Rssi449 documents taggés

On est peut-être en fin de race – de RSSI s’entend. Partie I

OK, je l’avoue, j’ai une légère tendance au pessimisme. Mais là, vous avouerez que cela commence à faire beaucoup : non seulement les incidents se multiplient, non seulement aucun des RSSI présents aux Assises, et avec qui j’ai pu causer un peu entre deux one-to-one, ne voit le bout du tunnel, mais il apparaît clairement que nous sommes dans une situation de type « alignement néfaste conjoncturel » assez unique dans l’histoire de la sécurité des SI.

Cryptolockers : état des lieux et plans de protection

Je suis positivement inquiet sur l’évolution de la menace que représentent les cryptolockers, pas tant par le fait qu’il n’existe aucun moyen fiable de s’en protéger à 100 % (ce qui était le cas des « zero days » et qui n’est pas nouveau), mais surtout parce qu’il semblerait que nous n’en soyons qu’à la version 1.0 du grand foutoir. Rien ne m’agace plus d’ailleurs que de croiser, sur un colloque ou un stand de fournisseur, un responsable commercial m’annonçant avec fierté que son produit à lui éradique les cryptos sous prétexte qu’il fait de l’analyse comportementale.

PRA, fois 2 ou fois 4 ?

Le PRA – ou Plan de reprise d’activité – est l’ensemble des dispositifs techniques ou organisationnels qu’il est nécessaire de mettre en œuvre, non seulement pour s’assurer que l’IT ne tombera presque jamais en panne (volet technique), mais également pour que, si d’aventure cela se produit, les métiers pourront continuer une activité minimale sans mettre en jeu la vie des patients. Il existe de subtiles différences entre le PRA et le PCA (Plan de continuité d’activité) que j’ai développées dans le chapitre V de mon premier ouvrage[1], et si vous voulez mettre le bazar dans une réunion de RSSI, les lancer sur ce sujet est aussi efficace que d’évoquer la peine de mort ou l’affaire Dreyfus dans un dîner en ville.  

Le signalement des incidents de sécurité

Le 12 septembre dernier est enfin sorti le décret[1] que tous les RSSI attendaient avec impatience, et qui contraint les organisations publiques ou privées à déclarer les incidents de sécurité. Dans les faits, ce décret vient préciser comme prévu l’article L. 1111-8-2[2] du Code de la santé publique.  

MFC : L’ennemi de la confidentialité

Les copieurs multifonctions ou MFC (pour Multiple Function Copiers en anglais) sont présents dans nos établissements depuis de nombreuses années.

CICF an 2 : alors là, poussez-vous tout le monde

L’année dernière, à l’occasion de la première édition de l’audit de certification des comptes, je m’étais fendu d’un article dithyrambique[1] sur son impact – positif – pour les RSSI dont je suis.  

Du shadow IT au shadow Darty

Ces dernières années, nous aurons été abreuvés de concepts plus ou moins bancals, la plupart du temps vantés par certains fournisseurs de solutions matérielles plus ou moins intégrées, avant d’être dénigrées peu de temps après par des consultants à jolie cravate. Dans les deux cas, c’est le client qui se fait tondre, merci pour lui.

Fuites de données : rien de tel pour se remettre en question

L’actualité brûlante a de quoi nous faire réfléchir sur la sécurité en place au sein de nos SIH.

La santé du patient ou la sécurité de ses données : faut-il vraiment choisir ?

SI de santé : l’APSSIS propose trois jours de formation pour un 360° de la cybersécurité. Dinard, les 12, 13 et 14 septembre 2016

L’APSSIS clôture son cycle de formation sur la sécurité des systèmes d’information de santé en proposant une session spéciale à Dinard, coorganisée avec DSIH Magazine. Ces trois jours s’adressent aux professionnels désireux de comprendre la problématique sécurité, son environnement réglementaire et juridique, les modalités de mise en œuvre opérationnelle de la SSI au cœur d’un établissement public ou privé ainsi que la pédagogie à déployer pour en faire un projet transversal compris et accepté. La future gouvernance de la SSI au sein des GHT sera l’un des sujets récurrents des trois jours.

In the middle of malwares !

