[PDF] Présentation PowerPoint 19 janv. 2017 Lettre ENOVACOM –

View - Download Présentation PowerPoint

Previous PDF

Next PDF

Chefferie de Projets et Cybersécurité

Technologies biomédicales et Cybersécurité

Conférence originale

GCS Télésanté Haute-Normandie

19 janvier 2017

Vincent TRELY

ƒExpertenCybersécuritéetSIS

SystèmesG·HQIRUPMPLRQdeSanté

duMans(2007-2012) internationales 2

ƒQue Choisir -Etablissement de santé: Cyberattaques, les virus se répandent -pages 55-56 -NΣ550 -septembre 2016

ƒ4a m'intĠresse -Hackers: De Quoi sont-ils vraiment capable -pages 76-78 -NΣ427 -septembre 2016

ƒBiologiste info -Sécurité des SIH: Une prise de conscience qui tarde -juin/juillet/août 2016

ƒFrance Bleu Maine-Introduction à la Cybersécurité -5 avril 2016

ƒTechniques Hospitalière -Et nos données de santé dans tout ça? -pages 43-46 -NΣ756 -mars-avril 2016

ƒLe Maine -3 questions à Vincent Trély-2015 ƒLe Figaro.fr -Les données de santé attirent les hackers -13 février 2015 ƒDSIH-Sécurité des SI: retour du front -pages 34-36 -NΣ14 -janvier 2015

ƒNotre Temps Santé -Pour ou contre l'automesure -pages 10-11 -NΣ3 -décembre/janvier/février 2014/2015

ƒRevue Hospitalière de France -4 questions à Vincent Trély-pages 38-40 -NΣ560 -septembre-octobre 2014

ƒDSIH-Les 50 qui font avancer la e-santé -page 49 -NΣ9 -mai 2013 ƒFrancetvinfo.fr -Quand des dossiers médicaux se retrouvent sur le net -15 avril 2013 ƒLe Monde -Des dossiers de patients divulgués sur internet -page 11 -NΣ21202 -20 mars 2013 ƒLe Mans TV (LMTV) -La sécurité des systèmes de santé -4 décembre 2012 ƒLettre ENOVACOM -Cas d'Ġtablissementͬgestion des identitĠs -page 4 -1ersemestre 2011 ƒHôpital Partenaire -S.I.H -pages 91-93 -NΣ20 -juin 2011 ƒOuest France -Santé: gare au piratage des données numérisées -2011

Votre conférence

Cyberinsécuritégénérale

2.Institutions,LoisetRéglementations

Terrain:VOUS

LerôledeO·MQMO\VHderisques

4.Questions²Réponses²Débat

5

1B 3RXUTXRL SMUOHU GH Ń\NHUVpŃXULPp j O·+{SLPMO "

6

Cyber insécurité générale

Cyber insécurité des systèmes connectés et des SI de santé Des exemples ²Des chiffres ²Des commentaires compromises. seconde. internes,etlesmalwares. 7 Etat

Entreprise

Axe économiqueAxe politico militaire

CyberguerreCyber espionnage

Cybercriminalité

Cyberhacktivisme

8 uneaffairedeprimesnonversées.

112000-policiers-fuite-internet

informatiques informatiques_4959453_4408996.html 9

Juillet 2016 : La Chine probablement mêlée au piratage d'un régulateur bancaire américain

Des pirates informatiques probablement liés aux autorités chinoises ont pénétré au début de la

décennie dans les ordinateurs d'un régulateur bancaire américain, y compris celui de sa présidente,

selon une commission du Congrès américain. regulateur-bancaire-americain--22692400/

Juillet 2016 : La Russie pourrait très bientôt publier les emails confidentiels d'Hillary Clinton

