Incident attaque – réactions ! Que déclarer, qui, quoi, qu’attendre ? Déclaration des incidents SSI - M. Emmanuel SOHIER - ASIP Santé; Service du HFDS - Pôle Cyber

1. Cellule ACSS
Dispositif de traitement des signalements
des incidents de sécurité des SI de santé
Emmanuel Sohier, Expert sécurité à l’ASIP Santé

2. 2
Les activités de la cellule ACSS
Le traitement des signalements
Quelques chiffres sur la première année d’activité
Le portail cyberveille-santé
Sommaire

3. 3
Les activités de la cellule ACSS

4. Cellule Accompagnement Cybersécurité des Structures de Santé
Une logique de sensibilisation et d’accompagnement
L’interconnexion croissante des réseaux et les besoins de dématérialisation exposent les systèmes d’information à
une plus grande menace et à des incidents de sécurité. La mise en défaut de ces systèmes pourrait impacter
fortement l’activité de l’ensemble des acteurs du secteur et la prise en charge des patients.
Contexte
• Article L. 1111-8-2 du code de la santé publique prévoit
l’obligation de signalement des incidents de sécurité.
• Le décret n° 2016-1214 du 12 septembre 2016 décrit les
conditions selon lesquelles sont signalés les incidents
graves de sécurité des systèmes d’information.
• L’arrêté d’application du 30 octobre 2017 relatif aux modalités
de signalement et de traitement des incidents
Règlementation
• La mise en place du dispositif de traitement des
signalements des incidents de sécurité est
pilotée par le Haut Fonctionnaire de Défense et
de Sécurité (HFDS/FSSI)
• La mise en œuvre opérationnelle est déléguée à
l’ASIP Santé.
 Création d’une Cellule ACSS
Accompagnement Cybersécurité des
Structures de Santé
Gouvernance

5. La cellule Accompagnement Cybersécurité des Structures de Santé
5
• Renforcer le suivi des incidents de sécurité
dans les structures de santé ciblées :
établissements de santé, hôpitaux militaires,
laboratoires de biologie médicale et les centres
de radiothérapie ;
• Alerter et informer l’ensemble des acteurs
de la sphère santé dans le cas d’une menace
pouvant avoir un impact sur le secteur ;
• Partager des bonnes pratiques sur les
actions de prévention ainsi que sur les
réponses à apporter suite aux incidents, afin de
réduire les impacts et de mieux protéger les
systèmes.
Objectifs
5
Traitement des signalements d’incidents de sécurité
numérique et accompagnement des structures
La cellule Accompagnement Cybersécurité des
Structures de Santé (ACSS) mène trois activités
opérationnelles :
Animation du portail Web « cyberveille-santé » dédié à
la sécurité numérique dans le secteur santé
Mise à disposition d’un espace sécurisé d’échanges
pour les correspondants cyberveille-santé

6. Temps forts de la cellule ACSS
6
24 avril 2018 : Alerte
Drupalgeddon 2
20 septembre 2017 : Ouverture
du portail cyberveille - Publication
des premiers bulletins cyberveille
et cyberveille santé
1er octobre 2017 : Ouverture du
service de traitement des
signalements
29-31 mai 2018: Présentation des
activités de la cellule ACSS au
Salon HIT
1 décembre 2017 : Publication de
la première alerte concernant la
diffusion d’un faux message sur le
RGPD
6 Juin 2018 : Journée
d’information et d’échanges avec
les Agences Régionales de Santé
(ARS)
7 août 2018 : Alertes sur l’usage
du Remote Desktop Protocol
(RDP) et la campagne massive
d’hameçonnage
2018
24 novembre 2017 : présentation
des premières tendances sur les
signalements au colloque SSI 2017
3-5 avril 2018: Présentation des
activités de la cellule ACSS au
congrès de l’APSSIS
2017 2019

7. 7
Le traitement des signalements

8. Je déclare mon incident de sécurité sur https://signalement.social-sante.gouv.fr
8
- 1 -
Accéder au Portail des
signalements
et
Cliquer sur « Professionnels de
Santé »
Choisir « l’incident de sécurité
des Systèmes d’Information »
- 2 -
Remplir le formulaire de
déclaration
- 3 -
Validation et envoi du
signalement à l’ARS
compétente et à l’ASIP
Santé
- 4 -

9. La cellule ACSS accompagne les structures …
9
Déclaration
Prise en compte -
Qualification
Accompagnement Fin de traitement
Portail des signalements
En cas d’incident majeur
Analyse de la criticité
Selon l’origine de
l’incident et ses impactsCORRUSS
Fiches réflexes
Recommandations
adaptées
Seuls le FSSI et des personnels habilités de l’ASIP
Santé ont accès aux informations relatives à
l’incident et à son traitement

