Sécurité & Certifications

La sécurité au cœur des métiers du CASD

Le CASD a mis tout son savoir-faire et son expertise en matière de sécurité pour proposer une offre d’hébergement de données confidentielles respectueuse des exigences réglementaires propres au traitement et à la diffusion des données couverte par un secret en France.

L’organisme souhaitant diffuser ses données confidentielles auprès d’acteurs externes peut ainsi :

  • les déposer au sein du CASD ;
  • indiquer nommément les personnes habilitées à accéder à ces données et pour quelle durée ;
  • indiquer les personnes ou les entités habilitées à recevoir un boîtier d’accès à ces données ;
  • définir les règles de confidentialité à faire respecter.

Avec la SD-Box, l’utilisateur peut travailler à distance sur des données confidentielles tout en garantissant au producteur de données :

  • qu’aucun fichier ne puisse être récupéré par l’utilisateur (pas de copier/coller, d’impressions, d’insertion de clé USB…)
  • qu’il s’agit bien de l’utilisateur habilité qui se connecte sur la SD-Box (authentification forte biométrique : le contrôle d’accès de l’utilisateur est réalisé à l’aide d’une carte à puce contenant un certificat de sécurité et un lecteur biométrique d’empreintes digitales. Conformément à la loi, ce traitement a fait l’objet d’une demande d’autorisation à la Commission Nationale de l’Informatique et des Libertés qui lui a été accordée : CNIL – délibération n°2014-369).
  • que toutes les communications entre la SD-Box et les serveurs sont cryptées.

Référentiel de Sécurité des Données de Santé (RSDS)

L’arrêté du 22 mars 2017 relatif au référentiel de sécurité applicable au Système National des Données de Santé (SNDS) fixe des contraintes pour la mise à disposition des données du SNDS dont le PMSI. Le CASD a d’ores et déjà intégré dans son fonctionnement les exigences du Référentiel de Sécurité des Données de Santé (RSDS).

Le CASD va déposer un dossier pour sa certification ISO 27 001 dont les exigences couvrent en très grande partie les exigences du RSDS. Le CASD s’engage à appliquer toutes les préconisations communes au dossier de certification ISO 27001 et le RSDS.

En l’occurrence, une analyse de risque exhaustive a été réalisée par le CASD (492 pages) couvrant tous les champs liés à la sécurité physique et logique du service de mise à disposition des données confidentielles et en particulier les données de santé. Des contremesures, la plupart déjà implémentées, ont été formalisées pour limiter les risques en matière de sécurité.

Bien que le RSDS n’impose pas d’enregistrement de session de manière explicite, le CASD met en place ce dispositif pour l’accès aux données de santé et a réalisé les investissements pour le développement et le matériel permettant de réaliser la capture et le stockage des actions interactives des sessions utilisateurs pour apporter toutes les garanties de traçabilité aux déposants de données de santé aux CASD.

Ci-dessous, le tableau de conformité du CASD au RSDS :

RSDS CASD
Analyse de risque Réalisée de manière exhaustive pour les données niveau “dossier médical”
Étude d’impact (PIA) Idem Analyse de Risque
Mise en œuvre Réalisée
Recette Réalisée
Homologation A communiquer au responsable de traitement (RT)
Dépend du RT
Suivi opérationnel SSI Réalisé
Externalisation
Analyse de Risque Réalisée
Analyse de risque détaillée
PGSSI OK
Modalité audits OK – Fourniture des synthèses
Exportation OK vers système homologué
Sensibilisation Séances enrôlement pour les utilisateurs et contrats
Formations et sensibilisation pour les administrateurs
Modalité d’accès
Disponibilité 24/24, 7/7
Accès depuis poste maîtrisé (PSSI-MCAS) SD-Box™ dédiée
La SD-Box™ est dédié à l’usage avec un très haut niveau de sécurité
Sortie données Vérification des sorties a priori ou a posteriori avec traçabilité et imputabilité (intégrité par chiffrement)
Code de bonnes pratiques de la statistique européenne
Intégrité des données L’utilisateur n’a qu’un accès en lecture aux données sources
Pas de modification possible pour l’utilisateur
Accès administrateur à internet Utilisateurs et administrateur n’ont pas accès à internet
SD-Box™ garantissant l’étanchéité de la Bulle
Identification et authentification
Identification directe d’une personne physique
En présentiel
Authentification Certification, carte à puce, biométrie
Autorisation 2014-369 de la CNIL
Traçabilité
Authentification Forte
Certification, carte à puce, biométrie
Gestion des rôles et des habilitations Gestion centralisée par annuaire
Référentiel des utilisateurs OK – Application dédiée sécurisée
Référentiel des ressources OK – Application dédiée sécurisée
Référentiels des rôles et des a habilitations associées OK – Application dédiée sécurisée et synchronisée
Datation partagée OK – Infrastructure dédiée
Constitution des traces Traces techniques + Traces d’enregistrement de session
Traces techniques (systèmes, requêtes d’accès sur fichiers de données) + enregistrement de session
Documentation spécifique OK
Journaux de traces : accès, sorties, exportations de données, les appariements, les opérations d’administration, les requêtes. Traces techniques
Le besoin en trace des requêtes pour les jeux de données à faible risque peut être arbitré au regard de l’analyse de risque
Surveillance
Temps de réponse du système OK
Elévation de privilèges OK – Audité régulièrement
Sortie de données non autorisées OK – Audité régulièrement et traçabilité
Accès non autorisé à une ressource du SNDS OK – Audité régulièrement
Modification anormale de données sources du SNDS OK – En lecture seule
Volume sorti trop important OK – Audité régulièrement
Horodatage des journaux OK – Cf palier 3 imputabilité
Traitement des incidents OK – Procédure dédiée et registre
Audits réguliers Au moins annuel
Revue des habilitations Au moins annuel
Droit des personnes si possible techniquement (hors anonymisation)

Audits

L’objectif des audits est de faire une vérification aussi exhaustive que possible du niveau de sécurité de l’infrastructure du CASD dans le cadre des contraintes définies par les déposants de données.

