AXIANS CYBERSECURITY PARIS - APSSIS · ISO22301 SMCAProtection Continuité d’activité des...
Transcript of AXIANS CYBERSECURITY PARIS - APSSIS · ISO22301 SMCAProtection Continuité d’activité des...
![Page 1: AXIANS CYBERSECURITY PARIS - APSSIS · ISO22301 SMCAProtection Continuité d’activité des données des cartes bancaires RGPD/GDPR des données à caractère personnel Cobit / ITIL](https://reader035.fdocument.pub/reader035/viewer/2022070803/5f02f8807e708231d406e8e9/html5/thumbnails/1.jpg)
Quelle sécurité pour les équipements médicaux?
AXIANS CYBERSECURITY PARIS
![Page 2: AXIANS CYBERSECURITY PARIS - APSSIS · ISO22301 SMCAProtection Continuité d’activité des données des cartes bancaires RGPD/GDPR des données à caractère personnel Cobit / ITIL](https://reader035.fdocument.pub/reader035/viewer/2022070803/5f02f8807e708231d406e8e9/html5/thumbnails/2.jpg)
2
VINCI, ACTEUR MONDIAL DES MÉTIERS DES CONCESSIONS ET DE LA CONSTRUCTION
Énergies Concessions Routes Construction
38,1 Mds€ de chiffre d’affaires en 2016
183 000 collaborateurs
Présent dans plus de
110 pays
Présentation Axians Cybersecurity Paris 2018
Plus de
![Page 3: AXIANS CYBERSECURITY PARIS - APSSIS · ISO22301 SMCAProtection Continuité d’activité des données des cartes bancaires RGPD/GDPR des données à caractère personnel Cobit / ITIL](https://reader035.fdocument.pub/reader035/viewer/2022070803/5f02f8807e708231d406e8e9/html5/thumbnails/3.jpg)
3
VINCI ENERGIES AU SEIN DE VINCI
L’UN DES PÔLES D’ACTIVITÉS DE VINCI
Présentation Axians Cybersecurity Paris 2018
10,2
Mds€ de chiffre d’affaires en 2016
51
pays d’implantation dont 30 hors d’Europe
1 600
entreprises
64 500
collaborateurs
![Page 4: AXIANS CYBERSECURITY PARIS - APSSIS · ISO22301 SMCAProtection Continuité d’activité des données des cartes bancaires RGPD/GDPR des données à caractère personnel Cobit / ITIL](https://reader035.fdocument.pub/reader035/viewer/2022070803/5f02f8807e708231d406e8e9/html5/thumbnails/4.jpg)
4
AXIANS SPÉCIALISTE DE L’ICT
Angola
Autriche
Belgique
République Tchèque
Danemark
France métropolitaine et
Outre-mer
Allemagne
Côte d'Ivoire
Maroc
Mozambique
Pologne
Portugal
Espagne
Suède
Suisse
Les Pays Bas
Royaume-Uni
USA
Tunisie
2 Mds De chiffre d'affaires en 2017
210
Entreprises
9,000
Collaborateurs
22
Pays
Présentation Axians Cybersecurity Paris 2018
![Page 5: AXIANS CYBERSECURITY PARIS - APSSIS · ISO22301 SMCAProtection Continuité d’activité des données des cartes bancaires RGPD/GDPR des données à caractère personnel Cobit / ITIL](https://reader035.fdocument.pub/reader035/viewer/2022070803/5f02f8807e708231d406e8e9/html5/thumbnails/5.jpg)
Présentation Axians Cybersecurity Paris 2018 5
AXIANS CYBERSECURITY PARIS
CYBERSECURITY
![Page 6: AXIANS CYBERSECURITY PARIS - APSSIS · ISO22301 SMCAProtection Continuité d’activité des données des cartes bancaires RGPD/GDPR des données à caractère personnel Cobit / ITIL](https://reader035.fdocument.pub/reader035/viewer/2022070803/5f02f8807e708231d406e8e9/html5/thumbnails/6.jpg)
Présentation Axians Cybersecurity Paris 2018 6
CONFORMITÉ ET GESTION DES RISQUES
ISO27001
SMSI
Sécurité de
l’Information
ISO22301
SMCA
Continuité
d’activité
PCI DSS
Sécurité des
données des cartes
bancaires
RGPD/GDPR
Protection des
données à caractère
personnel
Cobit / ITIL
Gouvernance et
Gestion des
services IT
LPM / RGS
Loi de
programmation
militaire
ISO27005
Analyse de
risques
