Rssi449 documents taggés

Sécurité SI : les éditeurs devraient-ils dévoiler leurs faiblesses à leurs futurs clients ?

La Délégation ministérielle du numérique en santé (DNS) a organisé le 12 avril un webinaire consacré aux critères de sécurité des SI dans le cadre du référencement Ségur (SONS). Les résultats du questionnaire de la vague 1 sur leur niveau de maturité ont donné lieu à débat : devraient-ils être communiqués aux établissements de santé ?

Sécurité des SI et bandes dessinées

De temps en temps, je ressors un album de BD histoire de me changer les idées, entre un contrôle de flux https sortant sur le firewall externe et une revue des habilitations fonctionnelles. Et c’est le propre des grands ouvrages ou des grandes séries que d’avoir plusieurs niveaux de lecture selon que l’on soit gamin, adulte ou pire : RSSI.

La sécurité des SI en chapka

Je ne voudrais pas jouer les rageux, mais il faut tout de même le dire : Ian Fleming et Francis Fukuyama[1] se sont allègrement vautrés.    

La rentabilité de la sécurité des SI : pipeau et clarinette

La première fois que je suis tombé sur ce discours, j’avoue ne pas avoir vu venir l’esbroufe. Il s’agissait d’une discussion avec un consultant à qui j’avais demandé une prestation d’analyse et de conseil en amont de l’arrivée du RGPD, histoire de voir de quoi il retournait (on était en 2017) et ce qu’il fallait faire : on passait tout de même d’une logique purement administrative à une logique de gestion des risques, ce qui n’était pas un petit changement. Au cours de la conversation, il a été question d’un accompagnement de plusieurs centaines de journées hommes : j’ai dû un peu tiquer car le consultant m’a parlé de retour sur investissement de la démarche de conformité RGPD. Ben voyons.

La sécurité des SI ou le concours de l’avant-dernier

Le nom de Danny Faulkner ne doit pas vous dire grand-chose : le bonhomme était un filou de haut vol, un prince des montages financiers douteux qui, à lui tout seul (ou presque), a réussi à faire frôler la banqueroute à rien de moins que l’ensemble du réseau des caisses d’épargne des États-Unis, et ce dans les années 1980, soit au bas mot 20 ans avant la crise des subprimes de 2008. Mais son arnaque était compliquée, faisait intervenir pas mal d’acteurs (souvent à leur insu), des montages financiers circulaires, bref, un vrai sac de nœuds et c’est certainement la raison pour laquelle son nom est inconnu en dehors des spécialistes[1].    

Numérique responsable : la e-santé a son rôle à jouer !

Les 17 et 18 mars prochains, le groupement d’intérêt public SIB organise les 10èmes Journées de ses Adhérents à Saint-Malo. Première édition présentielle depuis le début de la crise sanitaire et après la transformation organisationnelle du SIB, ces dixièmes journées réuniront les établissements de santé, les collectivités, les collaborateurs et les partenaires du SIB autour des enjeux du numérique responsable. Rendez-vous pris pour DSIH.

Partage et réutilisation des données de santé, dénominateur commun des projets SIH

Le partage de données recouvre des réalités très différentes : au sein d’une équipe de soins, entre professionnels pour avis médical, etc. Me Marguerite Brac de La Perrière, associée Santé numérique du cabinet Lerins & BCW, est l’une des spécialistes en France du droit de la santé et du numérique[1]. L’occasion pour Cédric Cartau, RSSI et DPO du CHU de Nantes, d’un échange avec elle sur ce sujet de premier plan au cœur duquel se place le consentement du patient.

Les Entretiens DSIH : L'Hôpital face aux enjeux de la sécurité avec Cédric Cartau

DSIH lance une série d’entretiens, intitulée les Entretiens de la Semaine, menés par nos consultants. Le principe repose sur un face-à-face permettant d’aborder des sujets autour du numérique, de l’évolution des Systèmes d’information, de la formation… Le ton est amical mais sans langue de bois.

