axians cybersecurity paris - apssis · iso22301 smcaprotection continuité d’activité des...
TRANSCRIPT
Quelle sécurité pour les équipements médicaux?
AXIANS CYBERSECURITY PARIS
2
VINCI, ACTEUR MONDIAL DES MÉTIERS DES CONCESSIONS ET DE LA CONSTRUCTION
Énergies Concessions Routes Construction
38,1 Mds€ de chiffre d’affaires en 2016
183 000 collaborateurs
Présent dans plus de
110 pays
Présentation Axians Cybersecurity Paris 2018
Plus de
3
VINCI ENERGIES AU SEIN DE VINCI
L’UN DES PÔLES D’ACTIVITÉS DE VINCI
Présentation Axians Cybersecurity Paris 2018
10,2
Mds€ de chiffre d’affaires en 2016
51
pays d’implantation dont 30 hors d’Europe
1 600
entreprises
64 500
collaborateurs
4
AXIANS SPÉCIALISTE DE L’ICT
Angola
Autriche
Belgique
République Tchèque
Danemark
France métropolitaine et
Outre-mer
Allemagne
Côte d'Ivoire
Maroc
Mozambique
Pologne
Portugal
Espagne
Suède
Suisse
Les Pays Bas
Royaume-Uni
USA
Tunisie
2 Mds De chiffre d'affaires en 2017
210
Entreprises
9,000
Collaborateurs
22
Pays
Présentation Axians Cybersecurity Paris 2018
Présentation Axians Cybersecurity Paris 2018 5
AXIANS CYBERSECURITY PARIS
CYBERSECURITY
Présentation Axians Cybersecurity Paris 2018 6
CONFORMITÉ ET GESTION DES RISQUES
ISO27001
SMSI
Sécurité de
l’Information
ISO22301
SMCA
Continuité
d’activité
PCI DSS
Sécurité des
données des cartes
bancaires
RGPD/GDPR
Protection des
données à caractère
personnel
Cobit / ITIL
Gouvernance et
Gestion des
services IT
LPM / RGS
Loi de
programmation
militaire
ISO27005
Analyse de
risques
•Gestion de la sécurité des environnements industriels (SCADA)
•ISO27017 & ISO 27018 et sécurité des environnements Cloud
•Sécurité des environnements connectés (IoT/IoE)
•Intégration de la sécurité dans les SDLC / Projets
•Classification des données
•Politiques et chartes de sécurité
•Indicateurs et KPI
•Gestion des changements
•Gestion des campagnes de sensibilisation
Services AlliaCERT
Présentation Axians Cybersecurity Paris 2018 7
ALLIACERT | COMPUTER EMERGENCY RESPONSE TEAM
• Veille en vulnérabilités et menaces
• Cyber-surveillance
• Threat Intelligence
• Réponse aux incidents
• Gestion de crise
• Analyses forensiques
Paris
Tunis
Kuala Lumpur
Présentation Axians Cybersecurity Paris 2018 8
IOT SOC / CERT
AXIANS CYBERSECURITY PARIS
Panorama des menaces et vulénrabilités
Les appareils sont connectés aux patients physiquement
Les données obtenues à partir des appareils sont stockées sur papier ou localement
Les appareils sont des produits « physiques »
Les soins sont administrés à la main dans un établissement de santé
L'accès physique est nécessaire pour afficher les données de santé
Présentation Axians Cybersecurity Paris 2018 10
ENTRE HIER ET AUJOURD’HUI…
Les appareils sont connectés en sans fil aux patients et à d’autres applications
Les données obtenues à partir des appareils sont stockées dans le cloud
Les dispositifs comprennent des logiciels et des bases de santé
Les soins sont accessibles aux patients grâce à des applications
Les données de santé peuvent être accessibles depuis n'importe où
Hier Aujourd’hui
SCOTT ERVEN ET MARK COLLAO / DERBYCON 2015
21 appareils d’anesthésie, 488 équipements de cardiologie, 133 systèmes d’injection, 31 stimulateurs cardiaques, 97 IRM, 323 appareils d’imagerie médicale sont vulnérables
Plusieurs de ces équipements sont répertoriés par Shodan, le moteur de recherche des IoT
Accès SSH distants, failles de consoles Web, mots de passe par défaut, très anciennes vulnérabilité, etc.