•Gestion de la sécurité des environnements industriels (SCADA)
•ISO27017 & ISO 27018 et sécurité des environnements Cloud
•Sécurité des environnements connectés (IoT/IoE)
•Intégration de la sécurité dans les SDLC / Projets
•Classification des données
•Politiques et chartes de sécurité
•Indicateurs et KPI
•Gestion des changements
•Gestion des campagnes de sensibilisation
![Page 7: AXIANS CYBERSECURITY PARIS - APSSIS · ISO22301 SMCAProtection Continuité d’activité des données des cartes bancaires RGPD/GDPR des données à caractère personnel Cobit / ITIL](https://reader035.fdocument.pub/reader035/viewer/2022070803/5f02f8807e708231d406e8e9/html5/thumbnails/7.jpg)
Services AlliaCERT
Présentation Axians Cybersecurity Paris 2018 7
ALLIACERT | COMPUTER EMERGENCY RESPONSE TEAM
• Veille en vulnérabilités et menaces
• Cyber-surveillance
• Threat Intelligence
• Réponse aux incidents
• Gestion de crise
• Analyses forensiques
Paris
Tunis
Kuala Lumpur
![Page 8: AXIANS CYBERSECURITY PARIS - APSSIS · ISO22301 SMCAProtection Continuité d’activité des données des cartes bancaires RGPD/GDPR des données à caractère personnel Cobit / ITIL](https://reader035.fdocument.pub/reader035/viewer/2022070803/5f02f8807e708231d406e8e9/html5/thumbnails/8.jpg)
Présentation Axians Cybersecurity Paris 2018 8
IOT SOC / CERT
![Page 9: AXIANS CYBERSECURITY PARIS - APSSIS · ISO22301 SMCAProtection Continuité d’activité des données des cartes bancaires RGPD/GDPR des données à caractère personnel Cobit / ITIL](https://reader035.fdocument.pub/reader035/viewer/2022070803/5f02f8807e708231d406e8e9/html5/thumbnails/9.jpg)
AXIANS CYBERSECURITY PARIS
Panorama des menaces et vulénrabilités
![Page 10: AXIANS CYBERSECURITY PARIS - APSSIS · ISO22301 SMCAProtection Continuité d’activité des données des cartes bancaires RGPD/GDPR des données à caractère personnel Cobit / ITIL](https://reader035.fdocument.pub/reader035/viewer/2022070803/5f02f8807e708231d406e8e9/html5/thumbnails/10.jpg)
Les appareils sont connectés aux patients physiquement
Les données obtenues à partir des appareils sont stockées sur papier ou localement
Les appareils sont des produits « physiques »
Les soins sont administrés à la main dans un établissement de santé
L'accès physique est nécessaire pour afficher les données de santé
Présentation Axians Cybersecurity Paris 2018 10
ENTRE HIER ET AUJOURD’HUI…
Les appareils sont connectés en sans fil aux patients et à d’autres applications
Les données obtenues à partir des appareils sont stockées dans le cloud
Les dispositifs comprennent des logiciels et des bases de santé
Les soins sont accessibles aux patients grâce à des applications
Les données de santé peuvent être accessibles depuis n'importe où
Hier Aujourd’hui
![Page 11: AXIANS CYBERSECURITY PARIS - APSSIS · ISO22301 SMCAProtection Continuité d’activité des données des cartes bancaires RGPD/GDPR des données à caractère personnel Cobit / ITIL](https://reader035.fdocument.pub/reader035/viewer/2022070803/5f02f8807e708231d406e8e9/html5/thumbnails/11.jpg)
SCOTT ERVEN ET MARK COLLAO / DERBYCON 2015
21 appareils d’anesthésie, 488 équipements de cardiologie, 133 systèmes d’injection, 31 stimulateurs cardiaques, 97 IRM, 323 appareils d’imagerie médicale sont vulnérables
Plusieurs de ces équipements sont répertoriés par Shodan, le moteur de recherche des IoT
Accès SSH distants, failles de consoles Web, mots de passe par défaut, très anciennes vulnérabilité, etc.