Des CSIRT en région : avec quels moyens RH ?

Dans un communiqué du 11 janvier dernier[1], l’Anssi annonce avoir signé des conventions avec sept régions pour la création de CSIRT : Computer Security Incident Response Teams ou équipes de réponse à incident cyber.      

Test des procédures dégradées : que tester et jusqu’où ?

Procédons à un vote tout ce qu’il y a de plus démocratique : faut-il des procédures dégradées relatives au SI ? Qui est contre ? Qui s’abstient ? A voté, c’est oui.

En 2022, Microsoft fait tourner en bourrique les « adminsys » !

2021 – Bilan d’une année

2021 se termine, le Covid est toujours là, et il est temps de faire un bilan, sans prétention comme d’habitude.

Ma lettre au Père Noël 2021

Cher Père Noël, comme chaque année je t’écris car j’ai été encore hypersage, bien plus que les années précédentes. Non, ce n’est pas l’âge, c’est juste la crise sanitaire.

Avec un tel calendrier de l’avent, aucun RSSI n’aura envie d’ouvrir les cadeaux au pied du sapin cette année…

Après une nouvelle année assez éprouvante en termes de vulnérabilités, d’attaques subies et contenues, si vous pensiez vous relâcher en cette période de fêtes de fin d’année, je crains que vous ne soyez déçu…

La cyber est-elle assurable ?

Lors du colloque annuel consacré à la cybersécurité organisé par le ministère – un rendez-vous maintenant incontournable –, une intervention de Sham[1] (assureur historiquement très présent dans le monde de la santé) a eu pour sujet le descriptif de ce qui est assurable et de ce qui ne l’est pas, parmi les risques cyber courants. Petit décryptage.

Ransomwares : vers la chienlit ?

Aux Assises de Monaco s’est tenue une très intéressante conférence de Wavestone, avec l’inoxydable Gérôme Billois en tant que principal intervenant, dont le thème était en substance ce que les boîtes du CAC 40 ont mis en œuvre pour se protéger de la menace crypto.

Emotet de retour, POC Exchange, 0-day Windows : à quelle sauce les attaquants prévoient de nous manger cette semaine ?

La sensibilisation à la sécurité informatique ne sert à rien

Je n’avais pas encore atteint mon quota de poil à gratter cette semaine – j’ai des objectifs hebdomadaires moi môssieur, pas le temps de rigoler, que croyez-vous ? – et je me suis dit que mettre bien franchou les pieds dans le plat de lentilles à propos des habituels lieux communs me permettrait d’exploser les objectifs.

Sécurité des SI : calcul des budgets à l’envers

Quand un RSSI rencontre un autre RSSI, ils se racontent des histoires de RSSI. Deux sujets au moins viennent immanquablement sur la table pour peu qu’on les laisse assez longtemps ensemble : le rattachement hiérarchique, et les budgets SSI dans leur entreprise.

ISO 27001 : 8 consultants WELIOM certifiés et une démarche d’accompagnement originale et outillée

Accompagner les établissements de santé à sécuriser leurs processus SI fait partie intégrante des missions de WELIOM, Cabinet de conseil leader en stratégies de transformation du système de santé. Que ce soit dans le cadre d’une certification HDS ou dans la mise en œuvre de la directive NIS, la certification ISO 27001 des activités de la DSI en support des processus métiers est une stratégie gagnante.

Un peu de culture dans ce monde de cyberbrutes

C’est bien connu, les vacances, c’est fait pour déguster des huîtres, faire du sport et se balader, mais surtout écluser sa pile de livres ou d’émissions culturelles. Petite sélection.

Ransomwares : faut-il interdire le paiement des rançons ?

