Jean-François Baillette, TOP 10 DES FAILLES DE SÉCURITÉ
Transcript of Jean-François Baillette, TOP 10 DES FAILLES DE SÉCURITÉ
![Page 1: Jean-François Baillette, TOP 10 DES FAILLES DE SÉCURITÉ](https://reader036.fdocument.pub/reader036/viewer/2022062401/62aaf70e0008c67554122c2f/html5/thumbnails/1.jpg)
TOP 10 DES FAILLES DE SÉCURITÉ
Jean-François Baillette, ITrust
![Page 2: Jean-François Baillette, TOP 10 DES FAILLES DE SÉCURITÉ](https://reader036.fdocument.pub/reader036/viewer/2022062401/62aaf70e0008c67554122c2f/html5/thumbnails/2.jpg)
Est un Acteur innovant
dans la Surveillance
et l’ Amélioration continue
de la Sécurité des Systèmes d’Information.
Expertise en SSI – Produits – Centre de sécurité
Présentation
![Page 3: Jean-François Baillette, TOP 10 DES FAILLES DE SÉCURITÉ](https://reader036.fdocument.pub/reader036/viewer/2022062401/62aaf70e0008c67554122c2f/html5/thumbnails/3.jpg)
Aeronautics/Engineering Bank Healthcare
Food in
dustry
SME/Association Leading IT
provider Education
Présentation
![Page 4: Jean-François Baillette, TOP 10 DES FAILLES DE SÉCURITÉ](https://reader036.fdocument.pub/reader036/viewer/2022062401/62aaf70e0008c67554122c2f/html5/thumbnails/4.jpg)
Cadre général de la Sécurité des SI
D : Disponibilité
I : Intégrité
C : Confidentialité
P : Preuve
![Page 5: Jean-François Baillette, TOP 10 DES FAILLES DE SÉCURITÉ](https://reader036.fdocument.pub/reader036/viewer/2022062401/62aaf70e0008c67554122c2f/html5/thumbnails/5.jpg)
Cadre général de la Sécurité des SI
Disponibilité
Un ami urgentiste m’a dit dernièrement que:
Soigner les malades n’est pas une difficulté,
Trouver des lits disponibles en spécialité … c’est moins évident
Intégrité
Les équipes des hôpitaux sont formées à l’Identito-vigilance, la pharmaco-vigilance,
"La peur en code barres » dans le livre de Cédric Cartau décrit une situation où 2 enfants échangent leur bracelets
![Page 6: Jean-François Baillette, TOP 10 DES FAILLES DE SÉCURITÉ](https://reader036.fdocument.pub/reader036/viewer/2022062401/62aaf70e0008c67554122c2f/html5/thumbnails/6.jpg)
Cadre général de la Sécurité des SI
Confidentialité
Serment d'Hippocrate et celui de l'ordre apportent un respect à la personne humaine et la notion d'intimité,
Versus OpenData et objets connectés…
Preuve
Il existe d’excellentes raisons métier et médico-légales pour que les processus de stérilisation soient parfaitement contrôlés de bout en bout
![Page 7: Jean-François Baillette, TOP 10 DES FAILLES DE SÉCURITÉ](https://reader036.fdocument.pub/reader036/viewer/2022062401/62aaf70e0008c67554122c2f/html5/thumbnails/7.jpg)
Cadre général de la SSI - SPOF
Single Point Of Failure
Le grain de sable
Les accidents n’arrivent pas toujours là où on s’y attend et où on aurait vu du risque
Exemple du CHU de Nantes : pour des raisons de licence périmée, l’imprimante codes barre pour plateaux repas ne fonctionne plus et provoque une rupture de la chaîne d'approvisionnement des 3000 lits de l’hôpital.
![Page 8: Jean-François Baillette, TOP 10 DES FAILLES DE SÉCURITÉ](https://reader036.fdocument.pub/reader036/viewer/2022062401/62aaf70e0008c67554122c2f/html5/thumbnails/8.jpg)
Avez-vous des vulnérabilités ?
Vos vulnérabilités menacent-elles :
La disponibilité de votre SI ? (Si le réseau tombe que se passe-t’il ?)
