Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Rencontre IRL Online : la e-santé et les enjeux de la cyber sécurité

98 views

Published on

Décryptage des enjeux de la cyber sécurité dans la e-santé en partenariat avec Oodrive

Published in: Health & Medicine
  • DOWNLOAD THE BOOK INTO AVAILABLE FORMAT (New Update) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://urlzs.com/UABbn } ......................................................................................................................... Download Full EPUB Ebook here { https://urlzs.com/UABbn } ......................................................................................................................... Download Full doc Ebook here { https://urlzs.com/UABbn } ......................................................................................................................... Download PDF EBOOK here { https://urlzs.com/UABbn } ......................................................................................................................... Download EPUB Ebook here { https://urlzs.com/UABbn } ......................................................................................................................... Download doc Ebook here { https://urlzs.com/UABbn } ......................................................................................................................... ......................................................................................................................... ................................................................................................................................... eBook is an electronic version of a traditional print book THE can be read by using a personal computer or by using an eBook reader. (An eBook reader can be a software application for use on a computer such as Microsoft's free Reader application, or a book-sized computer THE is used solely as a reading device such as Nuvomedia's Rocket eBook.) Users can purchase an eBook on diskette or CD, but the most popular method of getting an eBook is to purchase a downloadable file of the eBook (or other reading material) from a Web site (such as Barnes and Noble) to be read from the user's computer or reading device. Generally, an eBook can be downloaded in five minutes or less ......................................................................................................................... .............. Browse by Genre Available eBOOK .............................................................................................................................. Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, CookBOOK, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult, Crime, EBOOK, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, ......................................................................................................................... ......................................................................................................................... .....BEST SELLER FOR EBOOK RECOMMEND............................................................. ......................................................................................................................... Blowout: Corrupted Democracy, Rogue State Russia, and the Richest, Most Destructive Industry on Earth,-- The Ride of a Lifetime: Lessons Learned from 15 Years as CEO of the Walt Disney Company,-- Call Sign Chaos: Learning to Lead,-- StrengthsFinder 2.0,-- Stillness Is the Key,-- She Said: Breaking the Sexual Harassment Story THE Helped Ignite a Movement,-- Atomic Habits: An Easy & Proven Way to Build Good Habits & Break Bad Ones,-- Everything Is Figureoutable,-- What It Takes: Lessons in the Pursuit of Excellence,-- Rich Dad Poor Dad: What the Rich Teach Their Kids About Money THE the Poor and Middle Class Do Not!,-- The Total Money Makeover: Classic Edition: A Proven Plan for Financial Fitness,-- Shut Up and Listen!: Hard Business Truths THE Will Help You Succeed, ......................................................................................................................... .........................................................................................................................