Présentation Axians Cybersecurity Paris 2018 11
![Page 12: AXIANS CYBERSECURITY PARIS - APSSIS · ISO22301 SMCAProtection Continuité d’activité des données des cartes bancaires RGPD/GDPR des données à caractère personnel Cobit / ITIL](https://reader035.fdocument.pub/reader035/viewer/2022070803/5f02f8807e708231d406e8e9/html5/thumbnails/12.jpg)
WANNACRY
Un équipement Bayer MedRad utilisé pour
les analyses IRM infecté par le
ransomware WannaCry
Présentation Axians Cybersecurity Paris 2018 12
![Page 13: AXIANS CYBERSECURITY PARIS - APSSIS · ISO22301 SMCAProtection Continuité d’activité des données des cartes bancaires RGPD/GDPR des données à caractère personnel Cobit / ITIL](https://reader035.fdocument.pub/reader035/viewer/2022070803/5f02f8807e708231d406e8e9/html5/thumbnails/13.jpg)
Présentation Axians Cybersecurity Paris 2018 13
AUTRES ATTAQUES
![Page 14: AXIANS CYBERSECURITY PARIS - APSSIS · ISO22301 SMCAProtection Continuité d’activité des données des cartes bancaires RGPD/GDPR des données à caractère personnel Cobit / ITIL](https://reader035.fdocument.pub/reader035/viewer/2022070803/5f02f8807e708231d406e8e9/html5/thumbnails/14.jpg)
Présentation Axians Cybersecurity Paris 2018 14
LES MOTEURS DE RECHERCHE
![Page 15: AXIANS CYBERSECURITY PARIS - APSSIS · ISO22301 SMCAProtection Continuité d’activité des données des cartes bancaires RGPD/GDPR des données à caractère personnel Cobit / ITIL](https://reader035.fdocument.pub/reader035/viewer/2022070803/5f02f8807e708231d406e8e9/html5/thumbnails/15.jpg)
Présentation Axians Cybersecurity Paris 2018 15
LES MOTEURS DE RECHERCHE
![Page 16: AXIANS CYBERSECURITY PARIS - APSSIS · ISO22301 SMCAProtection Continuité d’activité des données des cartes bancaires RGPD/GDPR des données à caractère personnel Cobit / ITIL](https://reader035.fdocument.pub/reader035/viewer/2022070803/5f02f8807e708231d406e8e9/html5/thumbnails/16.jpg)
Présentation Axians Cybersecurity Paris 2018 16
LES MOTEURS DE RECHERCHE
![Page 17: AXIANS CYBERSECURITY PARIS - APSSIS · ISO22301 SMCAProtection Continuité d’activité des données des cartes bancaires RGPD/GDPR des données à caractère personnel Cobit / ITIL](https://reader035.fdocument.pub/reader035/viewer/2022070803/5f02f8807e708231d406e8e9/html5/thumbnails/17.jpg)
les chercheurs en sécurité de chez WhiteScope ont découvert 8 600 vulnérabilités dans les systèmes de pacemaker et les bibliothèques tierces
Les chercheurs ont découvert ces défauts dans sept produits différents, appartenant à quatre fabricants différents
Les programmeurs de pacemaker, et le stimulateur cardiaque implanté d’une même société ne s’authentifiaient pas mutuellement.
Pas besoin d’une authentification des médecins
Les systèmes de pacemaker stockent des données sur des supports non chiffrés
Présentation Axians Cybersecurity Paris 2018 17
8 600 VULNÉRABILITÉS
![Page 18: AXIANS CYBERSECURITY PARIS - APSSIS · ISO22301 SMCAProtection Continuité d’activité des données des cartes bancaires RGPD/GDPR des données à caractère personnel Cobit / ITIL](https://reader035.fdocument.pub/reader035/viewer/2022070803/5f02f8807e708231d406e8e9/html5/thumbnails/18.jpg)
Chantage à la crise cardiaque?
Présentation Axians Cybersecurity Paris 2018 18
QUELLE EST LA PROCHAINE ÉTAPE?
