Rssi449 documents taggés

Sécurité des SI : danger de la monotonie, l’enjeu du RSSI

Dans le dernier numéro du Courrier international (n° 1579 du 4 février), tout un dossier est consacré à la façon dont les administrations de plusieurs pays ont géré la crise Covid-19 depuis son origine. Le premier article du dossier, centré sur le Royaume-Uni, ne fait pas dans la dentelle et fait carrément le parallèle avec la retraite en catastrophe de l’armée britannique à Dunkerque en 1940. Trois journalistes méconnus à l’époque avaient fait paraître un court essai (Guilty Men, non traduit en français) qui fustigeait une administration dépassée par les événements, incapable d’interpréter les signes pourtant évidents d’une guerre à venir et préférant un fonctionnement routinier à une mobilisation préalable, coûteuse mais nécessaire, de ressources.

Le RSSI et ses relations dans l’organisation

Le RSSI a pour mission d’identifier des objectifs de sécurité du SI puis de mettre en œuvre les moyens nécessaires pour les atteindre. C’est la définition même d’une Politique de Sécurité des Systèmes d’Information. Pour qu’elle soit efficiente, la PSSI doit présenter des objectifs SMART (#qualité) : Spécifiques, Mesurables, Atteignables, Réalisables et Temporellement définis. Le RSSI s’appuie alors sur un référentiel existant (ISO 27001, PGSSI-S, PSSI-MCAS etc.) puis réalise et tient à jour une analyse des risques SI ainsi qu’un plan de traitement des risques. 

Le CH de Saint-Lô certifié Hébergeur de Données de Santé et ISO27001

Le CH de Saint-Lô a obtenu ces deux certifications le 23 octobre 2020 pour les services d’hébergement de données de santé des Centres Hospitaliers de Coutances et Carentan (établissements partis du GHT)

L’AFCDP partage les défis de DPO pendant le confinement

À l’écoute de ses adhérents, l’AFCDP a souhaité partager trois retours d’expérience de DPO qui ont relevé des défis différents liés au premier confinement de la crise COVID. Ci-dessous, le témoignage de Moufid Hajjar, Délégué à la protection des données au CHU de Bordeaux.

Un petit quiz pour rester en forme

La formation continue, c’est important. C’est pourquoi, une fois n’est pas coutume, je propose à l’aimable lecteur un petit quiz, sur le thème des SI et de la sécurité des SI, pour se maintenir dans une forme intellectuelle éblouissante en ce début d’année. Une seule bonne réponse par question, on compte les points à la fin.

2020, bilan d’une année

C’est l’heure du bilan d’une annus horribilis, à tout point de vue.

Ma lettre au père Noël

Cher père Noël, comme tous les ans je t’écris car j’ai été encore hypersage, bien plus que d’habitude. Non, ce n’est pas l’âge, c’est juste la crise sanitaire.

Mise à mort de CentOS : coup dur pour la communauté du libre, pour les RSSI et les SI en général

C’est une véritable bombe qui a été lâchée sur la communauté du libre le 8 décembre dernier ! Le pingouin a pris du plomb dans l’aile. Alors que sa fin de vie avait initialement été annoncée pour le 31/12/2029, CentOS 8 voit sa fin de vie avancée au 31/12/2021 ! [1]  

Dedalus victime d’une attaque cyber

Le mercredi 2 décembre dernier, le groupe Dedalus faisait l’objet d’une attaque informatique dont, du reste, on ne connaît pas grand-chose. Rien que de très banal en termes d’actualité cyber : ce n’est pas la première entreprise à se faire attaquer et ce ne sera malheureusement pas la dernière. Personnellement je me garderais bien de jouer les donneurs de leçons ; qui peut raisonnablement affirmer qu’il ne sera jamais, ô grand jamais, victime d’une attaque ciblée, d’un ransomware, etc. ?

Cadrer les opérations des admins sur les systèmes

Les administrateurs systèmes (adminsys) disposent – par définition – de droits techniques étendus et, de ce fait, peuvent tout voir, tout surveiller, tout modifier : c’est même la raison pour laquelle on les paye. Dans l’immense majorité des cas, il n’en résulte aucune espèce de problème, mais cela dit, sans tomber dans la paranoïa, il ne faut pas pour autant négliger de cadrer leurs prérogatives : la confiance n’exclut pas le contrôle.

