Cybersécurité et biomédical

Slides:



Advertisements
Présentations similaires
© Copyright Showeet.com Gestionnaire en Maintenance et Support Informatique (GMSI 38) Projet SAS.
Advertisements

La prévention des risques dans le secteur bancaire Présentation réalisée dans le cadre de la rédaction de pré-fiches d’Entreprise, leur mise à jour…
Vocation, mission, valeurs et vision Nos experts Nos services.
La Prévention Santé Environnement en Baccalauréat professionnel Vendredi 26 Octobre 2012 I NSPECTION E DUCATION N ATIONALE ENSEIGNEMENT TECHNIQUE Cahier.
Sécurité des systèmes d'information des EPLEFPA D. COLISSON DRTIC DRAAF/SRFD Rhône-Alpes Octobre 2010.
Vers les usages... Le projet EnvOLE séminaire EOLE novembre 2006, Dijon Accueil Orientations Architecture Socle > EnvOLE Services > Centre de ressources.
Interopérabilité et consommateur RMLL, 7 juillet 2015
Bac Pro 3 ans Systèmes Electroniques Numériques. Bac Pro SEN AudioVisuel Multimédia Alarme Sécurité Incendie Electrodomestique Télécommunications et Réseaux.
PROJET REGIONAL UNE DEMARCHE EN PLUSIEURS ETAPES Etude de besoin Campagne de communication Mise en place du premier Cluster QVT Mises en.
LES DÉFINITIONS La norme La réglementation REGLEMENTATION ET NORME.
Trophées du Marketing de la DSI 2016
BAC PRO HPS.
1. Epreuve E42 Pratiques comptables, fiscales et sociales
HUMAN RESOURCES DEPARTMENT
Toolbox : ATEX ATmosphere - EXplosive
En collaboration avec des partenaires stratégiques, Secura a mené une enquête au sujet des défis, tendances et besoins d'informations auxquels sont confrontées.
FACULTE DES SCIENCES ET DES TECHNIQUES
Rénovation du BTS Maintenance Industrielle
Bilan et Plan d’action du Projet Génie
Mediaconstruct et la Formation : ca fait BIM !
La « marque » innovation/recherche hospitalière
Nouvelle norme … …Nouveaux défis…
CIRCUIT DU MÉDICAMENT : ACTUALITÉ RÉGLEMENTAIRE
Direction des Structures en béton
26/02/2018 Titre Service Communication - Mars 2010.
Commune aux 7 départements de l’école 12ème promotion
Evaluation des Risques
PORTEFEUILLE DE COMPETENCES
ORGANISATION INCENDIE
Club toulousain 2 juin 2017 Vendredi 2 juin
ATEX Présenté par: -Amasri Meriem -Achraf BELGHITI -Maroua JIRARI
Vers une nouvelle gouvernance de la donnée personnelle
prévention santé sécurité et
Responsabilité professionnelle et numérique La protection des mineurs.
Journee regionale ANFH
La Sécurité au CERN Etre TSO au CERN Etre TSO au CERN
Normes de qualité et de management.
CENTRE HOSPITALIER UNIVERSITAIRE DE NANTES
Les documents normatifs Les documents français : - documents normatifs NF : norme française Pr NF : norme en projet - documents d’information FD : fascicule.
Conseil Départemental de l’Essonne
PROJET HET EN BRETAGNE Date – 18/11/2016 Lieu - PARIS.
D2CMI Conseil et formation en maintenance industrielle
QUALITÉ ET COMMUNICATION INTERNE & EXTERNE IUT Saint Denis Déborah Cloison Adriana Florez Année
P.Baracchini, La norme international OHSAS et la directive MSST Gérer la santé et la sécurité au travail.
MARQUAGE CE.
SYSTEME DE MANAGEMENT DE LA QUALITE : LA NOUVELLE NORME ISO 9001 version 2015.
Normalisation & Certification M2PQSE Nedra Raouefi 2018/
Maintenance informatique des collèges
RGPD groupe de travail ADF et perspectives «  Faut-il promouvoir la création au niveau Départemental de Direction de la Donnée regroupant les fonctions.
Paris web 2007 Référentiel Général d’accessibilité pour les Administrations Choix initiaux, cadre général et déploiement.
Le RGPD dans la santé Cédric Cartau – 2017.
Laurence CHAMPION, Laetitia MAZZONI
La sécurité et le rôle du chef d’établissement
Association des Transporteurs Aériens Francophones
PEE Sécurité-Environnement
Les points clés du protocole de travail entre médecin/infirmier
LE RGPD EST-IL L’ENNEMI DU BIG DATA ?
CHU DE NANTES – Cédric CARTAU
CHU DE NANTES – Cédric CARTAU
CETE APAVE Sudeurope JT levage1-généralités Janvier 2005 Journée technique levage: 1- Généralités 1 Programme 8h30 Accueil des participants 8h45 Généralités.
“AUDIT INTERNE ADR” Site de Romans
TP réalisée par: DIAS Rui. La méthode de l'Arbre Des Causes est un moyen simple et efficace pour rechercher des mesures de prévention à mettre en place.
Les séjours linguistiques dans le cadre de la règlementation des accueils collectifs de mineurs (ACM) Direction de la jeunesse, de l’éducation populaire.
L’enseignement de PSE repose sur la notion de professionnel compétent.
Version de travail - Non définitive
Prévention Santé Environnement en Bac professionnel et CAP
ADMINISTRATION NUMERIQUE
Les documents normatifs Les documents français : - documents normatifs NF : norme française Pr NF : norme en projet - documents d’information FD : fascicule.
ÉTUDE PREALABLE DE LA MISE EN PLACE DU SMSST SELON LA NORME ISO Université Hassan 1 er Faculté des Sciences et Techniques – Settat Réalisé.
Transcription de la présentation:

Cybersécurité et biomédical Cédric CARTAU AFIB – Octobre 2018

L’intervenant : Cédric CARTAU PRESENTATION L’intervenant : Cédric CARTAU RSSI et DPO du CHU et du GHT44 Enseignant à l’EHESP Contributeur www.dsih.fr 5 ouvrages publiés Son établissement : CHU de NANTES 7ème CHU de France, 12 000 agents, 850M€ ES du GHT44, 18 000 agents Sa question Biomed et IT, combien de temps encore la politique de l’autruche ?

2008 : infection massive de Conficker dans les CHU QUELQUES CAS D’USAGE… 2008 : infection massive de Conficker dans les CHU Dans certains cas, provenance biomed 2015 : certains fournisseurs biomed déploient toujours du Windows NT L’OS a été abandonné par Microsoft en 2001 2018 : certains fournisseurs biomed incapables de déployer une solution de biologie sur un réseau d’établissement Absence de spécifications claires, non maîtrise du code interne Demande d’ouverture de droit admin du domaine et de tous les ports sur le Firewall Absence de culture de spécification IT …et la situation est comparable dans le domaine technique (sécurité incendie, GTB, etc.)

Des domaines techniques qui ont longtemps vécu en autarcie technique LES CAUSES PROFONDES Des domaines techniques qui ont longtemps vécu en autarcie technique Besoins de connexion sur des réseau d’établissements de santé Besoins d’échanges des données produites Des domaines techniques qui découvrent les contraintes de l’IT Application des patches, protection antivirale, inscription AD Des domaines techniques qui découvrent les normes IT ITIL, ISO 27 000, RGPD, Directive NIS, etc. Des départements IT qui découvrent les spécificités du monde biomédical, ou refusent de les prendre en compte Manque de connaissance des normes ISO (ISO 15 189) Absence de formation, de point d’entrée unique, de coordination de projet, etc.

LES CONTOURNEMENTS ET AUTRES ABSURDITES La politique de l’autruche ou stratégie du silo « C’est pas chez nous à la DSI, c’est du biomed » « C’est pas du biomed, c’est de l’informatique » La patate chaude la machine a café dispose d’une @IP, c’est de l’IT La console d’imagerie du scanner, c’est du scanner et pas de l’IT La stratégie de la « méchantisation » « Ces ingénieurs biomed sont autistes » (entendu d’un DSI) « Ces DSI sont autistes » (entendu d’un ingénieur biomed)

Sur-consommation de temps ingénieur et technicien LES CONSEQUENCES Impact utilisateur Absence d’intégration sur le réseau d’établissement Plusieurs interlocuteurs en cas de panne Absence de gestion des changements ITIL …voir La maison qui rend fou, « Les 12 travaux d’Astérix » Sur-consommation de temps ingénieur et technicien Projet sans qualification Projet avec double qualification sans concertation Absence de coordination projet dans les phases de déploiement Absence de détermination des responsabilités avant, pendant et après projet (maintenance) Impact SSI Pas de prise en compte des fondamentaux SSI en amont du projet Impact sur les contraintes normatives Pas de respect RGPD, directive NIS, RGS, etc.

2018, FIN DE LA RECREATION POUR TOUS Etat réglementaire en 2010 dans le domaine SSI 5 réglementations : droit du travail, certification HAS, loi du 4 mars 2002, certification des comptes, RGS Etat réglementaire en 2018 8 réglementations additionnelles : RGPD, signalement des incidents SSI, instruction 309, PSE, AQSSI, HDS, directive NIS Le double effet kiss cool Explosion du montant des amendes Obligations d’audits Obligation de signalement des incidents Directive NIS : audit obligatoire post-incident

LES PISTES DE SOLUTION Axe organisationnel Axe projet Axe technique Vers un fonctionnement en direction de l’ingénierie ? Le biomed va se dissoudre dans l’IT (à moins que ce ne soit l’inverse) Retour sur l’exemple de la téléphonie Axe projet Vers une conduite de projets complexe (c’est le sens du mot « Ingénieur ») Vers la binomie ? Axe technique Diffusion de connaissances bi-directionnelle obligatoire Segmentation du LAN Les produits d’inspection AV à la volée Axe normatif RGPD, une approche par le risque Directive NIS

CONCLUSION Un petit mot sur Darwin Un petit mot sur Epinal L’effet « patrouille » Vers l’échec collectif, ou vers la survie ?

Ressources Le Comptoir Sécu, épisode 48 sur la SSI dans les environnements industriels https://www.comptoirsecu.fr/podcast/%C3%A9pisode-48-la-ssi-dans-le-monde-industriel/

Ouvrage