![Page 19: AXIANS CYBERSECURITY PARIS - APSSIS · ISO22301 SMCAProtection Continuité d’activité des données des cartes bancaires RGPD/GDPR des données à caractère personnel Cobit / ITIL](https://reader035.fdocument.pub/reader035/viewer/2022070803/5f02f8807e708231d406e8e9/html5/thumbnails/19.jpg)
Présentation Axians Cybersecurity Paris 2018 19
POC AXIANS
Interception et
Manipulation des
données
Connexion Originelle
Application Mobile Oxymètre connecté
Nouvelle Connexion
Pont de données
Simule
l’équipement
médical
Simule
l’application
mobile
160
40%
![Page 20: AXIANS CYBERSECURITY PARIS - APSSIS · ISO22301 SMCAProtection Continuité d’activité des données des cartes bancaires RGPD/GDPR des données à caractère personnel Cobit / ITIL](https://reader035.fdocument.pub/reader035/viewer/2022070803/5f02f8807e708231d406e8e9/html5/thumbnails/20.jpg)
Durée du POC : 2 Jours
Faible niveau d’authentification entre les équipements
Altération des données à la volée
Présentation Axians Cybersecurity Paris 2018 20
POC AXIANS
![Page 21: AXIANS CYBERSECURITY PARIS - APSSIS · ISO22301 SMCAProtection Continuité d’activité des données des cartes bancaires RGPD/GDPR des données à caractère personnel Cobit / ITIL](https://reader035.fdocument.pub/reader035/viewer/2022070803/5f02f8807e708231d406e8e9/html5/thumbnails/21.jpg)
Embedded • Binwalk
• Attify Badge tool
• Baudrate.py
• Openocd
• Flashrom
• Spiflash.py
Firmware and Software • Binwalk
• Firmware-Mod-Kit (FMK)
• Firmware Analysis Toolkit (FAT)
• radare2
• IDA Demo
• Dex2Jar
• JADx
• ROPGadget
Présentation Axians Cybersecurity Paris 2018 21
TOOLKIT
Distributions
• AttifyOS https://github.com/adi0x90/attifyos
• Kali : www.kali.org/
• Parrotsec : https://www.parrotsec.org/
• Metasploit
Radio • GQRX
• GNURadio
• Ubertooth-Utils
• HackRF
• KillerBee / Attify ZigBee Framework
![Page 22: AXIANS CYBERSECURITY PARIS - APSSIS · ISO22301 SMCAProtection Continuité d’activité des données des cartes bancaires RGPD/GDPR des données à caractère personnel Cobit / ITIL](https://reader035.fdocument.pub/reader035/viewer/2022070803/5f02f8807e708231d406e8e9/html5/thumbnails/22.jpg)
AXIANS CYBERSECURITY PARIS
Quelle sécurité?
![Page 23: AXIANS CYBERSECURITY PARIS - APSSIS · ISO22301 SMCAProtection Continuité d’activité des données des cartes bancaires RGPD/GDPR des données à caractère personnel Cobit / ITIL](https://reader035.fdocument.pub/reader035/viewer/2022070803/5f02f8807e708231d406e8e9/html5/thumbnails/23.jpg)
Firmwares obsolètes
Mises à jour et patches manquants
Comptes à privilèges codés en dur
Mots de passe par défaut
Services non nécessaires activés
Absence d’authentification
Applications Web et Services/ Interfaces non chiffrés
Sensibilisation
Supervision
Présentation Axians Cybersecurity Paris 2018 23
LES FAILLES COMMUNES
![Page 24: AXIANS CYBERSECURITY PARIS - APSSIS · ISO22301 SMCAProtection Continuité d’activité des données des cartes bancaires RGPD/GDPR des données à caractère personnel Cobit / ITIL](https://reader035.fdocument.pub/reader035/viewer/2022070803/5f02f8807e708231d406e8e9/html5/thumbnails/24.jpg)
Des capacités Hardwares limitées
Une sécurité des équipements limitée
Système d’exploitation peu sophistiqué
Absence d’authentification
Protocoles d’échange parfois non sécurisés
Sécurité des réseaux (Wifi, LAN) peu mise en œuvre
Sécurité des applications Backend
Parfois les constructeurs demandent de ne pas changer les paramètres par défaut
Fort besoin d’accès au vu de la nature des équipements et de l’utilisation
Présentation Axians Cybersecurity Paris 2018 24
LES CHALLENGES
![Page 25: AXIANS CYBERSECURITY PARIS - APSSIS · ISO22301 SMCAProtection Continuité d’activité des données des cartes bancaires RGPD/GDPR des données à caractère personnel Cobit / ITIL](https://reader035.fdocument.pub/reader035/viewer/2022070803/5f02f8807e708231d406e8e9/html5/thumbnails/25.jpg)
Présentation Axians Cybersecurity Paris 2018 25
ECOSYSTÈME
![Page 26: AXIANS CYBERSECURITY PARIS - APSSIS · ISO22301 SMCAProtection Continuité d’activité des données des cartes bancaires RGPD/GDPR des données à caractère personnel Cobit / ITIL](https://reader035.fdocument.pub/reader035/viewer/2022070803/5f02f8807e708231d406e8e9/html5/thumbnails/26.jpg)
Présentation Axians Cybersecurity Paris 2018 26
QUEL FRAMEWORK?