L’état inquiétant de la sécurité des SI hospitaliers

Le directeur de l’Anssi alerte régulièrement les pouvoirs publics sur l’état grandissant de la menace cyber et, la semaine dernière, le Cigref adressait dans un courrier[1] au Premier Ministre son inquiétude sur l’industrialisation de la cybercriminalité et la faible réponse étatique.  

Alternance : WELIOM regarde vers l’avenir !

C’est avec de nouveaux talents intégrés au sein de ses équipes que WELIOM termine l’année 2020. En ces temps de crise, quoi de plus naturel que de se tourner vers l’avenir ?

9ème Congrès National SSI Santé APSSIS : rendez-vous au #CNSSIS2021 !

Les 22, 23 et 24 juin 2021, l’APSSIS organisera son 9ème Congrès National de la SSI Santé. 160 participants sont attendus à l’espace culturel des Quinconces du Mans pour 3 jours de conférences, de débats et d’échanges. 

Health Data Hub : du recadrage de la CNIL à l’arrêt prévisible du service

Réussir un projet informatique c’est difficile, bien plus que de le rater. Mais ce qui est encore plus difficile c’est de l’arrêter au beau milieu en osant reconnaître que l’on s’est trompés. C’est exactement ce qui est en train d’arriver aux pouvoirs publics avec le Health Data Hub (HDH) : dans 40 ou 50 ans dans les promotions des écoles de management, pendant le cours des plus beaux fails de la prise de décision à haut niveau, nul doute que l’affaire des avions renifleurs sera traitée dans la même session que celle du Health Data Hub. Ainsi, selon Mediapart la CNIL demande que Microsoft cesse d’héberger le HDH[1].    

En direct de l’Apssis 2020

Le groupement hospitalier de territoire du Centre Bretagne fait appel à LockSelf pour sécuriser les échanges de fichiers avec ses parties prenantes

Le GHT du Centre Bretagne, composé des centres hospitaliers du Centre Bretagne et de Guémené-sur-Scorff ainsi que de la maison d’accueil spécialisée de Guémené-sur-Scorff, a fait le choix de LockTransfer, solution de chiffrement de l’éditeur français LockSelf, pour sécuriser le partage de données avec les acteurs non éligibles aux messageries sécurisées de santé participant aux parcours de soins des patients et des résidents.

Un rançongiciel tue une patiente, Emotet, Zerologon encore et toujours… XP s’évapore...

Un hôpital allemand victime d’un rançongiciel : une patiente décédée

Zerologon : est-il vraiment urgent de patcher ses contrôleurs AD ?

Si vous étiez en congés, ou tout simplement déconnecté, la semaine dernière, le CERT-FR de l’ANSSI a publié deux alertes en lien avec la vulnérabilité CVE-2020-1472, également baptisée « Zerologon » [1]. Si vous êtes attentif aux vulnérabilités critiques corrigées dans le fameux « patch tuesday » de Microsoft, vous vous rappelez certainement de cette vulnérabilité affectant l’implémentation du protocole d’authentification Netlogon Remote Protocol (MS-NRPC) dans les contrôleur de domaine Windows, corrigée au mois d’août [2].

Emotet : qui est ce démon qui vient hanter les nuits des RSSI ?

Depuis une semaine, suite à l’alerte lancée par le CERT-FR de l’ANSSI [1], il est la star de tous les magazines people de l’IT ! Mais qui est Emotet ?

Rentrée d’enfer pour les RSSI : pas le temps de finir de se raconter les vacances que l’on se fait déjà attaquer !

Les souliers neufs chaussés, le masque haute couture sur le nez et le cartable tendance à peine enfilé qu’il faut déjà commencer à éviter les balles ! Alors que l’on tente de faire un point sur les actualités de l’été à ne pas rater, le CERT-FR de l’ANSSI nous annonce déjà des orages cyber !

La rentrée se prépare : ChopChop pourrait bien enrichir le cartable du RSSI

La fin des vacances approche, l’heure est à l’achat des dernières fournitures scolaires, alors s’il  reste un peu de place entre la trousse et les cahiers dans votre cartable, je vous propose de l’enrichir avec ChopChop [1], un outil libre récemment partagé par le groupe Michelin sous licence Apache 2.0.

2020, bilan à mi-parcours

L’année 2020 aura été bizarre, confinement oblige. Ce n’est pas pour autant qu’il ne s’est rien passé, et ce n’est pas pour autant que les gendarmes et les voleurs (comprendre RSSI et hackers) se sont tournés les pouces – surtout pour les seconds. Bilan de la première moitié de l’année.