Il est de ces débats où ce n’est pas tant la question posée elle-même qui est intéressante, mais la somme des points de vue – et donc des réponses – que l’on peut y apporter. Qui a lu l’excellent ouvrage d’Amin Maalouf (Les Croisades vues par les Arabes) sait que les points de vue sont surtout révélateurs de la vision du monde de ceux qui les expriment. Il en va ainsi d’une question qui commence à poindre dans le débat public : faut-il interdire aux entreprises, publiques ou privées, qui subissent une attaque de ransomware de payer la rançon demandée pour retrouver l’accès à leurs données ? Le sujet a fait l’objet d’une très intéressante interview croisée de Gérôme Billois (Wavestone) et Me François Coupez (disponible sur YouTube[1]), et les réponses peuvent être variées.    

Les Assises 2021 : Guillaume Poupard revient sur les fondamentaux, et les enrichit

Le thème de ces Assises 2021 était le « Back to Fundamentals », lancé par Patrick Pailloux en 2011, à l’époque Directeur de l’ANSSI.

Sécurité des SI, menaces et patching permanent : non, ce n’était pas mieux avant

Aux 21es Assises de la sécurité qui viennent de se terminer, deux conférences sur deux jours différents traitent, sans concertation de leurs auteurs, d’un thème commun abordé sous deux angles distincts : la qualité du code. En informatique, que l’on parle de logiciel ou de matériel, au final tout est code et, en fin de compte (si l’on excepte les rares cas de bugs de conception des microprocesseurs), toute vulnérabilité provient du code logiciel.

10ème Congrès National SSI Santé APSSIS : rendez-vous au #CNSSIS2022 !

Les 5, 6 et 7 avril 2022, l’APSSIS organisera son 10ème Congrès National de la SSI Santé. 180 participants sont attendus à l’espace culturel des Quinconces du Mans pour 3 jours de conférences, de débats et d’échanges. Cette 10ème édition aura bien sûr un caractère exceptionnel !

L’AFCDP vous présente la 3ème édition de son Baromètre trimestriel

Avec son Observatoire trimestriel, l’AFCDP souhaite estimer l’évolution de la conformité des organisations, et évaluer la perception des DPO sur des sujets techniques et d’actualité.

La Rentrée de la e-santé, première édition

La semaine dernière, l’Agence du numérique en santé a tenu sa conférence de rentrée à la Fabrique événementielle, dans le 10e arrondissement de Paris, et sur les réseaux. Elle était animée par Charlotte Savreux et Lionel Reichardt.

Le secteur de la santé est-il ciblé par les attaquants ?

Si de nombreuses attaques semblent être opportunistes, phishing en masse, machines vulnérables et / ou mal configurées exposées sur Internet, mauvais clic, il arrive malgré tout de voir des attaques ciblant spécifiquement le secteur de la santé.

Rejoignez « Parlons Ségur », la première communauté entièrement dédiée au Ségur du Numérique

À travers le volet numérique du Ségur de la santé, le ministère des Solidarités et de la Santé entend généraliser le partage fluide et sécurisé des données de santé entre professionnels et avec l’usager, pour mieux prévenir et mieux soigner.

APSSIS 2021 : les enjeux de sécurité au cœur du développement de l'appli carte Vitale

L'application carte Vitale, actuellement en phase d'expérimentation et qui devrait être généralisée fin 2022, pourra servir de moyen d'accès sécurisé à l'espace numérique Mon Espace Santé, qui sera créé automatiquement pour l'ensemble des citoyens au premier trimestre 2022. Ses enjeux de sécurité sont donc particulièrement importants. Ils ont été présentés le 23 juin lors du 9e congrès de l'Association pour la sécurité des systèmes d'information de santé (Apssis).

Guide Cyber-Résilience : opus 4

Le quatrième opus des Guides Cyber-Résilience est paru. La thématique : la sécurisation du Cloud, avec l’objectif de poser clairement le problème, de présenter les différentes approches possibles avec leurs avantages et leurs inconvénients, de sensibiliser le lecteur aux questions connexes de telle sorte à disposer d’une vision globale du sujet. Le Guide s’adresse aussi bien aux professionnels de santé qu’aux décideurs ou aux DSI. 