Présentation Axians Cybersecurity Paris 2018 11
WANNACRY
Un équipement Bayer MedRad utilisé pour
les analyses IRM infecté par le
ransomware WannaCry
Présentation Axians Cybersecurity Paris 2018 12
Présentation Axians Cybersecurity Paris 2018 13
AUTRES ATTAQUES
Présentation Axians Cybersecurity Paris 2018 14
LES MOTEURS DE RECHERCHE
Présentation Axians Cybersecurity Paris 2018 15
LES MOTEURS DE RECHERCHE
Présentation Axians Cybersecurity Paris 2018 16
LES MOTEURS DE RECHERCHE
les chercheurs en sécurité de chez WhiteScope ont découvert 8 600 vulnérabilités dans les systèmes de pacemaker et les bibliothèques tierces
Les chercheurs ont découvert ces défauts dans sept produits différents, appartenant à quatre fabricants différents
Les programmeurs de pacemaker, et le stimulateur cardiaque implanté d’une même société ne s’authentifiaient pas mutuellement.
Pas besoin d’une authentification des médecins
Les systèmes de pacemaker stockent des données sur des supports non chiffrés
Présentation Axians Cybersecurity Paris 2018 17
8 600 VULNÉRABILITÉS
Chantage à la crise cardiaque?
Présentation Axians Cybersecurity Paris 2018 18
QUELLE EST LA PROCHAINE ÉTAPE?
Présentation Axians Cybersecurity Paris 2018 19
POC AXIANS
Interception et
Manipulation des
données
Connexion Originelle
Application Mobile Oxymètre connecté
Nouvelle Connexion
Pont de données
Simule
l’équipement
médical
Simule
l’application
mobile
160
40%
Durée du POC : 2 Jours
Faible niveau d’authentification entre les équipements
Altération des données à la volée
Présentation Axians Cybersecurity Paris 2018 20
POC AXIANS
Embedded • Binwalk
• Attify Badge tool
• Baudrate.py
• Openocd
• Flashrom
• Spiflash.py
Firmware and Software • Binwalk
• Firmware-Mod-Kit (FMK)
• Firmware Analysis Toolkit (FAT)
• radare2
• IDA Demo
• Dex2Jar
• JADx
• ROPGadget
Présentation Axians Cybersecurity Paris 2018 21
TOOLKIT
Distributions
• AttifyOS https://github.com/adi0x90/attifyos
• Kali : www.kali.org/
• Parrotsec : https://www.parrotsec.org/
• Metasploit
Radio • GQRX
• GNURadio
• Ubertooth-Utils
• HackRF
• KillerBee / Attify ZigBee Framework
AXIANS CYBERSECURITY PARIS
Quelle sécurité?
Firmwares obsolètes
Mises à jour et patches manquants
Comptes à privilèges codés en dur
Mots de passe par défaut
Services non nécessaires activés
Absence d’authentification
Applications Web et Services/ Interfaces non chiffrés
Sensibilisation
Supervision
Présentation Axians Cybersecurity Paris 2018 23
LES FAILLES COMMUNES
Des capacités Hardwares limitées
Une sécurité des équipements limitée
Système d’exploitation peu sophistiqué
Absence d’authentification
Protocoles d’échange parfois non sécurisés
Sécurité des réseaux (Wifi, LAN) peu mise en œuvre
Sécurité des applications Backend
Parfois les constructeurs demandent de ne pas changer les paramètres par défaut
Fort besoin d’accès au vu de la nature des équipements et de l’utilisation
Présentation Axians Cybersecurity Paris 2018 24
LES CHALLENGES
Présentation Axians Cybersecurity Paris 2018 25
ECOSYSTÈME
Présentation Axians Cybersecurity Paris 2018 26
QUEL FRAMEWORK?
