La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Cybersécurité et biomédical

Présentations similaires


Présentation au sujet: "Cybersécurité et biomédical"— Transcription de la présentation:

1 Cybersécurité et biomédical
Cédric CARTAU AFIB – Octobre 2018

2 L’intervenant : Cédric CARTAU
PRESENTATION L’intervenant : Cédric CARTAU RSSI et DPO du CHU et du GHT44 Enseignant à l’EHESP Contributeur 5 ouvrages publiés Son établissement : CHU de NANTES 7ème CHU de France, agents, 850M€ ES du GHT44, agents Sa question Biomed et IT, combien de temps encore la politique de l’autruche ?

3 2008 : infection massive de Conficker dans les CHU
QUELQUES CAS D’USAGE… 2008 : infection massive de Conficker dans les CHU Dans certains cas, provenance biomed 2015 : certains fournisseurs biomed déploient toujours du Windows NT L’OS a été abandonné par Microsoft en 2001 2018 : certains fournisseurs biomed incapables de déployer une solution de biologie sur un réseau d’établissement Absence de spécifications claires, non maîtrise du code interne Demande d’ouverture de droit admin du domaine et de tous les ports sur le Firewall Absence de culture de spécification IT …et la situation est comparable dans le domaine technique (sécurité incendie, GTB, etc.)

4 Des domaines techniques qui ont longtemps vécu en autarcie technique
LES CAUSES PROFONDES Des domaines techniques qui ont longtemps vécu en autarcie technique Besoins de connexion sur des réseau d’établissements de santé Besoins d’échanges des données produites Des domaines techniques qui découvrent les contraintes de l’IT Application des patches, protection antivirale, inscription AD Des domaines techniques qui découvrent les normes IT ITIL, ISO , RGPD, Directive NIS, etc. Des départements IT qui découvrent les spécificités du monde biomédical, ou refusent de les prendre en compte Manque de connaissance des normes ISO (ISO ) Absence de formation, de point d’entrée unique, de coordination de projet, etc.

5 LES CONTOURNEMENTS ET AUTRES ABSURDITES
La politique de l’autruche ou stratégie du silo « C’est pas chez nous à la DSI, c’est du biomed » « C’est pas du biomed, c’est de l’informatique » La patate chaude la machine a café dispose c’est de l’IT La console d’imagerie du scanner, c’est du scanner et pas de l’IT La stratégie de la « méchantisation » « Ces ingénieurs biomed sont autistes » (entendu d’un DSI) « Ces DSI sont autistes » (entendu d’un ingénieur biomed)

6 Sur-consommation de temps ingénieur et technicien
LES CONSEQUENCES Impact utilisateur Absence d’intégration sur le réseau d’établissement Plusieurs interlocuteurs en cas de panne Absence de gestion des changements ITIL …voir La maison qui rend fou, « Les 12 travaux d’Astérix » Sur-consommation de temps ingénieur et technicien Projet sans qualification Projet avec double qualification sans concertation Absence de coordination projet dans les phases de déploiement Absence de détermination des responsabilités avant, pendant et après projet (maintenance) Impact SSI Pas de prise en compte des fondamentaux SSI en amont du projet Impact sur les contraintes normatives Pas de respect RGPD, directive NIS, RGS, etc.

7 2018, FIN DE LA RECREATION POUR TOUS
Etat réglementaire en 2010 dans le domaine SSI 5 réglementations : droit du travail, certification HAS, loi du 4 mars 2002, certification des comptes, RGS Etat réglementaire en 2018 8 réglementations additionnelles : RGPD, signalement des incidents SSI, instruction 309, PSE, AQSSI, HDS, directive NIS Le double effet kiss cool Explosion du montant des amendes Obligations d’audits Obligation de signalement des incidents Directive NIS : audit obligatoire post-incident

8 LES PISTES DE SOLUTION Axe organisationnel Axe projet Axe technique
Vers un fonctionnement en direction de l’ingénierie ? Le biomed va se dissoudre dans l’IT (à moins que ce ne soit l’inverse) Retour sur l’exemple de la téléphonie Axe projet Vers une conduite de projets complexe (c’est le sens du mot « Ingénieur ») Vers la binomie ? Axe technique Diffusion de connaissances bi-directionnelle obligatoire Segmentation du LAN Les produits d’inspection AV à la volée Axe normatif RGPD, une approche par le risque Directive NIS

9 CONCLUSION Un petit mot sur Darwin Un petit mot sur Epinal L’effet « patrouille » Vers l’échec collectif, ou vers la survie ?

10 Ressources Le Comptoir Sécu, épisode 48 sur la SSI dans les environnements industriels

11 Ouvrage


Télécharger ppt "Cybersécurité et biomédical"

Présentations similaires


Annonces Google