L’intégrité des informations ou … des patients? (Pompes à insuline, pace maker)
La confidentialité des informations qui vous sont confiées ? (Bases de données ou équipements avec mots de passe par défaut)
Votre capacité à établir des preuves ? (Altération de logs, suppression de fichiers, …)
![Page 9: Jean-François Baillette, TOP 10 DES FAILLES DE SÉCURITÉ](https://reader036.fdocument.pub/reader036/viewer/2022062401/62aaf70e0008c67554122c2f/html5/thumbnails/9.jpg)
90% de chances …
Que notre équipe rentre chez vous avec seulement 10 clefs …
![Page 10: Jean-François Baillette, TOP 10 DES FAILLES DE SÉCURITÉ](https://reader036.fdocument.pub/reader036/viewer/2022062401/62aaf70e0008c67554122c2f/html5/thumbnails/10.jpg)
Constat
75% C’est le taux d’entreprises piratées au cours
des 2 dernières années (Source étude Cenzic).
Ce taux atteint 90% sur les statistiques de nos audits.
La plupart du temps les entreprises ne savent même pas qu’elles sont piratées.
![Page 11: Jean-François Baillette, TOP 10 DES FAILLES DE SÉCURITÉ](https://reader036.fdocument.pub/reader036/viewer/2022062401/62aaf70e0008c67554122c2f/html5/thumbnails/11.jpg)
Constat
115 audits depuis 2007
![Page 12: Jean-François Baillette, TOP 10 DES FAILLES DE SÉCURITÉ](https://reader036.fdocument.pub/reader036/viewer/2022062401/62aaf70e0008c67554122c2f/html5/thumbnails/12.jpg)
TOP Ten
Les 10 failles de sécurité les
plus fréquemment
rencontrées…
![Page 13: Jean-François Baillette, TOP 10 DES FAILLES DE SÉCURITÉ](https://reader036.fdocument.pub/reader036/viewer/2022062401/62aaf70e0008c67554122c2f/html5/thumbnails/13.jpg)
10, 09, 08, …
• 10 Systèmes trop verbeux : DNS
• 09 - Relations de confiance
• 08 – Gestion des droits
telnet, .rhosts, hosts.equiv, …
Exemple du stagiaire qui a souvent plusieurs maîtres de stages et … tous leurs droits …
![Page 14: Jean-François Baillette, TOP 10 DES FAILLES DE SÉCURITÉ](https://reader036.fdocument.pub/reader036/viewer/2022062401/62aaf70e0008c67554122c2f/html5/thumbnails/14.jpg)
07, 06, 05 …
07 Protocoles d’administration
Avec SNMP on peut arrêter un onduleur … pourquoi pas le bloc opératoire ?
06 Bases de données
Mot de passe d’origine
0000 (pour ne pas oublier)
05 Partage de fichiers
Le plus souvent sans restriction …
![Page 15: Jean-François Baillette, TOP 10 DES FAILLES DE SÉCURITÉ](https://reader036.fdocument.pub/reader036/viewer/2022062401/62aaf70e0008c67554122c2f/html5/thumbnails/15.jpg)
04, 03, 02 …
04 Serveurs de test ou à l’abandon
Contiennent de nombreuses
informations exploitables
Voire des informations confidentielles
03 : Vulnérabilités web/internet
Cookies avec mots de passe en clair
Caméras de vidéo-surveillance utilisables
02 : Mots de passe
1234
Sous le clavier
Ou dans un fichier
![Page 16: Jean-François Baillette, TOP 10 DES FAILLES DE SÉCURITÉ](https://reader036.fdocument.pub/reader036/viewer/2022062401/62aaf70e0008c67554122c2f/html5/thumbnails/16.jpg)
01 – Vulnérabilités Historiques
Vulnérabilités connues
Quasiment 100% de présence
Problématique la plus facile à exploiter et à automatiser
Il suffit de mettre à jour les systèmes et applications pour s’en prémunir.