• Network Segmentation and/or Network Access Control (NAC) for
critical medical IoT devices
• Secure Remote Access
• Secure Medical IoT Device Network Architecture
• Medical IoT Device Encryption
• Secure Device Access Control and Authentication
• Wireless Security Controls
• Patch Management Processes
• Software Version Control Processes
• Change Management Processes
• Medical IoT Device Vendor Risk Management Program
• Device Risk Profiling
• Control Profile Development
• Secure Disposal Processes
• Physical Device Security
• Device Risk Assessment Tool Development
• Logging and Monitoring for Malicious Activity
• Logging and Monitoring for configuration
• changes
• Intrusion detection and Incident Response
• Forensic Toolkit for Intrusion Analysis
• Established roles, responsibilities, and FTE
• Information Sharing and Analysis Organization (ISAO) Development and
Participation
• Medical IoT Security Strategy
• Medical IoT Risk Management Policy • Medical IoT Minimum Security Baseline (MSB)
• Device Inventory
• Device Attribute Collection
• Asset Management Policy and Process • Secure Device Procurement Processes
Risk
Management Device
Mgmt
Medical IoT
Governance
Network
Security
Device
Security
Monitoring
Config
Mgmt
Medical IoT
Framework
Phase 1 : Gouvernance, Stratégie et Planification
• Définir la stratégie de cybersécurité des équipements médicaux connectés en fonction des besoins opérationnels,
de gestion des risques et de conformité.
• Identifier les ressources pour mener à bien les activités quotidiennes, fournir l'architecture et le soutien à la mise en œuvre.
QUELLE DÉMARCHE?
Stratégie IoT intégrée dans la
sécurité de l'entreprise
Gouvernance de l'IoT médical et définition des politiques de
sécurité
Analyser et Gérer les risques IoT
Gestion des risques relatifs aux
fournisseurs d'IoT
Présentation Axians Cybersecurity Paris 2018 27
Phase 2 : Déploiement et Mise en œuvre
• Mettre en œuvre les contrôles et mesures de sécurité
• Mettre en œuvre les concepts de Security By Design et Security By Default dans tous les déploiements et les acquisitions
QUELLE DÉMARCHE?
Cartographie, identification,
classification, utilisation et protection des flux de
données
Security by design, Amélioration du processus SDL
(Software / Systems Development Lifecycle)
Supervision & Détection
MCO/MCS
Développement d'un manuel d'intervention en cas d'incident médical
IoT
Présentation Axians Cybersecurity Paris 2018 28
Phase 3 : Auditer / Analyser
• Analyser le niveau de résilience, de maturité, de conformité
QUELLE DÉMARCHE?
Audit de maturité, d’hygiène
Audit d’intrusion, de vulnérabilités
Analyse de conformité légale et réglementaire
Présentation Axians Cybersecurity Paris 2018 29
Présentation Axians Cybersecurity Paris 2018 30
INITIATIVES ET GROUPES DE TRAVAIL
INITIATIVES ET GROUPES DE TRAVAIL
• Enisa, Cadre de certification européen
• https://www.enisa.europa.eu/topics/standards/certification
• NIST Working Group : NISTIR 8200
• https://csrc.nist.gov/publications/detail/nistir/8200/draft
• IOT CyberSecurity Alliance
• https://www.iotca.org
• IOT Security Foundation
• www.iotsecurityfoundation.org/
• IOT Institute
• http://www.ioti.com/
• OWASP Security Guidance
• https://www.owasp.org/index.php/IoT_Security_Guidance
• Cloud Security Alliance IoT Working Group
• https://cloudsecurityalliance.org/group/internet-of-things/#_overview
Présentation Axians Cybersecurity Paris 2018 31
1. Désactiver SMB
2. Évaluer le niveau de sécurité (autoévaluation, audit externe) avant toute mise en service
3. Cloisonner, filtrer
4. Mettre à jour, upgrader
5. Durcir, utiliser des mots de passe complexes, appliquer le principe de moindre privilèges
6. Utiliser des protocoles sécurisés
7. Inclure des clauses de cybersécurité dans les contrats des partenaires et dans les projets
8. Monitorer et contrôler
9. Sensibiliser, évangéliser
10. Initier une veille en sécurité
QUICK-WINS
Présentation Axians Cybersecurity Paris 2018 32
Nous sommes dans une dynamique positive :
• Prise de conscience du législateur et des éditeurs (au moins les leaders)
• Plusieurs normes, standards, directives en cours.
Le monde des objets connectés reste encore très vulnérable.
Les acteurs peuvent vous accompagner, vous n’êtes plus seuls!
CONCLUSION
Présentation Axians Cybersecurity Paris 2018 33
BE CERTAIN
Know thy self, know thy enemy. A thousand battles, a thousand victories. Sun Tzu (544 - 496 av JC)