2751845.html

10 lescirconstance. sans-concurrence/# 11 `1XPpURV GH ŃMUPHV NMQŃMLUHV GH 2 j 6 ½ D0 ½ MYHŃ OH ŃRGHB `FRGH G·MŃŃqV j GHV MSSOLŃMPLRQV VHQVLNOHV GH 1 j D ½B `.LP GH UMŃNHP LQIRUPMPLTXH 100 ½B `9HQPH GH YLUXV GH 100 j 2 000 ½B `IRŃMPLRQ G·XQ Botnet 8 ½ SRXU XQH heure. `Attaque GG26 GH D00 j 1 D00 ½B `2XPLO G·HQYRL MŃŃRPSMJQp GH ŃD PLOOLRQV G·MGUHVVHV GH PHVVMJHULH 140 ½ Ń20 PLOOLRQV G·MGUHVVHV GH PHVVMJHULH 3D0 ½ `GRVVLHU ŃRPSOHP G·XQH SHUVRQQH SO\VLTXH D0 ½ `IRJLŃLHO G·HVSLRQQMJH VRSOLVPLTXp D0 000 ½ `%MVHV GH GRQQpHV G·HPMLOV GH PRXV P\SHV GH 100 j 10

Un dossier médical serait revendu 50 dollars

(estimations actuelles entre 50 et 250$) contre une trentaine de dollars pour des codes de carte bancaire 12 13 technologiesnumériques 14 14 communications! développement

AlorslesystèmeV·MGMSPHetfaitusage"

15 16 17 18 deshackersprésuméschinois. 19 inquiétés. www.zataz.com 20 radiothérapie. 21

Des hackers russes dérobent 600 000 données personnelles de patients d䇻une Institution de santé américaine ²

Juillet 2016

La société américaine spécialisée en sécurité, InfoArmor, vient de révéler un vol massif de données de patients

américains, dont ont été victimes les Institutions de santé américaines. Le vol perpétré par un groupe de hackers

russes concernerait près de 600 000 données personnelles de patients américains. 22
L䇻assureur américain Anthem, la mutuelle outre-Atlantique PremeraBlue

FURVV RX OH OMNRUMPRLUH IUMQoMLV I$%H2"

23
Le matériel médical est trop sensible aux cyber-attaques selon la FDA

La FDA a publié un communiqué pour rappeler aux professionnels de la santé américains les dangers pouvant

SURYHQLU GH SLUMPMJHVB I·RUJMQLVPH MSSHOOH MLQVL j XQH YLJLOMQŃH H[PUrPH HP XQH PHLOOHXUH SURPHŃPLRQ GHV

équipements médicaux. Tous les appareils, du Pacemaker au scanner Rayons X peuvent être piratés et peuvent ainsi

présenter un danger pour les patients. 24
LES ETABLISSEMENTS DE SANTÉ ET LA SÉCURITÉ

Un hacker parvient à pirater un pacemaker

Expert en sécurité informatique chez IO Active, Barnaby Jack Barnaby V·HVP OLYUp j XQH

démonstration plutôt inquiétante lors du congrès Breakpoint2012, PHQGMQP j PRQPUHU TX·LO HVP

possible de pirater un stimulateur cardiaque à distance.

Installé j XQH GL]MLQH GH PqPUHV GH O·MSSMUHLO PpGLŃMO HP PXQL XQLTXHPHQP G·XQ RUGLQMPHXU

SRUPMNOH %MUQMN\ -MŃN M UpXVVL j OXL HQYR\HU SOXVLHXUV GpŃOMUJHV GH 830 YROPV ŃH TXL V·LO MYMLP pPp

porté par un être humain aurait provoqué une crise cardiaque. IRUV GH VM GpPRQVPUMPLRQ O·H[SHUP M H[SOLTXp rPUH SMUYHQX j VH SURŃXUHU OHV GRQQpHV confidentielles des porteurs de stimulateurs cardiaques distribués par une grande marque, dont il