Webinaire DSIH « Interopérabilité et cybersécurité : deux enjeux majeurs pour les dispositifs médicaux !»

Un webinaire de 75 minutes, le 17 juin à 11h00 avec le retour d’expérience de l’AP-HP et des Hôpitaux Universitaires de Strasbourg, interrogés par l’APSSIS

Cybersécurité à l’hôpital : une prise de conscience urgente des dirigeants s’impose

Par Jean-Noël Galzain, Fondateur de WALLIX & Philippe Loudenot, Membre spécialiste de la Santé du CESIN et anciennement au Ministère de la Santé

Nouveau référentiel Mathurin-H : de l’avantage d’être certifié ISO 27001

Un nouveau référentiel de certification des systèmes d’information de santé se profile. Dénommé Mathurin-H, il concrétise l’action 23 de la feuille de route du numérique en santé. Yves Normand, formateur ISO/CEI 27001 Lead Implementer, consultant en sécurité de l’information, auditeur qualifié ISO 27001 et HDS, répond aux questions de DSIH sur les enjeux de ce référentiel pour les établissements de santé, et l’intérêt d’être certifié ISO 27001.

La cyber à l’heure de Darwin

Selon Alain Bauer[2], le prochain virus sera cyber… et l’impréparation totale. Et j’ai beau tourner et retourner l’idée dans ma tête dans tous les sens, j’arrive toujours à cette même conclusion.    

Le mardi noir des RSSI

Traditionnellement, comme chaque deuxième mardi du mois, Microsoft publie son célèbre « patch tuesday » venant corriger en nombre les vulnérabilités affectant ces divers produits, dont les systèmes Windows. Ce n’était déjà pas facile de faire l’analyse de cette ribambelle de vulnérabilités pour savoir ce qu’il fallait corriger et surtout avec quel degré d’urgence, sachant que les vulnérabilités sont de plus en plus vites exploitées, quand elles ne le sont pas déjà bien avant la publication de leurs correctifs…

Le WAF et l’IPS peuvent-ils sauver nos dispositifs médicaux connectés ?

Les systèmes Scada, cauchemar du RSSI hospitalier – Volet 2

Dans le premier volet, nous avons dressé un état des lieux des systèmes Scada : définition, histoire, origine des vulnérabilités. Poursuivons.

Les systèmes Scada, cauchemar du RSSI hospitalier – Volet 1

Il s’agit d’un sujet qui revient régulièrement dans quasiment tous les congrès ou les discussions entre spécialistes IT ou RSSI, la sécurisation des systèmes Scada peut rapidement devenir un cauchemar pour tout le monde. Petit récapitulatif.

Dernier patch critique Exchange : dents en bois et jambe en mousse

Ce mois-ci, comme le mois dernier, Microsoft nous avait réservé une bonne séance de patching sur nos serveurs Exchange. Souvenez-vous [1], le 2 mars, Microsoft, après s’être lui-même fait percer, publiait en urgence un correctif pour quatre vulnérabilités permettant d’exécuter du code arbitraire à distance sans authentification sur une interface OWA exposée sur Internet et obtenir un Webshell qui pourrait éventuellement permettre de prendre le contrôle de l’ensemble du SI.

Former les utilisateurs à la sécurité des SI : et si on faisait fausse route ?

Durant sa formation, un élève pilote d’aéronef apprend deux types de compétence : le pilotage à proprement parler, et la gestion des emmerdements qui, comme chacun sait, volent toujours en escadrille (sans mauvais jeu de mots). Il existe des statistiques précises sur le sujet, et aucun domaine n’a autant poussé l’analyse des accidents que l’aérien. Ainsi, un pilote commet en moyenne sept erreurs par heure, allant de la bêtise anodine (oublier de changer de fréquence radio) au truc beaucoup plus ennuyeux, par exemple oublier de sortir le train d’atterrissage… avant l’atterrissage (je suggère au lecteur curieux de visionner le lien ci-dessous [1], aucun blessé heureusement).