• Network Segmentation and/or Network Access Control (NAC) for
critical medical IoT devices
• Secure Remote Access
• Secure Medical IoT Device Network Architecture
• Medical IoT Device Encryption
• Secure Device Access Control and Authentication
• Wireless Security Controls
• Patch Management Processes
• Software Version Control Processes
• Change Management Processes
• Medical IoT Device Vendor Risk Management Program
• Device Risk Profiling
• Control Profile Development
• Secure Disposal Processes
• Physical Device Security
• Device Risk Assessment Tool Development
• Logging and Monitoring for Malicious Activity
• Logging and Monitoring for configuration
• changes
• Intrusion detection and Incident Response
• Forensic Toolkit for Intrusion Analysis
• Established roles, responsibilities, and FTE
• Information Sharing and Analysis Organization (ISAO) Development and
Participation
• Medical IoT Security Strategy
• Medical IoT Risk Management Policy • Medical IoT Minimum Security Baseline (MSB)
• Device Inventory
• Device Attribute Collection
• Asset Management Policy and Process • Secure Device Procurement Processes
Risk
Management Device
Mgmt
Medical IoT
Governance
Network
Security
Device
Security
Monitoring
Config
Mgmt
Medical IoT
Framework
![Page 27: AXIANS CYBERSECURITY PARIS - APSSIS · ISO22301 SMCAProtection Continuité d’activité des données des cartes bancaires RGPD/GDPR des données à caractère personnel Cobit / ITIL](https://reader035.fdocument.pub/reader035/viewer/2022070803/5f02f8807e708231d406e8e9/html5/thumbnails/27.jpg)
Phase 1 : Gouvernance, Stratégie et Planification
• Définir la stratégie de cybersécurité des équipements médicaux connectés en fonction des besoins opérationnels,
de gestion des risques et de conformité.
• Identifier les ressources pour mener à bien les activités quotidiennes, fournir l'architecture et le soutien à la mise en œuvre.
QUELLE DÉMARCHE?
Stratégie IoT intégrée dans la
sécurité de l'entreprise
Gouvernance de l'IoT médical et définition des politiques de
sécurité
Analyser et Gérer les risques IoT
Gestion des risques relatifs aux
fournisseurs d'IoT
Présentation Axians Cybersecurity Paris 2018 27
![Page 28: AXIANS CYBERSECURITY PARIS - APSSIS · ISO22301 SMCAProtection Continuité d’activité des données des cartes bancaires RGPD/GDPR des données à caractère personnel Cobit / ITIL](https://reader035.fdocument.pub/reader035/viewer/2022070803/5f02f8807e708231d406e8e9/html5/thumbnails/28.jpg)
Phase 2 : Déploiement et Mise en œuvre
• Mettre en œuvre les contrôles et mesures de sécurité
• Mettre en œuvre les concepts de Security By Design et Security By Default dans tous les déploiements et les acquisitions
QUELLE DÉMARCHE?
Cartographie, identification,
classification, utilisation et protection des flux de
données
Security by design, Amélioration du processus SDL
(Software / Systems Development Lifecycle)
Supervision & Détection
MCO/MCS
Développement d'un manuel d'intervention en cas d'incident médical
IoT
Présentation Axians Cybersecurity Paris 2018 28
![Page 29: AXIANS CYBERSECURITY PARIS - APSSIS · ISO22301 SMCAProtection Continuité d’activité des données des cartes bancaires RGPD/GDPR des données à caractère personnel Cobit / ITIL](https://reader035.fdocument.pub/reader035/viewer/2022070803/5f02f8807e708231d406e8e9/html5/thumbnails/29.jpg)
Phase 3 : Auditer / Analyser
• Analyser le niveau de résilience, de maturité, de conformité
QUELLE DÉMARCHE?