Cahier de vacances : navigateurs Web et nouveautés, comment bien préparer la rentrée ?

Les RSSI ne s’arrêtant jamais vraiment, je vous propose un cahier de vacances sur le thème des nouveautés à connaître qui sont et vont être implémentées dans les navigateurs Web et ce sur quoi il va falloir se pencher à la rentrée si ce n’est pas déjà fait...

Faille Doctolib – quelle réflexion sur les méta données ?

Mardi 21 juillet dernier, Doctolib annonçait officiellement qu’environ 6000 rendez-vous médicaux avaient fuité, victime d’un siphonnage faisant suite à un acte malveillant. Doctolib parle de fuite de « données administratives », affirmant qu’aucune donnée médicale n’est concernée.

1er Guide cyber-résilience : les mots de passe

L’APSSIS a le plaisir d’annoncer la première publication d’une série de plusieurs Guides à destination des professionnels du secteur. Conçus et élaborés par Cédric Cartau, RSSI/DPO du CHU de Nantes et Vice-président de l’APSSIS, ces guides se veulent à la fois accessibles, techniques et pratiques. Le premier opus traite d’un sujet qui anime régulièrement les discussions des RSSI, des DSI et des chefs de projet : les mots de passe. 

Exchange de plus en plus ciblé : les serveurs de messagerie restent une porte d’entrée privilégiée pour les attaquants

Les serveurs de messagerie sont toujours une cible de choix des attaquants. Déni de service, accès compromis au Webmail, diffusion de courriels malveillants, mais aussi et surtout, porte d’entrée dans le système d’information.

Comparatif des enjeux d’externalisation – partie 2

Dans le volet précédent, nous avons examiné les raisons qui pourraient conduire à externaliser tel ou tel processus métier, bien entendu avec l’IT en tête. Déroulons maintenant les éléments qu’il faut instruire avant de s’engager dans un tel projet. Toute décision d’externalisation devrait être évaluée à l’aune de sept critères.

Ripple 20 : cataclysme réseau dans l’IOT

Annoncée publiquement le 16/06/2020 par les chercheurs du laboratoire JSOF [1], Ripple 20 est une collection de 19 vulnérabilités impactant l’implémentation de la pile TCP/IP dans la librairie proposée par Treck [2]. Une présentation complète de ces travaux de recherche est prévue à la conférence Black Hat USA qui se tiendra au mois d’août [3]. Cette librairie est utilisée dans de très nombreux appareils de type IOT et notamment des dispositifs médicaux.

SMBGhost revient hanter les systèmes Windows 1903 et 1909

La vulnérabilité CVE-2020-0796 [1] baptisée SMBGhost n’a pas finie de faire parler d’elle et de faire passer des nuits blanches aux RSSI.

Crise sanitaire : la cybersécurité dans les cordes !

Le 16 mars 2020, l’état d’urgence sanitaire déclenchait dans les établissements de santé plusieurs processus de déploiement massif de solutions numériques. Télétravail, télémédecine, téléconférences, partage d’informations, médicales ou non, création de « structures fonctionnelles Covid » et usages de nouveaux modules de progiciels existants sont autant de projets qui ont mobilisé les DSI, sous la pression légitime des métiers. Certaines de ces réalisations ont été accompagnées d’un volet sécurité, essentiel surtout dans l’urgence, et supportées par des éditeurs consciencieux. D’autres non…

WELIOM renforce ses compétences avec l’intégration du Cabinet Vincent Trély Consultants

Issu de la fusion d’Odsis et de Cosilog, puis de l’intégration de Beeconsulting (1), WELIOM renforce ses compétences en cybersécurité, conformité et stratégies numériques avec l’acquisition du Cabinet Vincent Trély Consultants. C’est un joli nom de l’écosystème du numérique en santé qui rejoint le projet porté par Pierre-Yves André, PDG de WELIOM, dont l’ambition est de faire de la société, en 2022, le leader français du conseil en transformation numérique des organisations de santé.  