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • Be the first to like this

Rencontre IRL Online : la e-santé et les enjeux de la cyber sécurité

  1. 1. Rencontre IRL Online 11 juin 2020 à 17h E-santé : la cyber sécurité au cœur des enjeux En partenariat avec
  2. 2. LES INTERVENANTS Dr Didier Mennecier Co-animateur du Club Digital Santé, Directeur des Systèmes d’Information et du Numérique (DSIN) au Service de Santé des Armées (SSA) Michael Michau Sales Team Leader – expert en protection de données de santé chez Oodrive
  3. 3. POSEZ VOS QUESTIONS VIA LE CHAT
  4. 4. Notre chemin… Cyberattaque… Cyberattaque… via les objets connectés Cyberattaque… contre les appareils médicaux Cyberattaque… contre les hôpitaux Cyberattaque… les moyens de lutte en France
  5. 5. Cyberattaques… Entreprise américaine NORSE, spécialisée en sécurité informatique → carte du monde interactive qui montre en temps réel, les attaques que subit ses « honeypots ». → Infime fraction des cyberattaques sur Internet Honeypot ou « pot de miel » : leurre informatique pour attirer des attaques sur serveurs. DDoS (distributed denial of service attack) : rendre indisponible un service par inondation du réseau par exemple http://norse-corp.com Attaque par dénis de service (DDoS) en juin 2014 de Facebook : indisponibilité du service pendant 1h
  6. 6. L'attaque informatique le 22/10/2016 → faille de sécurité présente sur des objets connectés (webcams, imprimantes, thermostats). Environ dix millions d’objets connectés, infectés par un virus, ont envoyé automatiquement des requêtes pour submerger les serveurs et provoquer un « déni de service » → la société américaine DYN. DYN Submergée, n’a plus pu faire face aux demandes du commun des internautes qui, tapant une requête dans leur barre d’adresse Internet, n'étaient pas redirigés vers le bon site → A rendu inaccessible PayPal, Twitter, etc. Cyberattaque… via les objets connectés
  7. 7. Cyber attaque… contre des pompes... Pirater une pompe à perfusion : FDA (Food and Drug Administration) en juillet 2015 ordonnait le retrait du marché des pompes à perfusion Symbiq de l’américain Hospira. Cet équipement qui permet de diffuser par voie veineuse aux malades des thérapeutiques possédait une faille de sécurité qui permettait de modifier à distance les doses de médicament injectées via le réseau Wifi de l'hôpital…
  8. 8. Cyber attaque… contre des pompes… Pirater une pompe à insuline : Le fabricant Animas du groupe Johnson & Johnson a averti en octobre 2016 les utilisateurs de ses pompes à insuline OneTouch Ping qu'une faille de sécurité pourrait permettre à un pirate « d'accéder de manière non autorisée à la pompe »… Jay Radcliffe, expert en sécurité (Diabétique) a mis en évidence que la communication entre le lecteur qui envoie le taux de glycémie à la pompe à insuline n’était pas chiffrée → usurper l'identité du lecteur et envoyer à la pompe de fausses informations.
  9. 9. Pirater un stimulateur cardiaque à distance…. En 2007, Dick Cheney, alors vice-président des Etats-Unis, a demandé à son cardiologue de désactiver la connexion sans fil de son pacemaker par crainte d’une intrusion malveillante. Cyberattaque… contre des appareils médicaux Pour le moment, aucun assassinat (re)connu n’a été perpétré par piratage de pacemaker… → Ces détails sont révélés dans un livre intitulé Heart, écrit à la fois par Cheney et son cardiologue
  10. 10. Pirater un stimulateur cardiaque à distance… Barnaby Jack en 2012 - Expert en sécurité informatique chez IO Active (Hacker white hat - chapeau blanc) - Installé à une dizaine de mètres d’un pacemaker et muni uniquement d’un ordinateur portable → envoyer plusieurs décharges de 830 volts. →Pacemakers contiennent une fonction secrète qui lui permet d’envoyer son modèle et son numéro de série ce qui permet de s'authentifier sur n'importe quel appareil… →Possible de charger un firmware corrompu dans le pacemaker… Cyberattaque… contre des appareils médicaux Homeland Saison 2 Episode 10