Q·M SMV GRQQp OH QRPB *UkŃH j ŃHV GRQQpHV LO M SX HQVXLPH LPSOMQPHU XQ ORJLŃLHO ŃRUURPSX GHVPLQp j

SHUPXUNHU OH IRQŃPLRQQHPHQP QRUPMO GH O·MSSMUHLO PpGLŃMOB

Une démonstration destinée à prévenir les entreprises concernées de la nécessité de développer

OHXU Ń\NHUVpŃXULPp IMŃH MX[ ULVTXHV G·"assassinat anonyme». un-pacemaker/ 25
LES ETABLISSEMENTS DE SANTÉ ET LA SÉCURITÉ Les hackers veulent faire des gains rapidement et les internautes lambdasont ceux dont le système informatique est le moins sécurisé. Le développement des objets connectés les met aussi en danger. Ceux de la maison permettent par exemple aux hackers de savoir si vous êtes chez vous et si vous êtes seul ou non, en IRQŃPLRQ GH OM ŃRQVRPPMPLRQ GH YRPUH NMOORQ G·HMX

ŃOMXGH RX G·pOHŃPULŃLPpB

Les objets connectés dans le domaine de la santé présentent également des risques. Dans un rapport, Europol mentionnait que les objets connectés étaient un nouveau terrain de jeu etprédisait un premier meurtre par hacking. Récemment, Dick Cheney lui-PrPH O·MQŃLHQ YLŃH- président des Etats-Unis, a fait désactiver la fonction sans

ILO GH VRQ SMŃHPMNHU GH SHXU G·rPUH SLUMPpB

26
LES ETABLISSEMENTS DE SANTÉ ET LA SÉCURITÉ LES ETABLISSEMENTS DE SANTÉ ET LA SÉCURITÉ 27
l'arrêtercomplètement. LES ETABLISSEMENTS DE SANTÉ ET LA SÉCURITÉ 28
publicetdisponible. LES ETABLISSEMENTS DE SANTÉ ET LA SÉCURITÉ 29

Hackers:votresantélesintéresse

O·H[PpULHXUdeslocauxhospitaliers.

LES ETABLISSEMENTS DE SANTÉ ET LA SÉCURITÉ 30
est"connecté»àinternet. cettenature. médicalessontstockéessurleweb. enpleinmilieudelaprocédure crucialenpleinmilieudeO·RSpUMPLRQ 31
LES ETABLISSEMENTS DE SANTÉ ET LA SÉCURITÉ congrèsdel'APSSIS. 32
LES ETABLISSEMENTS DE SANTÉ ET LA SÉCURITÉ

La Loi (Droit des Patients, Santé, Programmation Militaire, Renseignement) ²la CNIL ²les Normes

Stratégie : ANSSI ²Ministère de la Santé ²DGOS ²ASIP Santé ²ARS & GCS Tactique : Gouvernance SSI -PSSI ²Chartes ²Acculturation aux bonnes pratiques

Terrain : VOUS

Contrôle : RSSI ²Certifications HAS ²Audits DGOS ²CNIL ²Certification des comptes ²ISO 27XXX

33
`LadisponibilitédesSI autresadministrations. performance. desactions,lecontrôledesusages 34
35
`Réputation / image ŃGH O·pYpQHPHQP TXL QH SRUPH SMV MPPHLQPH j O·LPMJH GH O·pPMNOLVVHPHQP MX rejet définitif des patients pour un établissement `Social & organisation ŃGH OM JqQH SRQŃPXHOOH j O·MUUrP SURORQJp GH PRXPH MŃPLYLPp GH VRLQV ŃDe la démotivation du personnel au conflit social `Financier ŃGH OM SHUPH VMQV LPSMŃP VLJQLILŃMPLI j ŃHOOH UHPHPPMQP HQ ŃMXVH O·pTXLOLNUH

ILQMQŃLHU GH O·pPMNOLVVHPHQP

`Responsabilité / juridique ŃGH O·MIIMLUH ŃOMVVpH VMQV VXLPH j OM ŃRQGMPQMPLRQ SpQMOH RX ULVTXHV judiciaires `Patient