SI-DEP, la schizophrénie guette le RSSI/DPO

J’ai toujours adoré les curiosités de l’esprit : si vous avez une heure à perdre, je vous suggère d’aller faire un tour sur ce site[1]qui explique la diagonale de Cantor, astuce géniale avec laquelle le mathématicien allemand a démontré qu’il existait plusieurs catégories d’infini (authentique). Bon, en même temps, ne vous penchez pas trop au-dessus du précipice, le bonhomme a terminé ses jours dans un asile. Récemment, je suis tombé sur une autre curiosité avec un ouvrage de Jean-Paul Delahaye : la trompette de Torricelli, qui a la particularité d’avoir une surface infinie, mais un volume intérieur fini. On ne peut donc pas la peindre, mais on peut la remplir d’eau. Mais la remplir d’eau revient à peindre sa surface intérieure, non ?  

Covid-19 : quand viendra le temps du bilan sur le volet SI

Le temps viendra du bilan sur la crise Covid que nous traversons tous : bilan politique, bilan sur le système de santé, bilan sur les organisations, etc. À ce sujet, lire d’ailleurs l’excellente série publiée dans le journal Le Monde sur la stratégie des différentes mandatures entre les années 2005 et 2020. On y apprend entre autres que, fin mars, la France continuait de brûler des millions de masques, en pleine pénurie.

#SaveTheDate : Les rendez-vous WELIOM

WELIOM organise un temps d’échange avec des professionnels du secteur. S’appuyant sur des témoignages et en lien avec l’actualité, chaque webinar a été spécialement élaboré par nos experts-consultants. “Télémédecine post COVID-19" et “l’après-crise pour les DSI Santé” 

Sécurisation du télétravail, deuxième effet COVID – volet usage

Le télétravail nécessite des outils et une infrastructure adaptée, comme le développe Charles dans son article. Mais les outils ne sont pas tout, il y a aussi et surtout la question des usages, ceux autorisés et ceux qui interrogent.

Sécurisation du télétravail, deuxième effet COVID – volet technique

La situation inédite que nous vivons aura amené de nombreuses entreprises, institutions, administrations, sans oublier nos établissements de santé, pas toujours prêts, à mettre en place du télétravail, conformément à la volonté du gouvernement. Cette semaine, nous avons décidé de croiser nos plumes, préalablement désinfectées par friction hydro-alcoolique, pour réfléchir sur le sujet. Cédric s’étant penché sur le volet « usage », je vous propose de nous intéresser au volet « technique ».

L’Apssis publie deux séquences originales

« Le coronavirus, une aubaine pour les cybercriminels » (L’Express du 22 mars), « L’ampleur de l’épidémie de Covid-19 accroît les risques d’attaques informatiques » (Les Échos du 23 mars), « Le télétravail est une aubaine pour les pirates informatiques » (Le Point du 27 mars) : les titres de journaux, mais aussi les #ransomware et les #cyberpirates foisonnent sur Internet et sur les réseaux sociaux.

Confinement semaine 1 : étrange encéphalogramme de la SSI

Le moins que l’on puisse dire, c’est que la situation est des plus étranges.

Externalisation de la prise de rendez-vous médicaux en ligne : un pacte avec le diable ?

À l’ère du numérique, quel établissement de santé, s’il n’a pas encore franchi le pas, n’a jamais songé à mettre en place une solution de prise de rendez-vous en ligne pour ses patients ? Gain de temps pour les secrétaires médicales, redynamisation de l’image de l’établissement et confort pour les patients sont de véritables arguments de persuasion.

Anonymisation : comparatif de trois outils (partie I)

Les données nominatives de production (RH, patients, étudiants, etc.) sont accessibles aux professionnels qui les traitent (services RH, praticiens, enseignants, etc.), mais pas seulement. Qui n’a jamais eu besoin de mettre en place une base de formation, à partir d’un jeu de données réelles, qui n’a jamais eu besoin de transmettre à son éditeur un extract d’une DB pour analyser un bug tenace ? Il n’est pas question de rendre inintelligible des données de production aux adminsys eux-mêmes (qui de toute manière ont accès à tout, sauf à mettre en œuvre des moyens financièrement délirants), mais bien de pseudonymiser (remplacer les identités par des codes, la table de correspondance étant séparée) ou d’anonymiser une base (rendre quasi impossible le fait de remonter aux individus physiques avec des moyens « normaux »), pour la transmettre à des tiers. Petit comparatif de trois solutions.  