  11. 11. Cyberattaque… contre des appareils médicaux Porte d’entrée → Communications par radiofréquence du protocole de télémétrie Conexu destiné à collecter quotidiennement les données cliniques du patient, et à les télétransmettre au fabricant. - Aucune authentification nécessaire pour accéder… - Données pas cryptées… → Pirates peuvent induire une réponse inappropriée du dispositif en retour… Le centre d'intégration national de cybercriminalité et de communications (NCCIC) rattaché au département américain de la sécurité intérieure → faille de sécurité sur 16 modèles (750 000 défibrillateurs) Mars 2019 : Une faille de sécurité dans des défibrillateurs implantables Medtronic…
  12. 12. Août 2019 : La Food and Drug Administration (FDA) a ordonné le rappel de 500.000 pacemakers de l’entreprise Abbott… Cyberattaque… contre des appareils médicaux Failles de sécurité informatique qui permet… →Accéder à l’appareil en utilisant du matériel disponible dans le commerce… →Modifier les commandes du pacemaker en vidant rapidement la batterie… →Imposer un rythme cardiaque non approprié… Pacemakers de l’entreprise Abbott (ex-St. Jude Medical) Stimulateurs cardiaques portés par 40 000 patients en France…
  13. 13. Cyberattaque… contre les hôpitaux Pourquoi pirater un hôpital ? Pour les données de santé : nouvel eldorado des Hackers. Les numéros de sécurité sociale : plusieurs centaines de dollars chacun aujourd’hui, contre une quelques dollars pour un numéro de carte bancaire qui ne vaudra plus grand chose une fois le vol signalé. Sur le Dark Web : Base qui comprenait 9,3 millions de dossiers d’assurance-maladie de patients américains. Il était en vente pour 750 bitcoins, soit environ près de 500 000 euros…
  14. 14. Les « Ransomwares » Le Hollywood Presbyterian Medical Center en février 2016, un hôpital de Los Angeles, a été victime d'un programme malveillant (Malware) bloquant le réseau informatique pendant une dizaine de jours. Les données médicales de 900 patient ont également été dérobées. →Les hackers responsables du virus ont demandé 15 000 euros de rançon en bitcoins ? Cyberattaque… contre les hôpitaux Pendant 10 jours, l'hôpital a refusé de payer, demandant à son personnel de prendre toutes les notes sur papier. Mais problèmes ++ pour les laboratoires et imageries. Certains patients ont d'ailleurs dû être transférés dans les établissements des alentours.
  15. 15. Les « Ransomwares » Mai 2017: attaque WanaCry → National Health Service (NHS) - Royal London Hospital. Faille du système d’exploitation Windows publiée sur le DarkWeb par le groupe de pirates « Shadow Brokers » + tuto comment utiliser cette faille avec un programme malveillant « WanaCry ». Cyberattaque… contre les hôpitaux Sur les écrans d'ordinateurs du NHS on pouvait voir un message demandant le paiement de 300 dollars en bitcoins avec la mention : « Oups, vos dossiers ont été cryptés ».
  16. 16. A Singapour la base de données du groupe SingHealth Juillet 2018 a été hacké → Plus grand groupe d'établissements de santé de Singapour qui comprend quatre hôpitaux publics, cinq centres nationaux spécialisés et un réseau de neuf polycliniques Les hackers ont volé les dossiers médicaux appartenant à 1,5 million d'habitants de Singapour, représentant plus du quart de la population… → Le premier ministre, Lee Hsien Loong, était spécifiquement visé par cette attaque. Cyberattaque… contre les hôpitaux
  17. 17. Le Melbourne Heart Group en Australie : Février 2019 → Les pirates ont crypté les dossiers des patients dans une clinique de cardiologie de Melbourne dans le cadre d'une tentative de rançon. Les logiciels malveillants utilisés pour pénétrer dans le réseau de sécurité de l'unité venaient de la Corée du Nord ou de la Russie, mais l'origine des auteurs n'a pas été révélée… Cyberattaque… contre les hôpitaux
  18. 18. Encore plus récemment… La totalité des 120 établissements de santé du groupe privé Ramsay, générale de santé : Août 2019 → Les pirates ont attaqués le système de messagerie interne… probablement par « Phishing »… → Attaque la plus simple et la plus « rentable »… Cyberattaque… contre les hôpitaux
