Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Cybersécurité & diabète

327 views

Published on

Réunion annuelle Réseau Pompe Diabète Provence 2018 - Les nouveaux dispositifs liés à la prise en charge du diabète présentent ils toutes les conditions de sécurité?

Published in: Health & Medicine
  • Be the first to comment

  • Be the first to like this

Cybersécurité & diabète

  1. 1. Cybersécurité & diabète Réunion annuelle Réseau Pompe Diabète Provence 2018
  2. 2. Les menaces Dr Arnaud Depil Duval - Urgences Evreux Vernon
  3. 3. Types de menaces Perturbation des soins / services (y compris le risque de décès d’un patient) Fraudes pour induire le personnel soignant en erreur avec des emails trompeurs (spoof email) ou faux sites web afin d’obtenir des informations d’identification de connexion ou installer des logiciels malveillants (malware) Menaces internes (insider threat) intentionnelle ou non intentionnelle, qui peuvent constituer un danger significatif en raison de la position de confiance au sein d’une organisation Perte de données sur les patients - en particulier les données électroniques de santé protégées (electronic Protected Health Information - ePHI) Violation de données, exfiltration d’information et perte d’actifs Chantage, extorsion et contrainte par l’exploitation de données sensibles exfiltrées Vol de propriété intellectuelle (Intellectual Property - IP) Dr Arnaud Depil Duval - Urgences Evreux Vernon
  4. 4. Qui sont les criminels? Hackers Opérateurs de réseau de robot Groupes criminels Agences de renseignement étrangères Initiés Hameçonneurs (Phishers) Spammeurs Auteurs de logiciels espions / malveillants (spyware/malware) Terroristes Espions industriels Spéculateurs Dr Arnaud Depil Duval - Urgences Evreux Vernon
  5. 5. Agents vulnérants • Malware (logiciel malveillant) : • Virus : replication et propagation en se cachant dans un programme • Ver : envoi d’une copie vers une autre machine • Cheval de Troie • Spyware (logiciel espion)
  6. 6. Agents vulnérants (2) • Ransomware (rançongiciel) : • Cryptage des données • Chantage • Demande de rançon • Wannacry, Winlock, etc. • 120000 logiciels référencés en 2012
  7. 7. Dr Arnaud Depil Duval - Urgences Evreux Vernon Mythe ou réalité?
  8. 8. Une menace bien réelle • Anatomy of an Attack – Medical Device Hijack 2 • USA depuis 2009, 1286 incidents pour 28 milliards € • Hôpitaux : 6% du budget consacré à la cybersécurité (industrie : 16%) Dr Arnaud Depil Duval - Urgences Evreux Vernon
  9. 9. Cyber attaque NHS • Rançongiciel Wannacry • 300$ en bitcoin (non traçable) pour déverrouiller • 24 heures de black out Dr Arnaud Depil Duval - Urgences Evreux Vernon
  10. 10. Multiples attaques • Ransonware Samsam : 44.000$ • 300% de Ransomware depuis 2012 • Et les dispositifs médicaux? Dr Arnaud Depil Duval - Urgences Evreux Vernon
  11. 11. Attaque indirecte
  12. 12. Spéculateurs • Medsec dénonce les failles des pacemakers St Jude • Les actions St Jude chutent • Medsec achète les actions St Jude… Dr Arnaud Depil Duval - Urgences Evreux Vernon
  13. 13. Cyber attaque et santé Dr Arnaud Depil Duval - Urgences Evreux Vernon
  14. 14. Pourquoi attaquer la santé? Peu protégée Coordonnées bancaire et sécurité sociale Rançon Dr Arnaud Depil Duval - Urgences Evreux Vernon
  15. 15. Cyberattaque et diabète Dr Arnaud Depil Duval - Urgences Evreux Vernon
  16. 16. Cyberattaque et diabète • Objectifs : • Rançon • Sabotage industriel • Homicide
  17. 17. Hacker Halted 2011 Antenne radio (100$) Récupération données Modification des informations transmises par la sonde en vue d’administrer une surdose Envoi de commandes radio directement à la pompe pour modifier les doses injectées sans passer par les capteurs Dr Arnaud Depil Duval - Urgences Evreux Vernon
  18. 18. Les Hackers (connus…) Dr Arnaud Depil Duval - Urgences Evreux Vernon
  19. 19. Un risque non négligeable… Dr Arnaud Depil Duval - Urgences Evreux Vernon
  20. 20. Faille de sécurités 2016 • Johnson & Johnson pompes One Touch Ping • Injection d’une dose sans contrôle • Redémarrage de 14.000 appareils Dr Arnaud Depil Duval - Urgences Evreux Vernon
  21. 21. Pourquoi attaquer les dispositifs médicaux? Dr Arnaud Depil Duval - Urgences Evreux Vernon
  22. 22. Failles de sécurité • Systèmes d’exploitation anciens • Protection faible • Pas de mise à jour vis-à-vis des nouvelles menaces Dr Arnaud Depil Duval - Urgences Evreux Vernon
  23. 23. Des dispositifs fragiles • Limitation des évolution de sécurité du fait des autorisations • Peu d’évolution après vente • Matériel à cycle de vie long • Pas de moyen de détection / réparation Dr Arnaud Depil Duval - Urgences Evreux Vernon
  24. 24. Les dispositifs pilotés par smartphone Dr Arnaud Depil Duval - Urgences Evreux Vernon
  25. 25. Le smartphone un dispositif médical? • Utilisation du smartphone comme interface • Pilote • Calculateur • Non soumis à la norme dispositif medical • Failles de sécurité Dr Arnaud Depil Duval - Urgences Evreux Vernon
  26. 26. Bluetoodeath • Accès de proximité • Objets connectés peu sécurisés • Passerelle vers la pompe ou le lecteur Dr Arnaud Depil Duval - Urgences Evreux Vernon
  27. 27. Se protéger contre les cyberattaques Dr Arnaud Depil Duval - Urgences Evreux Vernon
  28. 28. Quelques règles • Préférer les modèles avec télécommande dédiée • Eviter l’accès internet • Eviter le Bluetooth • Préférer l’accès filaire Dr Arnaud Depil Duval - Urgences Evreux Vernon
  29. 29. Industrie Une prise de conscience nécessaire Dr Arnaud Depil Duval - Urgences Evreux Vernon
  30. 30. Cybersécurité • Pas de prise de conscience • Politique de l’autruche ; Medtronics « Le très faible risque d'attaque malveillante doit être mis en regard des nombreux bénéfices » • Défaut d’anticipation Dr Arnaud Depil Duval - Urgences Evreux Vernon
  31. 31. La solution? Dr Arnaud Depil Duval - Urgences Evreux Vernon
  32. 32. FDA • Cybersecurity for Networked Medical Devices Containing Off-The Shelf (OTS) Software • Responsabilité du fabricant • Norme UL-2900 : • Norme pour la cybersécurité logicielle des dispositifs connectables à un réseau • Exigences particulières pour les systèmes de santé Dr Arnaud Depil Duval - Urgences Evreux Vernon
  33. 33. Lutter • Renforcer l’authentification mutuelle des sondes de glycémie et des pompes à insuline • Chiffrer les signaux échangés afin de les rendre illisibles en cas d’interception Dr Arnaud Depil Duval - Urgences Evreux Vernon
  34. 34. Dr Arnaud Depil Duval - Urgences Evreux Vernon
  35. 35. Dr Arnaud Depil Duval - Urgences Evreux Vernon

×