L’horizon est plutôt noir. Certains chiffres sont édifiants. Des millions de malwares (entre 170 recensés et plus de 500 estimés) dans le monde. Une étude de Ponemon Institute de 2015 révèle qu’une organisation reçoit 17 000 alertes de type malware par semaine, dont 19 % considérées comme dangereuses. Et seulement 4 % des alertes seraient réellement investiguées. Jean-Nicolas Piotrowski, PDG d’ITrust, leader français de solutions innovantes en cybersécurité, revient sur les solutions éprouvées en matière de sécurité des SI.

EKIALIS Explore : Une dimension nouvelle pour la cartographie des SIH

Cosialis Consulting, société française de conseil en organisation et systèmes d’information, réalise pour ses clients du monde de la santé des missions de conseil en utilisant la suite logicielle Ekialis* : Ekialis Pilot pour le pilotage des activités récurrentes et des projets (soutien au Contrat pluriannuel d’objectifs et de moyens), Ekialis Explore pour la cartographie du SIH et la maîtrise des risques. Entretien avec Didier Pescarmona, consultant associé.

« L’enjeu pour la sécurité des systèmes d’information de santé »

L’année 2015 a été marquée sous le signe du vol de données dans le secteur de la santé. Comme le montre l’analyste du Gartner - Jack Santos, d’importants incidents de sécurité sont survenus l’année passée - plus de 110 millions de données ont été exposées. (Source Gartner)

En direct du Congrès de l’Apssis – le cryptage en mode Keep It Simple

Le métier de RSSI est quelquefois ingrat, entre les cryptolockers qui vous pourrissent la vie, les budgets riquiqui et les stratégies IT qui font trop souvent l’impasse sur la sécurité. Mais, osons le reconnaitre, il a aussi certains côtés sympathiques. Et notamment quand Philippe Loudenot (le FSSI du Ministère, pour ceux qui ne le sauraient pas) m’appelle en me disant : « Cédric, j’aimerai bien que tu teste un outil étonnant, je n’ai pas vu de produits à la fois aussi simple et innovant depuis longtemps, et en plus c’est français ».

En direct du Congrès de l’Apssis – comment convaincre le DG de la nécessité d’un RSSI

La question à 1 million d’euros, que se posent tous les DSI et RSI de France et de Navarre : comment convaincre son DG qu’il faut se préoccuper de la sécurité du SI, et accessoirement de recruter un RSSI ?

En direct du Congrès de l’Apssis : C’est dans l’air

Le 4e Congrès de l’Apssis s’est ouvert le 4 avril par la table ronde « C’est dans l’air » animée par Patrice Large, DSI du CH Eure-et-Seine.  

Concours de langue de bois

Depuis le temps que cela me démange, ça y est, je m’y mets : un florilège à la Prévert des poncifs, des lieux communs et des phrases langue de bois qui émaillent les réunions et les groupes projets dans ce merveilleux monde de l’IT. C’est parti.

Alsace e-santé au congrès national de la SSI, le mardi 5 avril 2016

Alsace e-santé présentera sa démarche régionale de sécurité des systèmes d’information de santé appelée Capssis, lors du Congrès national de la sécurité des systèmes d’information (SSI), le mardi 5 avril 2016, au Mans.

Pouvoirs du RSSI, une approche Itil de la question

Lors d’une intervention qui aura fait date et que les RSSI vieux et sages raconteront le soir à la veillée à leurs arrière-petits-enfants, Patrick Pailloux invoquait comme un mantra le pouvoir de dire « non » des RSSI. S’entend non aux âneries qui émaillent les SI et plombent la sécurité : mots de passe administrateurs par défaut, machines sans protection antivirale sur le réseau, etc. Quand on interroge les RSSI en santé (l’affaire est vite réglée : ils sont à peine 50), trois approches à ce pouvoir de dire non sont traditionnellement évoquées.

Quand Dieu ne sait plus, il appelle Alexandre

On dira ce que l’on voudra, mais les normes ISO c’est tout sauf une partie de rigolade : il faut tout de même se creuser un peu la tête pour assimiler et surtout imaginer comment on va adapter ce machin dans nos organisations.

Cryptolockers et métaphysique de la communication utilisateur

Depuis janvier 2015 – plus d’un an –, des vagues de cryptolockers s’abattent régulièrement sur nos SI, hospitaliers ou cliniques, de santé ou non.

Les SI de santé , nouvelles cibles des hackers

Les cyberattaques menacent les systèmes d’information hospitaliers. Si les hôpitaux français disposent d’un cadre réglementaire et d’outils référentiels récents, l’effort doit porter sur les moyens humains dédiés à la gestion de ce risque particulier.