Webinaire DSIH « Cybersécurité et Internet des objets (IOT) : quelles protections concrètes pour les acteurs de santé ? »

Les cyberattaques récentes contre les structures de santé ont mis en évidence des failles de sécurité potentielles dans les systèmes d’information. On a bien sûr évoqué les ransomwares insérés dans des courriels. On parle plus rarement des attaques via les objets connectés, qui se sont pourtant multipliées. Médecins, soignants, RSSI, DSI et même patients, dans des établissements hospitaliers, en ville ou à domicile, tous les acteurs sont concernés par la sécurité des objets connectés.

Le PCA/PRA : une actualité navale

Il y a pas mal d’idées fausses concernant ce que l’on nomme dans le jargon des RSSI un PCA/PRA : plan de continuité ou de reprise d’activité.

Comment BlueFiles by Enovacom permet aux Agences Régionales de Santé de réaliser le contact tracing des patients covid-19 ?

Les Agences Régionales de Santé (ARS) sont impliquées dans l’organisation de la prise en charge des malades, la réorganisation des hôpitaux, la politique de tests à grande échelle et le suivi des personnes ayant été en contact avec un malade de la Covid-19 (contact tracing).

Guide Cyber-Résilience : opus 3

Le troisième opus des Guides Cyber-Résilience est paru. La thématique : les habilitations d'accès aux données. Avec l’objectif de poser clairement le problème, de présenter les différentes approches possibles avec leurs avantages et inconvénients, de sensibiliser le lecteur aux questions connexes de telle sorte à disposer d’une vision globale du sujet : il s’adresse aussi bien aux professionnels de santé qu’aux décideurs ou aux DSI. 

Vulnérabilités 0 day à la chaîne, RSSI sous antidépresseurs et DSI sous amphétamines

Depuis le début de l’année, on peut dire que les semaines se suivent et… se ressemblent… Systèmes compromis, vulnérabilité activement exploitée, patching en urgence, systèmes compromis, nouvelles vulnérabilités activement exploitées, patching en urgence… et ainsi de suite.

Les RSSI santé sous pression : et si ce n’était pas toujours la faute des utilisateurs ?

On peut dire que cette année 2021 commence très fort ! Trois établissements paralysés par le rançongiciel Ryuk en moins de deux mois [1], une base de données de 50 000 identifiants appartenant à des membres d’établissements de santé français [2], et une couverture médiatique importante des incidents, rien de tel pour finir de mettre sous pression les établissements de santé, qui ont bien d’autres « antivirus » à injecter en ce moment.

Attaques crypto : quel niveau d’information pour les décideurs ?

Les deux attaques de février (Dax et Villefranche) sont encore en cours, et il apparaît que le niveau d’information et d’échange des professionnels de l’IT (adminsys, RSSI, DSI, etc.) est fortement décorrélé de celui des décideurs ou du grand public : compréhension pas évidente de ce qu’est un cryptolocker, difficulté à envisager son impact pour un hôpital. Petite synthèse.

Attaques crypto : l’année 2021 commence à fond

La nature humaine étant ce qu’elle est, il se trouve toujours des personnages sans morale pour aller tirer sur leur prochain ou sur l’ambulance, en particulier pendant ou malgré – c’est selon – une situation tendue, voire de crise. C’est ce que le monde de la santé vit, depuis 2020, avec une multiplication des piratages, des tentatives d’intrusion et même, dans les cas plus graves, les blocages de tout ou partie du SI avec la pire cochonnerie que l’informatique ait produite en 40 ans : les cryptolockers.

Cybersécurité : des hôpitaux à la merci des hackers ?

Les infrastructures informatiques des hôpitaux sont constamment mises à l’épreuves. La numérisation des dossiers médicaux qui avait permis d’améliorer le suivi des patients et le partage d’information entre les praticiens représente une véritable aubaine pour les hackers désireux de tirer profit des données hautement sensibles qu’ils contiennent.