Colloque sur la sécurité des systèmes d’information dans les établissements sanitaires et médico-sociaux - 7 octobre 2015
"Les risques liés à la sécurité des SI" Philippe LOUDENOT, FSSI/HFDS - Diaporama
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama
1. Cybersécurité et santé
Les risques liés aux SI
Sécurité des systèmes
d’information
Cybersécurité
7 octobre 2015
Philippe Loudenot
Fonctionnaire de sécurité des systèmes d’information
ministères chargés des affaires sociales
2. ………………………………………………………………………………………………………………………………………………………..
….
….
………………………………………………………………………………………………………………………………………………………..
.…
.…
.…
HFDS - FSSI
Premier ministre
HFDS / HFDS Adj.
Secrétaire général
de la défense et
de la sécurité nationale
Ministères
Défense
Intérieur
Affaires étrangères
Financiers
Chargés des affaires sociales…
• Code de la défense, notamment ses
articles L. 2321-1 et R1143-1 à R1143-8
• Circulaire du Premier ministre du 17 juillet
2014
Sécurité des systèmes
d’information
Cybersécurité2
FSSI ANSSI
AAI
RSSI
AAI
RSSI
Santé
DAC
ARS
Opérateurs
ES/EMS
HFDS
FSSI
AAI
RSSI
AAI
RSSI
Travail
DAC
SD
Opérateurs
Etbs
AAI
RSSI
AAI
RSSI
Sports
DAC
SD
Opérateurs
Etbs
10. Impact métier Impact
Management
Versions périmées Responsabilité pénale
Sécurité des systèmes
d’information
Cybersécurité10
Versions périmées
Mauvaise interprétation des
résultats
Erreurs de mesures
Erreurs de diagnostic
Responsabilité pénale
Réputation
Coûts et non ROI
Retard dossier patients
des EDS ont (avaient) plus de 8 versions par SI cliniques critiques
5 versions différentes de viewer DICOM
Applis en µmol/l et mmol/l
SI cliniques « concurrents » non interopérables Problématique :
Mesure du niveau de conformité applicative ?
13. ………………………………………………………………………………………………………………………………………………………..
….
….
………………………………………………………………………………………………………………………………………………………..
.…
.…
.…
Conséquences
• Fichiers perdus
• Ralentissement / Interruption des missions
• Facteur de coûts directs et indirects :
– 5 000€ (EHPAD) <Surfacturation téléphonique<40 000€ (CH)
– 2j/h <Intervention <136j/h
– Mise à niveau à prévoir (organisationnelle et technique)
Sécurité des systèmes
d’information
Cybersécurité
– Potentiellement un risque juridique fort (SI non conformes, fuites de données
personnelles…)
URGENCE : maîtriser les risques induits par les systèmes
d’information et leur utilisation pour réduire les risques
métiers et ainsi les risques légaux et financiers.
16. ………………………………………………………………………………………………………………………………………………………..
….
….
………………………………………………………………………………………………………………………………………………………..
.…
.…
.…
• Définir clairement le périmètre SSI : CARTOGRAPHIE
- Informatique;
- Biomédical;
- Infra …
• Inventorier les actifs, les applications, les flux;
• Gérer des risques;
• Impliquer l’ensemble des acteurs du monde de la santé (internes,
constructeurs, éditeurs…);
Pré requis
Sécurité des systèmes
d’information
Cybersécurité
constructeurs, éditeurs…);
• Ajouter des clauses SSI dans les procédures d’achats;
- MAJ de l’environnement
• Eviter le :
- « tout ce qui n’est pas explicitement interdit est autorisé ».
• Communiquer : chaîne d’alerte SSI.
18. ………………………………………………………………………………………………………………………………………………………..
….
….
………………………………………………………………………………………………………………………………………………………..
.…
.…
.…
Quelles sont les « valeurs » d’un organisme ?
Quel est leur niveau de sensibilité ou de criticité ?
De qui, de quoi doit-on se protéger ?
Quels sont les risques réellement encourus ?
Ces risques sont-ils supportables et jusqu’à quel niveau ?
Questions simples mais réponses précises!
Sécurité des systèmes
d’information
Cybersécurité
Quel est le niveau actuel de sécurité de l’Etablissement ?
Quel est le niveau de sécurité que l’on souhaite atteindre ?
Comment passer du niveau actuel au niveau désiré ?
Quelles sont les contraintes effectives ?
Quels sont les moyens disponibles ?
Que faire en cas de « crise » ?