Info flash : un hôpital américain cible de hackers

La nouvelle fait le tour de la presse spécialisée autant que des grands quotidiens, un hôpital de Los Angeles vient de subir une attaque de la part de hackers, qui réclamaient plus de 3M de dollars pour débloquer le SI. Au final, l'établissement affirme avoir déboursé 17 000 dollars pour remettre le SI en services.

Le congrès 2016 de l’APSSIS à « guichet fermé »

La quatrième édition du Congrès National de la Sécurité des Systèmes d’Information de Santé, qui se tiendra au Mans les 4, 5 et 6 avril 2016, accueillera 140 professionnels de la SSI Santé. Les inscriptions seront closes le 20 février, le nombre de places maximum étant atteint.

Gestion des identités : le schéma directeur d’un GHT ne peut pas se passer d’un méta-annuaire

Le Big Data comme antidote

Cyberespionnage, cyberchantage,  intrusions, vols : les dirigeants d’entreprises ou d’organisations publiques prennent conscience de la réalité et de la dangerosité des menaces. Mais comment se protéger? Avec le Big Data et le recours à des technologies analytiques de plus en plus pointues !

ITIL v3 et le catalogue des services en sécurité SI – partie 3

Dans une première partie[1], nous avons traité de généralités concernant l'offre de services de la DSI en matière de sécurité, et plus spécifiquement de disponibilité, avec en ligne de mire la constitution d’un tableau officiel qui recense l'ensemble des composant identifiés comme étant critiques. Dans une deuxième partie[2], nous avons développé le cas des plages d’arrêt convenues pour les opérations de maintenance technique et en particulier celui des arrêts du Dossier Patient Informatisé (DPI).    

ITIL v3 et le catalogue des services en sécurité SI – partie 2

Dans une première partie[1], nous avons traité de généralités concernant l'offre de services de la DSI en matière de sécurité, et plus spécifiquement de disponibilité.  

Rejoignez le Quatrième Congrès National SSI Santé de l’APSSIS – Le Mans – 4 au 6 avril 2016

La quatrième édition du Congrès National de la Sécurité des SI de Santé, organisée par l’APSSIS du 4 au 6 avril 2016 au Mans promet d’être un moment fort pour l’écosystème SSI Santé. 130 DSI, RSSI, institutionnels, directeurs, médecins, experts, constructeurs et éditeurs se retrouveront 3 jours autour d’un programme intense de 20 conférences et tables-rondes.

Le couteau suisse de la sécurité au quotidien

A force de parler de sécurité du SI, il semble que nous n'avons jamais tenté le moindre recensement des outils les plus utiles au quotidien, aussi bien pour le RSSI que pour l'usager lambda du SI (sans que ce terme soit péjoratif). Pour le dernier filet de la l'année, petit florilège sans prétention.

Le correspondant informatique et libertés bientôt quasiment obligatoire

L'AFCDP demande une clause « DU GRAND PÉRE »                                                                                                                        

Ma lettre au Père Noël pour 2015

Cartographier son SI et maîtriser ses failles : un enjeu pour le RSSI

Entretien avec Julien Rousselle, RSSI au CHU Amiens-Picardie qui nous apporte ses éléments de réponse et tout l’intérêt d’avoir une vision globale et synthétique de son système d’information.

Congrès National SSI Santé de l’APSSIS : inscriptions ouvertes !

La quatrième édition du Congrès National de la Sécurité des SI de Santé, organisée par l’APSSIS du 4 au 6 avril 2016 au Mans promet d’être à nouveau un moment fort pour l’écosystème SSI Santé. DG, institutionnels, DSI, RSSI, médecins, experts, constructeurs et éditeurs se retrouveront 3 jours et suivront 20 conférences et tables-rondes.

Sécurité des Systèmes d’Information de Santé : L’APSSIS muscle sa communication

L’Association pour la Promotion de la Sécurité des SI de Santé, qui prépare le quatrième Congrès National de la SSI Santé du Mans (du 4 au 6 avril 2016), étoffe sa gouvernance avec l’arrivée de Sandra LOGUT, ancienne Responsable Marketing et Communication chez MEDASYS et fondatrice de notiqlik®, société de conseil en communication spécialisée en e-Santé.