ŃGH O·LQŃRQIRUP MX GpŃqV

36
37

Protection des

données à caractère personnel (Loi n°78-17 du 6 janvier 1978 ou loi "Informatique et Libertés»)

Protection de la propriété intellectuelle

(Code de la Propriété Intellectuelle)

Protection du secret professionnel,

dont le secret médical (art 226-13/14/15 du Code Pénal, code du Travail)

Secret descorrespondances,

respect de la vie privée (Article 9 du Code Civil)

Lutte contre la fraude informatique

(art 323-1 à 323-7 du Code Pénal, Loi "Godfrain»)

Lutte contre la délinquance et le terrorisme

Loi anti-terrorisme de 2006, Loi d'Orientation et de Programmation pour la Sécurité Intérieure (LOPSI), Plan Piranet

Contrôle financier

(Loi de sécurité financière)

Sécurité des communicationsInternet

(Code des postes et des communications électroniques, Loi pour la confiance dans l'économie numérique, Loi Création et Internet)

Protection de l'ordre public

(article 227-24 du Code Pénal) Protection des données de santé à caractère personnel

Article L1111-8 du Code de la santé publique

Accès illicite à des données, falsification de documents, modification de données

D MQV GH SULVRQ HP 300 000 ½

(article 452-5 du Code pénal / Loi Godfrain) Divulgation du ŃRQPHQX G·XQH ŃRUUHVSRQGMQŃH SULYpH1 MQ GH SULVRQ HP 4D 000 ½ (article 226-15 du Code pénal) Divulgation de données à caractère personnel ²Sur des HVSMŃHV SXNOLŃV RX VXLPH j O·MPPULNXPLRQ GH GURLPV QRQ conformes

D MQV GH SULVRQ HP 300 000 ½

(articles 226-21 et 323-2 du Code pénal / Loi

Informatique et Libertés)

Ces sanctions peuvent venir compléter des sanctions disciplinaires internes

3URSMJMPLRQ G·XQ YLUXV NORŃMJH GH ŃRPSPHV

informatiques

D MQV GH SULVRQ HP 7D 000 ½

(article 323-2 du Code pénal / Loi Godfrain) Téléchargement de fichiers protégés (musique, films), copie illicite de logiciels

3 MQV GH SULVRQ HP 300 000 ½ (articles

122-4, 335-3 du Code de la propriété

Intellectuelle)

38
39
40
YAssurer la disponibilitédes systèmes informatiques, pour une continuité de fonctionnement de nos applications métiers YAssurer la fiabilité et la traçabilité des actions réalisées avec les applications médicales YÉviter la fuite de nos informations sensibles en assurant leur confidentialité EQ SMUPLŃXOLHU OHV GRQQpHV GH VMQPp GH QRV SMPLHQPV MLQVL TXH OHV GRQQpHV GH O·HQVPLPXPLRQ I·LQIRUPMPLTXH HVP GH SOXV HQ SOXV XPLOLVpH HQ PLOLHX ORVSLPMOLHU HP HVP GHYHQXH LQGLVSHQVMNOH SRXU MVVXUHU OHV MŃPLYLPpV GH O·O{SLPMO. Les personnels techniques ont un rôle particulier à jouer en matière de VpŃXULPp GH O·LQIRUPMPLRQ SMU OHXUV PLVVLRQV HP OHXUV UHVSRQVMNLOLPpVB IHV Chefs de Projets, souvent au centre, ont une position particulière favorable. 41

Juridique et conformitéOrganisationnel

ÎDégradation du climat

social

ÎFermeture

administrative

ÎDésorganisation

interne

ÎAtteinte à la

confidentialité des données

ÎNon-respect du secret

médical

ÎSanctions légales

(civiles et pénales)

