Cybersécurité et biomédical Cédric CARTAU AFIB – Octobre 2018
L’intervenant : Cédric CARTAU PRESENTATION L’intervenant : Cédric CARTAU RSSI et DPO du CHU et du GHT44 Enseignant à l’EHESP Contributeur www.dsih.fr 5 ouvrages publiés Son établissement : CHU de NANTES 7ème CHU de France, 12 000 agents, 850M€ ES du GHT44, 18 000 agents Sa question Biomed et IT, combien de temps encore la politique de l’autruche ?
2008 : infection massive de Conficker dans les CHU QUELQUES CAS D’USAGE… 2008 : infection massive de Conficker dans les CHU Dans certains cas, provenance biomed 2015 : certains fournisseurs biomed déploient toujours du Windows NT L’OS a été abandonné par Microsoft en 2001 2018 : certains fournisseurs biomed incapables de déployer une solution de biologie sur un réseau d’établissement Absence de spécifications claires, non maîtrise du code interne Demande d’ouverture de droit admin du domaine et de tous les ports sur le Firewall Absence de culture de spécification IT …et la situation est comparable dans le domaine technique (sécurité incendie, GTB, etc.)
Des domaines techniques qui ont longtemps vécu en autarcie technique LES CAUSES PROFONDES Des domaines techniques qui ont longtemps vécu en autarcie technique Besoins de connexion sur des réseau d’établissements de santé Besoins d’échanges des données produites Des domaines techniques qui découvrent les contraintes de l’IT Application des patches, protection antivirale, inscription AD Des domaines techniques qui découvrent les normes IT ITIL, ISO 27 000, RGPD, Directive NIS, etc. Des départements IT qui découvrent les spécificités du monde biomédical, ou refusent de les prendre en compte Manque de connaissance des normes ISO (ISO 15 189) Absence de formation, de point d’entrée unique, de coordination de projet, etc.
LES CONTOURNEMENTS ET AUTRES ABSURDITES La politique de l’autruche ou stratégie du silo « C’est pas chez nous à la DSI, c’est du biomed » « C’est pas du biomed, c’est de l’informatique » La patate chaude la machine a café dispose d’une @IP, c’est de l’IT La console d’imagerie du scanner, c’est du scanner et pas de l’IT La stratégie de la « méchantisation » « Ces ingénieurs biomed sont autistes » (entendu d’un DSI) « Ces DSI sont autistes » (entendu d’un ingénieur biomed)
Sur-consommation de temps ingénieur et technicien LES CONSEQUENCES Impact utilisateur Absence d’intégration sur le réseau d’établissement Plusieurs interlocuteurs en cas de panne Absence de gestion des changements ITIL …voir La maison qui rend fou, « Les 12 travaux d’Astérix » Sur-consommation de temps ingénieur et technicien Projet sans qualification Projet avec double qualification sans concertation Absence de coordination projet dans les phases de déploiement Absence de détermination des responsabilités avant, pendant et après projet (maintenance) Impact SSI Pas de prise en compte des fondamentaux SSI en amont du projet Impact sur les contraintes normatives Pas de respect RGPD, directive NIS, RGS, etc.
2018, FIN DE LA RECREATION POUR TOUS Etat réglementaire en 2010 dans le domaine SSI 5 réglementations : droit du travail, certification HAS, loi du 4 mars 2002, certification des comptes, RGS Etat réglementaire en 2018 8 réglementations additionnelles : RGPD, signalement des incidents SSI, instruction 309, PSE, AQSSI, HDS, directive NIS Le double effet kiss cool Explosion du montant des amendes Obligations d’audits Obligation de signalement des incidents Directive NIS : audit obligatoire post-incident
LES PISTES DE SOLUTION Axe organisationnel Axe projet Axe technique Vers un fonctionnement en direction de l’ingénierie ? Le biomed va se dissoudre dans l’IT (à moins que ce ne soit l’inverse) Retour sur l’exemple de la téléphonie Axe projet Vers une conduite de projets complexe (c’est le sens du mot « Ingénieur ») Vers la binomie ? Axe technique Diffusion de connaissances bi-directionnelle obligatoire Segmentation du LAN Les produits d’inspection AV à la volée Axe normatif RGPD, une approche par le risque Directive NIS
CONCLUSION Un petit mot sur Darwin Un petit mot sur Epinal L’effet « patrouille » Vers l’échec collectif, ou vers la survie ?
Ressources Le Comptoir Sécu, épisode 48 sur la SSI dans les environnements industriels https://www.comptoirsecu.fr/podcast/%C3%A9pisode-48-la-ssi-dans-le-monde-industriel/
Ouvrage