10. Etape de résolution de l’incident
 Communication de mesures de sécurité d’urgence adaptées :
Mise à disposition de « fiches réflexes » thématiques sur le portail cyberveille-santé
o Phishing
o Cryptovirus / code malveillant
o Défiguration de sites web
Recommandations complémentaires sur mesure lors des échanges, par courriels ou
par téléphone
o Changement des mots de passe des utilisateurs des sites web compromis
o Mise en liste noire des adresses mail utilisées par un escroc
o Blocage du protocole de bureau à distance pour éviter une nouvelle intrusion d’un attaquant

11. Etape d’amélioration de la résilience aux incidents
 Conseils sur la mise en place de mesures conservatoires à l’issue
de l’incident :
Evaluation technique des plans d’action sécurité
o Priorisation des mesures proposées
o Proposition pour améliorer la sécurité du SI
• Ex : utilisation d’une application pour l’administration locale ou pour limiter l’exploitation de
vulnérabilités
Rappel des bonnes pratiques de développement et d’administration
o Guides de l’ANSSI sur la configuration d’un domaine Active Directory ou la conception
d’application web

12. La cellule ACSS accompagne les structures …
12
Déclaration
Prise en compte -
Qualification
Accompagnement Fin de traitement
Portail des signalements
En cas d’incident majeur
Analyse de la criticité
Selon l’origine de
l’incident et ses impactsCORRUSS
Fiches réflexes
Recommandations
adaptées
Retours d’expérience
Clôture du suivi du
traitement du signalement
Seuls le FSSI et des personnels habilités de l’ASIP
Santé ont accès aux informations relatives à
l’incident et à son traitement

13. Des bonnes pratiques qui sont encore à promouvoir
13
La sensibilisation régulière des utilisateurs aux messages malveillants
et aux tentatives d’hameçonnage
o Vérifier la provenance du mail et/ou la destination du lien malveillant
o Au moindre doute, ne pas cliquer sur le lien ni sur les pièces jointes
o Signaler le mail à son service informatique et le supprimer
L’administration du réseau et des serveurs
o Ne pas exposer de machines directement sur Internet
o Ne donner que les droits nécessaires à chaque utilisateur
o Mettre à jour les serveurs avec les derniers patchs de sécurité
o Segmenter le réseau en VLAN avec filtrage des flux
o Appliquer une politique de mot de passe respectant les règles de l’art

14. 14
Quelques chiffres sur la
première année d’activitée

15. Quelques chiffres après une année d’activité
15
319 signalements déclarés sur la période
octobre 2017 – septembre 2018
49% des incidents ont contraint les structures
à mettre en place un fonctionnement dégradé
du système de prise en charge des patients
86% des signalements sont issus des
établissements de santé
43% des incidents ont un impact sur des
informations patient à caractère personnel
47% des incidents ont une origine
malveillante (virus ou attaque)
15% des incidents concernent des bugs
applicatifs
11% des incidents ont ou auraient pu entrainer
une mise en danger des patients

16. Quelques chiffres après une année d’activité
16
4
9
10
12
15
16
22
25
27
37
43
43
50
0 10 20 30 40 50 60
Attaque en dénis de service
Fuite d'information
Défiguration d'un site internet
Vol d'équipement
Autre
Intervention accidentelle sur le SI
Panne électrique
Dysfonctionnement de l’infrastructure
Compromission d'un système d'information
Perte du lien télécom
Bug applicatif
Logiciel malveillant / virus
Message électronique malveillant
Nombre d'incidents par type d'origine

17. Quelques chiffres après une année d’activité
17
0
10
20
30
40
50
60
70
80
T4 2017 T1 2018 T2 2018 T3 2018
Origine malveillante des incidents au cours de la
période
Vol d'équipement
Message électronique malveillant
Logiciel malveillant / virus
Fuite d'information
Défiguration de sites internet
Compromission de systèmes
d'information
Autre
Attaque en dénis de service
47% des
incidents
malveillants
répartis en 8
catégories :

18. 18
Portail cyberveille-santé

19. https://www.cyberveille-sante.gouv.fr - le portail Web de référence sur la
sécurité numérique dans le secteur santé
19
560 bulletins cyberveille
193 bulletins cyberveille-santé
11 alertes
242 correspondants
cyberveille-santé
9 fiches réflexes publiées

20. Des supports documentaires pour les acteurs de la sécurité
20
 Dans l’espace documentaire, la
cellule ACSS met à disposition des
structures de santé :
Des fiches réflexes pour la réponse à incidents
Des guides de bonnes pratiques
Une section juridique
Une section PGSSI-S et instructions ministérielles

21. Connectez-vous pour échanger dans un espace sécurisé
21
 En se connectant à l’espace authentifié, les correspondants de la
cellule ACSS peuvent :
Consulter des retours d’expérience concernant des actes de cybermalveillance
Donner et partager leur avis sur l’ensemble des informations publiées
Echanger sur des sujets de cybersécurité (retours d’expérience, évolution du cadre
réglementaire, etc…)
Consulter l’annuaire des correspondants

22. Des alertes sur des menaces conjoncturelles
22

23. Favoriser la coopération pour mieux informer l’ensemble des acteurs en cas
de menace sectorielle
Accompagner les acteurs dans la mise en place de mesures de sécurité adaptées à la
menace
Menaces