TOP 10 DES FAILLES DE SÉCURITÉ

Jean-François Baillette, ITrust

Est un Acteur innovant

dans la Surveillance

et l’ Amélioration continue

de la Sécurité des Systèmes d’Information.

Expertise en SSI – Produits – Centre de sécurité

Présentation

Aeronautics/Engineering Bank Healthcare

Food in

dustry

SME/Association Leading IT

provider Education

Présentation

Cadre général de la Sécurité des SI

D : Disponibilité

I : Intégrité

C : Confidentialité

P : Preuve

Cadre général de la Sécurité des SI

Disponibilité

Un ami urgentiste m’a dit dernièrement que:

Soigner les malades n’est pas une difficulté,

Trouver des lits disponibles en spécialité … c’est moins évident

Intégrité

Les équipes des hôpitaux sont formées à l’Identito-vigilance, la pharmaco-vigilance,

"La peur en code barres » dans le livre de Cédric Cartau décrit une situation où 2 enfants échangent leur bracelets

Cadre général de la Sécurité des SI

Confidentialité

Serment d'Hippocrate et celui de l'ordre apportent un respect à la personne humaine et la notion d'intimité,

Versus OpenData et objets connectés…

Preuve

Il existe d’excellentes raisons métier et médico-légales pour que les processus de stérilisation soient parfaitement contrôlés de bout en bout

Cadre général de la SSI - SPOF

Single Point Of Failure

Le grain de sable

Les accidents n’arrivent pas toujours là où on s’y attend et où on aurait vu du risque

Exemple du CHU de Nantes : pour des raisons de licence périmée, l’imprimante codes barre pour plateaux repas ne fonctionne plus et provoque une rupture de la chaîne d'approvisionnement des 3000 lits de l’hôpital.

Avez-vous des vulnérabilités ?

Vos vulnérabilités menacent-elles :

La disponibilité de votre SI ? (Si le réseau tombe que se passe-t’il ?)

L’intégrité des informations ou … des patients? (Pompes à insuline, pace maker)

La confidentialité des informations qui vous sont confiées ? (Bases de données ou équipements avec mots de passe par défaut)

Votre capacité à établir des preuves ? (Altération de logs, suppression de fichiers, …)

90% de chances …

Que notre équipe rentre chez vous avec seulement 10 clefs …

Constat

75% C’est le taux d’entreprises piratées au cours

des 2 dernières années (Source étude Cenzic).

Ce taux atteint 90% sur les statistiques de nos audits.

La plupart du temps les entreprises ne savent même pas qu’elles sont piratées.

Constat

115 audits depuis 2007

TOP Ten

Les 10 failles de sécurité les

plus fréquemment

rencontrées…

10, 09, 08, …

• 10 Systèmes trop verbeux : DNS

• 09 - Relations de confiance

• 08 – Gestion des droits

telnet, .rhosts, hosts.equiv, …

Exemple du stagiaire qui a souvent plusieurs maîtres de stages et … tous leurs droits …

07, 06, 05 …

07 Protocoles d’administration

Avec SNMP on peut arrêter un onduleur … pourquoi pas le bloc opératoire ?

06 Bases de données

Mot de passe d’origine

0000 (pour ne pas oublier)

05 Partage de fichiers

Le plus souvent sans restriction …

04, 03, 02 …

04 Serveurs de test ou à l’abandon

Contiennent de nombreuses

informations exploitables

Voire des informations confidentielles

03 : Vulnérabilités web/internet

Cookies avec mots de passe en clair

Caméras de vidéo-surveillance utilisables

02 : Mots de passe

1234

Sous le clavier

Ou dans un fichier

01 – Vulnérabilités Historiques

Vulnérabilités connues

Quasiment 100% de présence

Problématique la plus facile à exploiter et à automatiser

Il suffit de mettre à jour les systèmes et applications pour s’en prémunir.

Responsables de la plupart des exploitations dans l’actualité

Exemple du Playstation Network – Conficker dans les hôpitaux

Conclusion

Plus de 9 fois sur 10 nous pénétrons un système au cours d’un audit – à partir d’une vulnérabilité de ce top 10.

75% C’est le taux d’entreprises piratées au cours des

2 dernières années.

97% Des attaques auraient pu être évitées par des

contrôles simples ou intermédiaires (Source Verizon).

Un outil de détection de services et de vulnérabilités automatisé permet d’identifier la majeure partie de ces menaces.

Bonne nouvelle :

99% des failles de sécurité peuvent être corrigées très facilement

…Et ne sont pas traitées par les antivirus et firewalls !

2ème bonne nouvelle :

C’est comme les lunettes, la première paire est gratuite !

Elle vous permet une auto-évaluation en continu.

A quoi ça sert ?

A piloter le processus de sécurité

Vue Destinataire Indicateurs

Stratégie DG/DSI - % du budget SSI dans le budget SI - Nombre de plaintes - Nombre d’évènements indésirables - % utilisateurs formés

Pilotage DSI - Nombre d’incidents majeurs - Couverture des risques - Avancements des projets / mesures SSI

Opérationnels DSI-OP - Nombre d’incidents de sécurité - Taux de vulnérabilité des architectures - Taux de couverture antimalware - Taux de conformité du parc PC

By courtesy of Stéphane Duchesnes, RSSI CHU Bordeaux

Qui peut aider ?

Souvent le salut vient de la réglementation.

Les incitatifs sont forts dans hôpital numérique avec des bénéfices à la clef

Le contrôle est rendu obligatoire, c’est une tendance forte dans les normes et guides

Guide d’hygiène sur la sécurité de l’ANSSI

20 contrôles de sécurité du SANS

Norme santé HDS – publications de l’ASIP

Travaux des RSSI, des GCS, …

ISO 27001…

Qui peut aider ?

Le GCS TéléSanté Centre est un outil à disposition de ses adhérents pour les accompagner dans leur démarche.

TéléSanté Centre propose un service d'audit flash de sécurité permettant d'aider les établissement à faire leur autoévaluation en termes de maturité Sécurité des SI.

Questions ?

ITrust - Siège Social

55 Avenue l’Occitane,

BP 67303

31673 Labège Cedex

+33 (0)5.67.34.67.80

contact@itrust.fr

www.itrust.fr

www.ikare-monitoring.com