Responsables de la plupart des exploitations dans l’actualité
Exemple du Playstation Network – Conficker dans les hôpitaux
![Page 17: Jean-François Baillette, TOP 10 DES FAILLES DE SÉCURITÉ](https://reader036.fdocument.pub/reader036/viewer/2022062401/62aaf70e0008c67554122c2f/html5/thumbnails/17.jpg)
Conclusion
Plus de 9 fois sur 10 nous pénétrons un système au cours d’un audit – à partir d’une vulnérabilité de ce top 10.
75% C’est le taux d’entreprises piratées au cours des
2 dernières années.
97% Des attaques auraient pu être évitées par des
contrôles simples ou intermédiaires (Source Verizon).
Un outil de détection de services et de vulnérabilités automatisé permet d’identifier la majeure partie de ces menaces.
![Page 18: Jean-François Baillette, TOP 10 DES FAILLES DE SÉCURITÉ](https://reader036.fdocument.pub/reader036/viewer/2022062401/62aaf70e0008c67554122c2f/html5/thumbnails/18.jpg)
Bonne nouvelle :
99% des failles de sécurité peuvent être corrigées très facilement
…Et ne sont pas traitées par les antivirus et firewalls !
![Page 19: Jean-François Baillette, TOP 10 DES FAILLES DE SÉCURITÉ](https://reader036.fdocument.pub/reader036/viewer/2022062401/62aaf70e0008c67554122c2f/html5/thumbnails/19.jpg)
2ème bonne nouvelle :
C’est comme les lunettes, la première paire est gratuite !
Elle vous permet une auto-évaluation en continu.
![Page 20: Jean-François Baillette, TOP 10 DES FAILLES DE SÉCURITÉ](https://reader036.fdocument.pub/reader036/viewer/2022062401/62aaf70e0008c67554122c2f/html5/thumbnails/20.jpg)
A quoi ça sert ?
A piloter le processus de sécurité
Vue Destinataire Indicateurs
Stratégie DG/DSI - % du budget SSI dans le budget SI - Nombre de plaintes - Nombre d’évènements indésirables - % utilisateurs formés
Pilotage DSI - Nombre d’incidents majeurs - Couverture des risques - Avancements des projets / mesures SSI
Opérationnels DSI-OP - Nombre d’incidents de sécurité - Taux de vulnérabilité des architectures - Taux de couverture antimalware - Taux de conformité du parc PC
By courtesy of Stéphane Duchesnes, RSSI CHU Bordeaux
![Page 21: Jean-François Baillette, TOP 10 DES FAILLES DE SÉCURITÉ](https://reader036.fdocument.pub/reader036/viewer/2022062401/62aaf70e0008c67554122c2f/html5/thumbnails/21.jpg)
Qui peut aider ?
Souvent le salut vient de la réglementation.
Les incitatifs sont forts dans hôpital numérique avec des bénéfices à la clef
Le contrôle est rendu obligatoire, c’est une tendance forte dans les normes et guides
Guide d’hygiène sur la sécurité de l’ANSSI
20 contrôles de sécurité du SANS
Norme santé HDS – publications de l’ASIP
Travaux des RSSI, des GCS, …
ISO 27001…
![Page 22: Jean-François Baillette, TOP 10 DES FAILLES DE SÉCURITÉ](https://reader036.fdocument.pub/reader036/viewer/2022062401/62aaf70e0008c67554122c2f/html5/thumbnails/22.jpg)
Qui peut aider ?
Le GCS TéléSanté Centre est un outil à disposition de ses adhérents pour les accompagner dans leur démarche.
TéléSanté Centre propose un service d'audit flash de sécurité permettant d'aider les établissement à faire leur autoévaluation en termes de maturité Sécurité des SI.
![Page 23: Jean-François Baillette, TOP 10 DES FAILLES DE SÉCURITÉ](https://reader036.fdocument.pub/reader036/viewer/2022062401/62aaf70e0008c67554122c2f/html5/thumbnails/23.jpg)
Questions ?
ITrust - Siège Social
55 Avenue l’Occitane,
BP 67303
31673 Labège Cedex
+33 (0)5.67.34.67.80
www.itrust.fr
www.ikare-monitoring.com