Technique, Varonis Europe
Le Diable est dans les détails … des données
… et du Code.
Benjamin Nathan, Responsable Technique, Varonis Europe
Les Données Humaines sont une mine d’Or
Benjamin Nathan, Responsable Technique, Varonis Europe
Bases de données relationnelles, hautement structurées, basées sur un schéma rigide
Documents financiers, données multidimensionnelles, calculs mathématiques
Schéma prédéfini. Reporting mensuel, non adapté aux événements en temps réel
Séries de données dans le temps, aucun schéma prédéfini
Générées par presque tous les systèmes informatiques, formats très divers
Volume massif : navigation rapide et corrélation primordiales
Données machine Données de l’activité Données humaines
« Passerelle vers le cerveau », générées chaque jour par de nombreuses sources
Données non structurées : fichiers de traitement de texte, tableurs, présentations, fichiers image, audio, vidéo.
Stockées dans les intranets des entreprises, les partages de fichiers et les courriers électroniques
Mais la quantité de données augmentent de façon exponentielle…
Benjamin Nathan, Responsable Technique, Varonis Europe
D’ici 2020, les centres
informatiques géreront :
• 14 fois plus de données
• 10 fois plus de serveurs
• avec 1,5 fois plus de
personnel informatique
Source : IDC Digital Universe
Les entreprises sont
responsables de la
protection de 80 %
de toutes les données
Opportunité d’extraire plus
de valeur par le marquage
et l’analyse (Big data)
Organizations IndividualsCould be is Tagged is Analyzed
2012 2020Data Servers IT Staff
Il est necessaire de mettre en place des politiques de securisation.
Benjamin Nathan, Responsable Technique, Varonis Europe
80 % des entreprises stockent des données qui ne leur appartiennent pas, mais…
Seulement 34 % d’entre elles ont la certitude de savoir où les
données tierces sont stockées
22 % seulement connaissent les propriétaires de toutes les
données
37 % seulement en révoquent l’accès régulièrement
19 % seulement supervisent toutes les activités d’accès 75 % éprouvent des difficultés à trouver les données périmées et inutiles
Source : État de la protection des données http://www.varonis.com/research
Source : Données en déplacement http://www.varonis.com/research
Sécurité
Conformité
Rétention
Quels sont les risques ?
• Fuite d’information confidentielle • Usurpation d’identité • Complexité de gestion
• développement de code non sécurisé car non managé • prise de contrôle par manque de gouvernance des
identités
Benjamin Nathan, Responsable Avant-Vente Technique, Varonis Europe
-----
Garantir le fonctionnement nominal d’un SI nécessite la mise en œuvre de sa supervision :
• Surveiller ses paramètres de fonctionnement • Surveiller ses performances • Déployer une politique de Gouvernance de données • Mettre en place les processus de réaction afin de
traiter au plus tôt les incidents
Benjamin Nathan, Responsable Avant-Vente Technique, Varonis Europe
Démonstration
Benjamin Nathan, Responsable Avant-Vente Technique, Varonis Europe
• Site marchand
• comment « optimiser » ses achats en ligne
• importance d’un code sécurisé
• Serveurs dans l’entreprise
• prise de contrôle à distance
• importance d’une gouvernance des données
(y compris fichiers) et des identités