Collège des DSI/RSI de Normandie, les enseignements de la cyber-attaque du CHU de Rouen

Jeudi 20 février se tenait dans les nouveaux locaux du GCS Normand’eSanté à Caen la première réunion 2020 du collège des DSI/RSI des établissements de santé normands. La cyberattaque subie par le CHU de Rouen le 15 novembre 2019 était au cœur des échanges. Entretien avec Francis Breuille, président de ce collège et DSI du GHT Centre manche.

Contrôle à distance : encore une raison de fuir TeamViewer

Le logiciel de contrôle à distance TeamViewer est très populaire de par sa simplicité d’utilisation. S’il peut s’avérer pratique pour dépanner l’ordinateur de tatie Micheline qui habite à l’autre bout la France, le voir apparaître dans le système d’information de son établissement n’a pas de quoi réjouir un RSSI.

Le GCS Infotech 36 certifié HDS !

Un peu plus de 18 mois de travail, des investissements substantiels (salles informatiques aux normes, bureaux de la DSI sécurisés, outillage logiciel adapté) et beaucoup de volonté ont conduit le GCS Infotech 36 à la certification Hébergeur de données de santé. Accompagnée par Yves Normand et Vincent Trély, l’équipe a su faire face au défi que représentait le projet, porté par Maïlys Michenaud, DPO et cheffe de projet Certification, et Matthieu Kernanet, RSSI du centre hospitalier de Châteauroux.

Quand le RSSI se mêle des RH

Déjà qu’un RSSI bien calibré a une fâcheuse tendance à se mêler de tout et de n’importe quoi – les RSSI, ça ose tout, c’est même à cela qu’on les reconnaît –, si en plus il met son nez dans la gestion des ressources humaines, où va-t-on je vous le demande ? Cthulhu et Belzébuth se seraient-ils concertés pour introduire un peu plus d’entropie dans les organisations (autrement appelée « foutoir » dans les milieux autorisés) ? En fait, la question et la préoccupation sont tout à fait légitimes, comme nous allons le voir.

Cybersécurité : 2020 démarre sur les chapeaux de roues !

Je ne sais pas encore à quelle vitesse va nous propulser l’année 2020 jusqu’au 24 heures du Mans de l’APSSIS [1], mais l’on peut dire que l’année démarre en trombe !  

Quelques idées en vrac pour les RSSI désœuvrés

En général, que l’on soit RSSI technique (ce qui devrait d’ailleurs plutôt s’appeler CSSI) ou métier (que l’on devrait d’ailleurs plutôt appeler « Officier Sécurité SI » ou « Gestionnaire de risque SI »), on passe une bonne partie de son temps en projets divers et variés, à dépenser de l’argent que l’on n’a pas pour sécuriser des processus métiers qui existaient bien avant que l’on naisse, pour des MOA qui parfois ne savent pas qui on est. Bref, la routine.

50 nuances de RSSI : partageons pour avancer

La fonction de RSSI peut être occupée par des personnes aux profils très différents, et c’est sûrement encore plus le cas dans le secteur de la santé, tout particulièrement pour les établissements publics. Entre l’ingénieur qualité de formation qui ne sait pas ce qu’est un annuaire Active Directory et l’administrateur système qui limite son appréciation des risques au périmètre de son infrastructure technique, il y existe un « Pantone » de RSSI. Nous pourrions débattre pendant des jours entiers des qualités nécessaires pour être un bon gestionnaire de risques, mais ce n’est pas le sujet de cet article.

Interrogations existentielles d’un RSSI en Cyberland

D’habitude, ceux qui subissent mes divagations hebdomadaires savent que je passe une bonne partie de mon temps à exprimer des avis totalement péremptoires (qu’il ne faut pas écouter), à donner des conseils plus que discutables (qu’il ne faut pas suivre) et à critiquer mon prochain (qu’il faut plaindre). Bref, tous les défauts que, personnellement, je déteste chez les autres. Peut-être d’ailleurs aurais-je dû prendre des résolutions en ce sens pour 2020 ; trop tard, on verra en 2021.

Les bonnes résolutions pour 2020 en 10 commandements

Vous n’échapperez pas à la tradition, on ne commence pas une nouvelle année sans prendre de bonnes résolutions. Les fêtes de fin d’année sont passées et il temps de se remettre au travail. Je vous propose donc 10 commandements pour bien démarrer l’année 2020 !

Bilan 2019

Crise de foie est synonyme de bilan de l’année, nous n’allons donc pas déroger à la tradition. Et ce fut une année riche, très riche.