  19. 19. Novembre 2019… Le CHU de Rouen victime d'une cyberattaque, une enquête judiciaire a été ouverte : Les pirates ont attaqués probablement par « Phishing »… → Ransomware de 40 bitcoins, soit environ 300 000 euros… Cyberattaque… contre les hôpitaux
  20. 20. Cyberattaque… la santé est une cible Les secteurs touchés Source : Rapport spécial - FireEye 2020 - www.FireEye.fr
  21. 21. - 21 - Cyberprotection SSA Cyberdéfense Complète la Cyberprotection → Capacité opérationnelle de détection et de réaction aux attaques ainsi que de gestion de crise cybernétique (Cyber résilience) Protection des systèmes d'information →résistance face à des évènements susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données OLID OSSI Cyberattaque… les moyens de lutte en France
  22. 22. Cyberattaques : ce n’est que le début… - 758 millions de cyberattaques ont été lancées à travers le monde en 2016 - En 2017, deux fois plus d’attaques comparé aux données de 2016. - En 2018 recrudescence du trafic des cyberattaques : + 32 % Entre janvier et avril 2020, en conséquence du confinement lié au Covid-19, les cyberattaques sur le Cloud ont augmenté de 630%. Les données de santé sont dorénavant des cibles « lucratives ». Groupes de hacker (APT) Advanced Persistent Threat (menaces persistantes avancées) Conclusion… APT41
  23. 23. club-digital-sante.info facebook.com/hcsmeufr twitter.com/hcsmeufr linkedin.com/company/club-digital-santé
  24. 24. FRANCE - BELGIUM - GERMANY - HONG KONG - SPAIN - SWITZERLAND Share Save Sign SANTÉ : COMMENT TRAITER VOS DONNÉES SENSIBLES EN TOUTE SÉRÉNITÉ ?
  25. 25. Copyright Oodrive 2020 2 SANTÉ - Diffusion limitée Michael Michau Sales Team Leader x Expert en protection des données sensibles de santé VOTRE EXPERT
  26. 26. Copyright Oodrive 2020 3 1. ENJEUX DU SECTEUR DE LA SANTÉ 2. QUELLES SONT LES OBLIGATIONS POUR LES PROFESSIONNELS DE SANTÉ ? 3. CERTIFICATION HDS 4. QUELLE(S) SOLUTION(S) CHOISIR POUR PROTÉGER VOS DONNÉES ? 5. QUESTIONS SOMMAIRE - Diffusion limitée
  27. 27. 1 ENJEUX DU SECTEUR DE LA SANTÉ
  28. 28. Copyright Oodrive 2020 5 QU’EST-CE QU’UNE DONNÉE PERSONNELLE SENSIBLE ? En France, les catégories de données personnelles sensibles sont limitativement énumérées par la loi Informatiques du 6 janvier 1978 (article 8). Il s’agit des données faisant apparaître ou concernant : Les origines raciales ou ethniques ; Les opinions politiques, les convictions religieuses ou philosophiques ; L’appartenance syndicale ; La santé ; La vie sexuelle.
  29. 29. Copyright Oodrive 2020 6 QUELLES SONT LES DONNÉES CONCERNÉES ? La notion de données de santé est désormais large. Elle est à apprécier, au cas par cas, compte tenu de la nature des données recueillies. • Antécédent médicaux ; • Maladies ; • Prestations de soins réalisées ; • Résultats d’examens ; • Traitements ; • Handicap… • Croisement d’une mesure de poids avec d’autres donnés (nombre de pas, mesure des apports caloriques…) ; • Croisement de la tensions avec la mesure de l’effort ; • Etc. • Utilisation qui en est faite sur le plan médical Données de santé par nature Données de santé par croisement Données de santé par destination
  30. 30. Copyright Oodrive 2020 LES ENJEUX POUR LE SECTEUR DE LA SANTÉ Sanitaire Médical Financier  Champ d’analyse précis pour les chercheurs  Surveillance et connaissance accrue de certains médicaments  Détecter plus tôt les dérives d’usage d’un médicament  Meilleur endiguement de certaines épidémies  Le patient pourra se renseigner sur les différents hôpitaux, médecins, avant de choisir dans quel établissement se rendre.  En étant bien informé, il serait pleinement acteur des traitements qu’il reçoit.  Les dépenses seraient mieux gérées puisque les soins prescrits seraient plus appropriés, et donc plus efficaces. 7
  31. 31. Copyright Oodrive 2020 8 LES DONNÉES DE SANTÉ : CIBLE PRIVILÉGIÉE DES FUITES DE DONNÉES - Diffusion limitée 4 établissements de santé sont victimes de cyberattaques par jour en France* 120 établissement du groupe Ramsey ont été touché une attaque d’un ransonware en août 2019 * Source : TICsanté € Quelques chiffres Causes des fuites de données** ** Source : 2018 Cost of a Data Breach Study by IBM Security