Retour sur les Assises de la sécurité

Comme tous les ans depuis maintenant 2001, les Assises de la sécurité se sont tenues en cette première semaine d'octobre. Malgré l'inhabituelle météo (temps absolument pourri, ce qui est assez exceptionnel à Monaco), les assises se sont déroulées sans accro, organisation impeccable à tout point de vue.  

IKare : le sous-marin du RSSI

Le scanner de vulnérabilités de la Société ITrust se dote de fonctionnalités de cartographie qualitative des réseaux et de leurs composants.

Portrait presque générique d'un RSSI

Etre né de la génération de l’informatique ou à peu après.

Congrès SSI Santé du Mans : une édition 2016 « Territoires », « Technologies » et « Prospective »

Le Congrès National de la Sécurité des SI de Santé, événement attendu par les professionnels du secteur, se tiendra au Mans les 4, 5 et 6 avril 2016. Tous les 2 ans, ce Congrès unique en son genre réunit 150 professionnels de la Cybersécurité en Santé, durant 3 jours intenses où s’enchaînent plus de 20 heures de conférences, 3 déjeuners et 2 dîners.

Alsace e-santé : un soutien en sécurité SI

Identifiée comme essentielle dès 2012, la sécurité des systèmes d’information de santé fait l’objet d’une démarche structurée au GCS Alsace e-santé (1).

Fin de semaine un rien désabusée

Les RSSI vont-ils finir dingues ? Par dingues, je ne fais bien entendu pas référence à Alzheimer et autres pathologies qui nous guettent à tous, mais aux conséquences bien connues des syndromes ordre / contre-ordre, oui / non, fais-le / ne le fais pas, en bref les injonctions contradictoires.    

Protection virale : rendez-moi mon Minitel !

Amis informaticiens, RSSI et décideurs de tout poil, si comme moi vous avez été pris depuis une quinzaine de jours dans le maelström des alertes virales issues du ministère ou des confrères, vous ne pouvez que vous demander comment tout cela va bien finir.

Softway Médical : sécurité à tous les étages

La Sécurité des Systèmes de Santé est un thème primordial pour Softway Medical. Sherley Brothier, CTO de l’éditeur, passe en revue pour nous les différentes actions menées pour assurer à ses clients un niveau de sécurité optimal.

L’APSSIS très active sur les Salons Santé Autonomie 2015

Organisation et animation du parcours SSI Santé sur HIT 2015, succès de la soirée bisannuelle, annonce d’une étude sur la perception de la confidentialité des données par les lycéens, présentation du prochain Congrès National, l’APSSIS développe de nombreuses initiatives.

APSSIS : assemblée générale, parcours SSI sur les salons santé autonomie, Dîner de l’APSSIS et congrès 2016

L’Assemblée Générale de l’Association APSSIS s’est tenue le 30 avril 2015, avec une évolution de la Gouvernance. Auriane LEMESLE, RSSI Régionale – GCS Télésanté Centre, rejoint le Conseil d’Administration en tant que Secrétaire Générale.

PROXIMA CONSEIL et COSIALIS unis pour le Programme Hôpital Numérique en Poitou-Charentes

Ensemble, le Cabinet PROXIMA CONSEIL et COSIALIS Consulting ont remporté l’appel d’offres lancé par le GCS Esanté Poitou-Charentes, coordonnateur d’un groupement de commandes régional.

Les objets connectés ou le Moyen-Age informatique

Ne tirer aucune leçon des erreurs passées, les recommencer toujours. Après tout, c’est peut-être cela le sens intime de la vie professionnelle : au moins on a du boulot et cela donne l’impression à tout le landernau informatique qu’au moins ça s’agite là-dedans.

La messagerie est-elle critique ?

Récemment, l’ensemble des RSSI et DSI d’hôpitaux ont dû faire face à un malware de la classe des ransomware : le bien nommé cryptolocker. Malware, parce qu’il se propage par la messagerie et infecte les boîtes aux lettres et les fichiers des utilisateurs. Ransomware, car son action principale consiste à crypter les fichiers de la victime, qui doit alors sortir la CB et les billets pour accéder de nouveau à ses propres données.

Petit tour de l'actualité

Actualité protéiforme cette semaine. Que l'on en juge.

Tranche de vie : j’adore les utilisateurs

Un utilisateur à son Directeur des Systèmes d’Information (DSI)