ÎInfractions à la

réglementation du domaine de la Santé

ÎMise en danger de

patients ÎÉvènements indésirablesNon-respect du secret professionnel

ÎCoûts supplémentaires

de fonctionnement, de reconstruction en cas de dégradation du matériel

ÎPerte financière /

manque à gagner

ÎPerte de confiance des

patients et des partenaires

ÎPublications négatives

dans la presse

Économique

Atteinte à la santé des

patients 42
`www.ssi.gouv.fr `Les référencements et labellisations `Les guides techniques et méthodologiques 43
`www.esante.gouv.fr `Rubrique PGSSI ²

Documents validés

44
45
46

(QVHPNOH GH QRUPHV SRXU OM ŃRQŃHSPLRQ HP OM PLVH HQ ±XYUH G·XQ V\VPqPH GH JHVPLRQ GH OM VpŃXULPp GH

O·LQIRUPMPLRQ

47

RH-CONF:personneldeconfiance.

rappelées. 48

ORG-TIERS:gestioncontractuelledestiers

INT-PRES-CS:clausesdesécurité

EXP-CI-OS:systèmesG·H[SORLPMPLRQ.

49
50

LaPSSI

lancer! exigencesdesnormesetcertifications tiers métiers(PRA,PCAMétiers) danslesystèmeenconstruction 51

LaChartedebonusageduSI

déontologie

PourrépondreauxexigencesdelaLoi

messagerieélectronique,surlesespaces numériquesàdisposition

UnchampG·MSSOLŃMPLRQdéfini

Uneopposabilitéjuridique

Dessanctionsgraduellesencasdenonrespect

52

Statuts du Chef de Projet : Son rôle central ²Un observateur privilégié ²Un pouvoir délimité actif

Pertinence de son rôle : Application intelligente des règles ²Pédagogie ²IMQŃHXU G·MOHUPHV

Analyser les risques en amont, pendant et en aval

Statuts des Ingénieurs, Techniciens et Experts des Technologies biomédicales :Rôles ² Responsabilités -Un pouvoir délimité actif

Pertinence des rôles :Application intelligente des règles ²Pédagogie ²Indicateurs et Reporting ²

IMQŃHXU G·MOHUPHV

53

3. Vous sur le terrain : vos pouvoirs, vos

organisations, vos responsabilités 54
54
GLVSRVHQP GH GURLPV pPHQGXV VXU OHV 6\VPqPHV G·HQIRUPMPLRQ

5LVTXH GH IXLPH G·LQIRUPMPLRQV sensibles et de

données personnelles

Par ses missions et responsabilités,

OH SHUVRQQHO ŃOMUJp GH OM PLVH HQ ±XYUH GHV V\VPqPHV G·LQIRUPMPLRQ

5LVTXH G·XPLOLVMPLRQ MNXVLYH GH PMQLqUH

intentionnée ou non) de ces droits, ou

G·XVXUSMPLRQ SMU XQ PLHUV A

Risque de perturbation des activités

médicales en ŃMV G·LQŃLGHQP GRLYHQP SURPpJHU OHV GRQQpHV GH O·pPMNOLVVHPHQP GHV MJHQPV HP GHV SMPLHQPV HQ PHUPH GH ŃRQILGHQPLMOLPp HP G·LQPpJULPp Jouent un rôle prépondérant dans le bon fonctionnement des

6\VPqPHV G·HQIRUPMPLRQ HP GMQV OH PMLQPLHQ GH OHXU VpŃXULPp j XQ

niveau optimal

Risque G·MPPHLQPH MX VHŃUHP professionnel

2QP OM SRVVLNLOLPp PHŃOQLTXH G·MŃŃpGHU j GHV GRQQpHV sensibles,

mais ne doivent y accéder que dans le cadre de leur activité professionnelle

Votre mission

Assurer la qualité de service, la sécurité et la bonne utilisation des ressources informatiques