  32. 32. Copyright Oodrive 2020 9 UN SECTEUR FRAGILISÉ PAR LES CYBERATTAQUES - Diffusion limitée 73% 50% 44% 44% 40% 35% 30% 29% 27% 24% 0% 10% 20% 30% 40% 50% 60% 70% 80% Phising ou spear-phishing Arnaque au président Infection par malware Cyptolocker / Ransomware Ingérierie sociale Usurpation d'identité et fraude Vol d'identifiant Déni de service Fraude Attaque ciblée Typologies des attaques le plus fréquentes* 43% 34% 15% 4% 4% Gains financiers Vols des données Indéterminée Gains de capacité d'attaque Nuisance à l'image Motivations des attaquants** **Source : CERT-Wavestone*Source : CESIN
  33. 33. 2 QUELLES SONT LES OBLIGATIONS POUR LES PROFESSIONNELS DE SANTÉ ?
  34. 34. Copyright Oodrive 2020 11 RAPPEL RGPD - Diffusion limitée Qu’est-ce que le RGPD ? Règlement Général sur la Protection des Données Texte de loi européen renforçant la protection des donnés personnelles • Consentement • Transparence • Droit des personnes En application depuis le 25 mai 2018 Concerne toutes les entreprises collectant des données personnelles de citoyens européens
  35. 35. Copyright Oodrive 2020 12 LE RGPD ET LE SECTEUR DE LA SANTÉ • Désignation d’un DPO (Data Protection Officer) si traitement de données à grande échelle • Informer les patients du traitement des données • Tenir et conserver d’un registre de données en interne • Être en mesure de démontrer à tout moment une conformité aux exigences RGPD • Ne collecter que les données adéquates et pertinentes à la prise en charge des patients • Limiter l’accès aux données de santé des patients • Converser les données pour une période déterminée • Préserver la confidentialité et l’intégrité des données Transparence et traçabilité Garantir la sécurité des données - Diffusion limitée
  36. 36. Copyright Oodrive 2020 13 RGPD ET CERTIFICATION HDS : UNE COMPLÉMENTARITÉ - Diffusion limitée Les mesures issues du RGPD se trouvent consolidées par la certification sur deux aspects : pour les hébergeurs de données de santé d’obtenir une certification à cet effet avant tout hébergement des dites données L’instauration d’une obligation Le renforcement des exigences de sécurité applicables aux hébergeurs de données de santé à caractère personnel
  37. 37. 3 LA CERTIFICATION HDS
  38. 38. Copyright Oodrive 2020 15 LA CERTIFICATION - Diffusion limitée Remplacement de l’agrément par une certification délivrée par le COFRAC Respect des normes : valable 3 ans audit de surveillance annuel 3  ISO 27001  ISO 20000  ISO 27018 APPLICATION CONDITIONS DURÉE Depuis 1er avril 2018, les données de santé à caractère personnel doivent être hébergées chez un prestataire certifié. CONTEXTE
  39. 39. Copyright Oodrive 2020 16 HDS, SECNUMCLOUD : LA CARTE DE LA CONFIANCE - Diffusion limitée • “Le plus haut niveau de sécurité possible pour une application Cloud” • La plus haute qualification sécurité • SecNumCloud est une qualification délivrée par l’ANSSI (Agence Nationale de Sécurité des Systèmes d’Information) aux prestataires d’informatique en nuage conformes au référentiel du même nom. Il a été initié par une phase expérimentale en 2015 sous l’appellation SecureCloud. • Une qualification complémentaire à la certification HDS • Le référentiel de qualification comprend également des exigences complémentaires à la celles de la certification HDS issues notamment de la norme ISO 27001 (management de la sécurité de l'information). • Une forte recommandation pour les OIV • L’ANSSI recommande fortement aux Opérateurs d’Importance Vitale de choisir des solutions conformes SecNumCloud
  40. 40. Copyright Oodrive 2020 17 RISQUES EN CAS DE NON-RESPECT - Diffusion limitée 3 ans d’emprisonnement 45.000 € d’amende ou 225.000 € pour les personnes morales 1 an d’emprisonnement 15.000 € d’amende ou 75.000 € pour les personnes morales VIOLATION DES OBLIGATIONS DE SÉCURITÉ VIOLATION DU SECRET PROFESSIONNEL
  41. 41. 4 QUELLE(S) SOLUTION(S) CHOISIR POUR PROTÉGER VOS DONNÉES ?
