jean-françois baillette, top 10 des failles de sÉcuritÉ
TRANSCRIPT
TOP 10 DES FAILLES DE SÉCURITÉ
Jean-François Baillette, ITrust
Est un Acteur innovant
dans la Surveillance
et l’ Amélioration continue
de la Sécurité des Systèmes d’Information.
Expertise en SSI – Produits – Centre de sécurité
Présentation
Aeronautics/Engineering Bank Healthcare
Food in
dustry
SME/Association Leading IT
provider Education
Présentation
Cadre général de la Sécurité des SI
D : Disponibilité
I : Intégrité
C : Confidentialité
P : Preuve
Cadre général de la Sécurité des SI
Disponibilité
Un ami urgentiste m’a dit dernièrement que:
Soigner les malades n’est pas une difficulté,
Trouver des lits disponibles en spécialité … c’est moins évident
Intégrité
Les équipes des hôpitaux sont formées à l’Identito-vigilance, la pharmaco-vigilance,
"La peur en code barres » dans le livre de Cédric Cartau décrit une situation où 2 enfants échangent leur bracelets
Cadre général de la Sécurité des SI
Confidentialité
Serment d'Hippocrate et celui de l'ordre apportent un respect à la personne humaine et la notion d'intimité,
Versus OpenData et objets connectés…
Preuve
Il existe d’excellentes raisons métier et médico-légales pour que les processus de stérilisation soient parfaitement contrôlés de bout en bout
Cadre général de la SSI - SPOF
Single Point Of Failure
Le grain de sable
Les accidents n’arrivent pas toujours là où on s’y attend et où on aurait vu du risque
Exemple du CHU de Nantes : pour des raisons de licence périmée, l’imprimante codes barre pour plateaux repas ne fonctionne plus et provoque une rupture de la chaîne d'approvisionnement des 3000 lits de l’hôpital.
Avez-vous des vulnérabilités ?
Vos vulnérabilités menacent-elles :
La disponibilité de votre SI ? (Si le réseau tombe que se passe-t’il ?)
L’intégrité des informations ou … des patients? (Pompes à insuline, pace maker)
La confidentialité des informations qui vous sont confiées ? (Bases de données ou équipements avec mots de passe par défaut)
Votre capacité à établir des preuves ? (Altération de logs, suppression de fichiers, …)
90% de chances …
Que notre équipe rentre chez vous avec seulement 10 clefs …
Constat
75% C’est le taux d’entreprises piratées au cours
des 2 dernières années (Source étude Cenzic).
Ce taux atteint 90% sur les statistiques de nos audits.
La plupart du temps les entreprises ne savent même pas qu’elles sont piratées.
Constat
115 audits depuis 2007
TOP Ten
Les 10 failles de sécurité les
plus fréquemment
rencontrées…
10, 09, 08, …
• 10 Systèmes trop verbeux : DNS
• 09 - Relations de confiance
• 08 – Gestion des droits
telnet, .rhosts, hosts.equiv, …
Exemple du stagiaire qui a souvent plusieurs maîtres de stages et … tous leurs droits …
07, 06, 05 …
07 Protocoles d’administration
Avec SNMP on peut arrêter un onduleur … pourquoi pas le bloc opératoire ?
06 Bases de données
Mot de passe d’origine
0000 (pour ne pas oublier)
05 Partage de fichiers
Le plus souvent sans restriction …
04, 03, 02 …
04 Serveurs de test ou à l’abandon
Contiennent de nombreuses
informations exploitables
Voire des informations confidentielles
03 : Vulnérabilités web/internet
Cookies avec mots de passe en clair
Caméras de vidéo-surveillance utilisables
02 : Mots de passe
1234
Sous le clavier
Ou dans un fichier
01 – Vulnérabilités Historiques
Vulnérabilités connues
Quasiment 100% de présence
Problématique la plus facile à exploiter et à automatiser
Il suffit de mettre à jour les systèmes et applications pour s’en prémunir.
Responsables de la plupart des exploitations dans l’actualité
Exemple du Playstation Network – Conficker dans les hôpitaux
Conclusion
Plus de 9 fois sur 10 nous pénétrons un système au cours d’un audit – à partir d’une vulnérabilité de ce top 10.
75% C’est le taux d’entreprises piratées au cours des
2 dernières années.
97% Des attaques auraient pu être évitées par des
contrôles simples ou intermédiaires (Source Verizon).
Un outil de détection de services et de vulnérabilités automatisé permet d’identifier la majeure partie de ces menaces.
Bonne nouvelle :
99% des failles de sécurité peuvent être corrigées très facilement
…Et ne sont pas traitées par les antivirus et firewalls !
2ème bonne nouvelle :
C’est comme les lunettes, la première paire est gratuite !
Elle vous permet une auto-évaluation en continu.
A quoi ça sert ?
A piloter le processus de sécurité
Vue Destinataire Indicateurs
Stratégie DG/DSI - % du budget SSI dans le budget SI - Nombre de plaintes - Nombre d’évènements indésirables - % utilisateurs formés
Pilotage DSI - Nombre d’incidents majeurs - Couverture des risques - Avancements des projets / mesures SSI
Opérationnels DSI-OP - Nombre d’incidents de sécurité - Taux de vulnérabilité des architectures - Taux de couverture antimalware - Taux de conformité du parc PC
By courtesy of Stéphane Duchesnes, RSSI CHU Bordeaux
Qui peut aider ?
Souvent le salut vient de la réglementation.
Les incitatifs sont forts dans hôpital numérique avec des bénéfices à la clef
Le contrôle est rendu obligatoire, c’est une tendance forte dans les normes et guides
Guide d’hygiène sur la sécurité de l’ANSSI
20 contrôles de sécurité du SANS
Norme santé HDS – publications de l’ASIP
Travaux des RSSI, des GCS, …
ISO 27001…
Qui peut aider ?
Le GCS TéléSanté Centre est un outil à disposition de ses adhérents pour les accompagner dans leur démarche.
TéléSanté Centre propose un service d'audit flash de sécurité permettant d'aider les établissement à faire leur autoévaluation en termes de maturité Sécurité des SI.
Questions ?
ITrust - Siège Social
55 Avenue l’Occitane,
BP 67303
31673 Labège Cedex
+33 (0)5.67.34.67.80
www.itrust.fr
www.ikare-monitoring.com