Le prestataire qui réalise l’audit doit être spécialisé dans le domaine de la sécurité informatique, être un PASSI (Prestataire d’Audit de la Sécurité des Systèmes d’Information) reconnue par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), et posséder des compétences pointues concernant les systèmes d’exploitation client et serveur, les méthodes d’attaques de VPN, les méthodes d’attaque des modes d’authentification…

Les audits s’effectuent selon quatre scénarios graduels avec comme objectifs soit de réussir une intrusion, soit de réussir une usurpation d’identité ou de réussir à récupérer un fichier de données.

SCÉNARIO 1 : Attaque du tunnel chiffré par Internet sans déclaration de l’IP publique

La société d’audit possède l’adresse réseau du CASD mais l’adresse réseau IP publique n’est pas dans la liste des adresses autorisées à se connecter par le CASD.

La société doit étudier s’il est possible d’attaquer l’embout du tunnel VPN-SSL ou de tirer quelques informations sur ce tunnel.

SCÉNARIO 2 : Attaque du tunnel chiffré par Internet avec déclaration de l’IP publique

La société d’audit possède l’adresse réseau du CASD et l’adresse réseau IP publique est inscrite dans la liste des adresses autorisées à se connecter par le CASD.

La société doit étudier s’il est possible d’attaquer l’embout du tunnel VPN-SSL ou de tirer quelques informations sur ce tunnel.

SCÉNARIO 3 : Attaque du tunnel chiffré par Internet avec déclaration de l’IP publique et possession d’un boîtier SD-Box

La société d’audit possède l’adresse réseau du CASD, l’adresse réseau IP publique est inscrite dans la liste des adresses autorisées à se connecter par le CASD et un boîtier fonctionnel est fourni au prestataire.

La société doit étudier s’il est possible d’attaquer l’embout du tunnel VPN-SSL et/ou de tirer quelques informations sur ce tunnel.

La société doit étudier s’il est possible de prendre le contrôle du boîtier :

– prendre le contrôle du système d’exploitation (modification de boot…),
– accéder au Shell d’une manière ou d’une autre,
– accéder à RDP pour ouvrir une session d’accès distant,
– accéder au boîtier par le réseau,
– usurper l’infrastructure centrale (attaque de type man in the middle),
– accéder aux ports USB, booter sur un port USB,
– modifier le Bios,
– lire le contenu du disque dur (si oui, aller plus loin en essayant d’établir la liaison), etc.
La liste n’est pas exhaustive et la société doit réaliser un maximum d’attaques (connues ou inconnues du GENES) dans cette configuration.

SCÉNARIO 4 : Attaque du VPN-SSL par Internet avec déclaration de l’IP publique, possession d’un boîtier SD-Box, possession d’une carte d’authentification valide

La société d’audit possède l’adresse réseau du CASD, l’adresse réseau IP publique est inscrite dans la liste des adresses autorisées à se connecter par le CASD, un boîtier fonctionnel est fourni au prestataire, ainsi qu’une carte valide d’authentification.

Cette configuration correspond à une tentative d’intrusion interne. La société peut se connecter comme le ferait un utilisateur interne.

Le compte de test a accès à des fichiers de données fictifs fabriqués pour l’occasion. L’objectif est de réaliser des tentatives de détournement pour répondre au moins aux questions suivantes :

– Est-il possible de récupérer ce fichier ?
– Est-il possible d’accéder à des fichiers dont théoriquement l’utilisateur n’a pas accès (fichiers ou données d’autres projets) ?
– Est-il possible d’usurper l’identité d’un utilisateur avec et sans sa carte ?

Des tests de résistance au mode d’authentification par carte à puce sont aussi  menés (test de la carte, du driver, etc.).

Vérification supplémentaire : isolation du réseau CASD

Le GENES donne accès à ses locaux à la société d’audit pour qu’elle teste si l’infrastructure du CASD est bien isolée du système d’information du GENES (switch réseau distinct, paramétrage du pare-feu…)

Rapport d’audit

Le rapport de la société d’audit doit être complet et indiquer toutes les modalités de tests, les protocoles réalisés, les codes source des programmes d’attaques…

Quatre audits ont été réalisés avec succès par des sociétés certifiées PASSI par l’ANSSI, dont le plus récent date de janvier 2017.

PGP

La clef PGP publique du CASD peut être utilisée pour sécuriser les transmissions vers le CASD. Nous vous invitons à nous contacter via service@casd.eu pour toute question à ce sujet.

TÉLÉCHARGER LA CLEF PGP PUBLIQUE DU CASD

DÉTAILS CONCERNANT LA CLEF :

ID: 2BBE1271
Type : RSA
Size : 4096/4096
Created : 2013-06-12
Expires : Never
Cipher : AES-256
Fingerprint : 53B8 8ED6 A9F1 0E0B 62FD 5208 889E 5557 2BBE 1271