Votre obligation

Respecter les règles de déontologie de

O·HQVPLPXPLRQ GMQV OH ŃMGUH GH O·H[HUŃLŃH GH vos fonctions

Votre devoir

Dénoncer les crimes et délits (obligation

légale) Par exemple: ouverture de correspondances privées, LQPUXVLRQ VXU OH 6H XVXUSMPLRQ G·LGHQPLPp modification ou falsification de traces, contrefaçon (copie de MP3 ou de films"

Par exemple: se tenir à son strict devoir de

confidentialité, protéger la vie privée des personnes et le secret des correspondances

Pour rappel, vous êtes responsable de

O·XVMJH TXH YRXV IMLPHV GHV UHVVRXUŃHV

informatiques 55

9Suis-je légitime pour accéder aux informations que je suis sur le point de consulter ?

9Ces informations sont-elles authentiques?

9Les informations que je gère actuellement sont-elles confidentiellespour moi, nos

SMPLHQPV RX SRXU O·HQVPLPXPLRQ? Par exemple, relèvent-elles du secret médical ?

9Les actions que je suis sur le point d'exécuter sont-elles de nature à me nuire, à nuire

j QRV SMPLHQPV RX j O·HQVPLPXPLRQ?

9Est-ce que je prends les mesures appropriées pour protéger ces informations ?

9Ai-je des incertitudesquant à la manière de gérer cette situation délicate ? Si oui, ai-je

sollicité le personnel approprié (mon supérieur hiérarchique, le 566H" pour P·MLGHU " 56

Sonpositionnementprivilégié

9UnrôlecentralentrelesMOAetlesMOE

9Unpiedchezlesmétiers,unautrechezles

Directionsfonctionnellesettechniques

9Unobservateurpertinentdescomportements

maisunpouvoirquandmême!

O·HQVHPNOHdusystème.

57

Sonrôleopérationnel

O·pTXLOLNUHduprojet

9Solliciterdesarbitragessibesoin

lancement?

WAN...)?

58

I·$QMO\VHdesRisques:un

processusindispensable,une ressourcepourleChefdeProjet Contribue à une meilleure maitrise des risques et une augmentation du niveau de sécurité 59
ÎFaire de la sécurité "avant» et non "aprèsª " OHV SURNOqPHV A Améliorer le niveau global de Sécurité du SI en prenant en compte les besoins de sécurité dès le début du projet

Optimiser les coûts

en adoptant un niveau de sécurité en adéquation avec lesquotesdbs_dbs32.pdfusesText_38

[PDF] BASES DE L ENTRAINEMENT PHYSIQUE EN PLONGEE

[PDF] DEFINITION D UN PROJET

[PDF] ENTENTE DE RECONNAISSANCE MUTUELLE

[PDF] Réseau des Référents Handicap des Entreprises Nationales et d Ile de France

[PDF] HISTORIQUE ET PRESENTATION DU CADRE JURIDIQUE DES SFD DANS LA ZONE UMOA

[PDF] Intégration de la simulation dans une stratégie d apprentissage de la sécurité

[PDF] LICENCE ASTER. PARCOURS en bicursus ASTER «Arabe Sciences de la Terre»

[PDF] Le projet d organisation du programme PRADO ( CPAM/DRSM)

[PDF] Votre contact : 1/13 Accueil Groupes Mineurs - Eté 2015

[PDF] 1. RENSEIGNEMENTS RELATIFS AU DEMANDEUR (1 page maximum)

[PDF] MASTER 2 PROFESSIONNEL : DEVELOPPEMENT DES RESSOURCES HUMAINES. Année universitaire 2014/2015 INTERLOCUTEURS

[PDF] Règlement d organisation pour le projet de coopération «E-lib.ch Bibliothèque électronique suisse»

[PDF] DEVENEZ JUGE CCE. Rectificatif applicable au 1 er Janvier 2015

[PDF] Windows 10 Livre de référence

[PDF] Bilan d émissions de Gaz à Effet de Serre (GES) de BAYER SANTE SAS SIREN : 706 580 149