  42. 42. Copyright Oodrive 2020 19 QUELLE(S) SOLUTION(S) CHOISIR POUR PROTÉGER VOS DONNÉES ? - Diffusion limitée Des solutions qui vous permettent de travailler en toute confiance et de libérer leur potentiel de performance. Partagez et synchronisez vos documents et collaborez plus efficacement. Protégez et pérennisez les données sensibles de votre organisation. Intégrez la confiance dans vos échanges numériques. 19Copyright Oodrive 2018 “Security by Design”, Administration, Gestion des Users, Hébergement, API, Certifications Share, Save, Sign
  43. 43. Copyright Oodrive 2020 20- Diffusion limitée CAS D’USAGES Contexte : Sécuriser les échanges des données de santé LA SOLUTION Intégrer une solution sécurisée et maîtrisée afin de permettre la collaboration et l’échange de données sensibles et/ou HDS OBJECTIF RÉSULTATS  Le bon déroulement du projet est assuré grâce à une organisation de la plateforme intuitive et simple et accessible de n’importe où  L’ajout d’un niveau de sécurité supplémentaire à l’ensemble des documents confidentiels PLATEFORME D’ECHANGES SECURISEE L’ORGANISME Laboratoire spécialisé dans le diagnostic in vitro
  44. 44. Copyright Oodrive 2020 21 CAS D’USAGES - Diffusion limitée Problématique : comment faciliter le recueil du consentement lors d’essais cliniques en France et à l’international ? LA SOLUTION Intégrer la signature électronique à un dossier de consentement d’essais cliniques OBJECTIF RÉSULTATS  Gain de temps et économies par rapport au courrier très important en volume à envoyer  Entrée dans un programme de lutte contre le cancer beaucoup plus rapidement OUTIL DE SIGNATURE POUR DES TRANSACTIONS NUMÉRIQUES DE CONFIANCE Réseau de centres de lutte contre la cancérologie L’ORGANISME DONNÉES CHIFFRÉES  100K de signature par an
  45. 45. Copyright Oodrive 2020 22 DES QUESTIONS ? - Diffusion limitée Michael Michau Sales Team Leader x Expert en protection des données sensibles de santé
  46. 46. Oodrive - France 26, rue du faubourg Poissonnière 75010 PARIS Oodrive - Belgium 380 avenue Louise 1050 BRUXELLES Oodrive - Switzerland 4-6 avenue Industrielle 1227 GENEVE Oodrive - Spain Príncipe de Vergara, 13 28001 MADRID Oodrive - Germany Rückerstrasse 4 80336 MÜNCHEN Oodrive - Hong Kong 15/F, 100 QRC Queen’s Road Central Hong Kong PARTENAIRE DE CONFIANCE POUR LA GESTION DES DONNÉES SENSIBLES

×