Audit de maturité, d’hygiène
Audit d’intrusion, de vulnérabilités
Analyse de conformité légale et réglementaire
Présentation Axians Cybersecurity Paris 2018 29
![Page 30: AXIANS CYBERSECURITY PARIS - APSSIS · ISO22301 SMCAProtection Continuité d’activité des données des cartes bancaires RGPD/GDPR des données à caractère personnel Cobit / ITIL](https://reader035.fdocument.pub/reader035/viewer/2022070803/5f02f8807e708231d406e8e9/html5/thumbnails/30.jpg)
Présentation Axians Cybersecurity Paris 2018 30
INITIATIVES ET GROUPES DE TRAVAIL
![Page 31: AXIANS CYBERSECURITY PARIS - APSSIS · ISO22301 SMCAProtection Continuité d’activité des données des cartes bancaires RGPD/GDPR des données à caractère personnel Cobit / ITIL](https://reader035.fdocument.pub/reader035/viewer/2022070803/5f02f8807e708231d406e8e9/html5/thumbnails/31.jpg)
INITIATIVES ET GROUPES DE TRAVAIL
• Enisa, Cadre de certification européen
• https://www.enisa.europa.eu/topics/standards/certification
• NIST Working Group : NISTIR 8200
• https://csrc.nist.gov/publications/detail/nistir/8200/draft
• IOT CyberSecurity Alliance
• https://www.iotca.org
• IOT Security Foundation
• www.iotsecurityfoundation.org/
• IOT Institute
• http://www.ioti.com/
• OWASP Security Guidance
• https://www.owasp.org/index.php/IoT_Security_Guidance
• Cloud Security Alliance IoT Working Group
• https://cloudsecurityalliance.org/group/internet-of-things/#_overview
Présentation Axians Cybersecurity Paris 2018 31
![Page 32: AXIANS CYBERSECURITY PARIS - APSSIS · ISO22301 SMCAProtection Continuité d’activité des données des cartes bancaires RGPD/GDPR des données à caractère personnel Cobit / ITIL](https://reader035.fdocument.pub/reader035/viewer/2022070803/5f02f8807e708231d406e8e9/html5/thumbnails/32.jpg)
1. Désactiver SMB
2. Évaluer le niveau de sécurité (autoévaluation, audit externe) avant toute mise en service
3. Cloisonner, filtrer
4. Mettre à jour, upgrader
5. Durcir, utiliser des mots de passe complexes, appliquer le principe de moindre privilèges
6. Utiliser des protocoles sécurisés
7. Inclure des clauses de cybersécurité dans les contrats des partenaires et dans les projets
8. Monitorer et contrôler
9. Sensibiliser, évangéliser
10. Initier une veille en sécurité
QUICK-WINS
Présentation Axians Cybersecurity Paris 2018 32
![Page 33: AXIANS CYBERSECURITY PARIS - APSSIS · ISO22301 SMCAProtection Continuité d’activité des données des cartes bancaires RGPD/GDPR des données à caractère personnel Cobit / ITIL](https://reader035.fdocument.pub/reader035/viewer/2022070803/5f02f8807e708231d406e8e9/html5/thumbnails/33.jpg)
Nous sommes dans une dynamique positive :
• Prise de conscience du législateur et des éditeurs (au moins les leaders)
• Plusieurs normes, standards, directives en cours.
Le monde des objets connectés reste encore très vulnérable.
Les acteurs peuvent vous accompagner, vous n’êtes plus seuls!
CONCLUSION
Présentation Axians Cybersecurity Paris 2018 33
![Page 34: AXIANS CYBERSECURITY PARIS - APSSIS · ISO22301 SMCAProtection Continuité d’activité des données des cartes bancaires RGPD/GDPR des données à caractère personnel Cobit / ITIL](https://reader035.fdocument.pub/reader035/viewer/2022070803/5f02f8807e708231d406e8e9/html5/thumbnails/34.jpg)
BE CERTAIN
Know thy self, know thy enemy. A thousand battles, a thousand victories. Sun Tzu (544 - 496 av JC)