Publicité en cours de chargement...
Quand 10 failles connues font vaciller les systèmes d’information !
ITrust a conçu une étude des principales vulnérabilités informatiques, basée sur 5 années d’observation de ses Clients, plus d’une centaine tous secteurs confondus. Sur le plan de la sécurité des systèmes d’information, le top 10 des vulnérabilités se compose comme suit : systèmes trop verbeux (communiquant trop d’informations aisément), relations de confiance et propagation de la compromission (mauvaise étanchéité entre les systèmes), gestion des droits mal maîtrisée (loin du « besoin d’en connaître » normalement applicable), failles dans les protocoles d’administration (donc au cœur du pilotage technique), bases de données peu sécurisées (souvent lié aux nombreux logiciels et les bases de données associées), partages de fichiers chaotiques, serveurs à l’abandon (ayant eu leur utilité, ne servant plus, mais toujours connectés au réseau et accessibles), vulnérabilités WEB connues, (injections SQL, attaques XSS, gestion des sessions...), trivialité des mots de passe et... failles historiques !
Etonnant qui nous démontre comment les principales failles « historiques » et connues de sécurité constituent le premier des dangers sur nos systèmes d’information. Nous connaissions tous l’utilisateur, représentant 50% des menaces en sécurité, d’où l’importance de l’acculturation de tout le personnel, mais les problèmes de sécurité « connus », c’est fort dommage de les trouver en tête de liste.
ITrust pénètre 9 fois sur 10 le SI de ses Clients lors des audits commandités. La présence de mots de passe par défaut sur les équipements techniques atteint 98% du panel, 8 systèmes d’information sur 10 qui subissent une attaque ou une intrusion ne le savent pas.
Les prises de conscience des dernières années, les politiques SI très orientées sécurité (Programme HOPITAL NUMERIQUE, Critères 5A et 5B de la certification HAS) vont dans le sens d’une amélioration des niveaux de sécurité mais l’on constate qu’il reste beaucoup à faire. Les outils sont là, les problèmes souvent connus, les personnels avertis et formés, alors agissons, par paliers, par étapes, pour atteindre l’indispensable maturité sécurité de nos SI de Santé !
Télécharger le Livre Blanc ITrust :
Avez-vous apprécié ce contenu ?
A lire également.
Tire la cyber-chevillette, la cyber-bobinette cherra : une analyse légèrement décalée des contes de fées par un RSSI
19 jan. 2026 - 23:09,
Tribune
-D’accord, d’accord, je ne suis pas l’inventeur du concept. En 2018, sous la direction de Marine Ranouil et Nicolas Dissaux, paraissait l’ouvrage Il était une fois… Analyse juridique des contes de fées. Plus récemment, en 2022, Alice Cartau et votre serviteur ont mené dans les colonnes de DSIH une te...
Les Hôpitaux Confluence structurent leurs données de santé avec E-Confluence
16 jan. 2026 - 11:39,
Actualité
- Rédaction, DSIHLes Hôpitaux Confluence poursuivent leur transformation numérique avec la mise en place de E-Confluence, une plateforme dédiée à l’organisation et à l’exploitation des données de santé produites par leurs établissements. Cet outil marque une nouvelle étape dans la structuration des informations clin...
Le CHRU de Nancy lance DataStan, son Entrepôt de Données de Santé, pour une recherche responsable, sécurisée et transparente
14 jan. 2026 - 14:37,
Actualité
- Rédaction, DSIHLe CHRU de Nancy mettra en service, au cours du premier trimestre 2026, DataSTAN, son Entrepôt de Données de Santé (EDS). Ce projet, initié il y a plus de cinq ans, a pour objectif de faciliter les projets de recherche sur données de santé dans un cadre réglementaire et sécurisé, au bénéfice des pat...
Ouverture de l’appel à projets de la deuxième phase du programme Hop’en 2
12 jan. 2026 - 22:00,
Actualité
- Damien DuboisLe 7 janvier 2026, le ministère chargé de la Santé a annoncé le lancement de la deuxième phase du programme Hop’en. Les candidatures sont ouvertes jusqu’au 13 février prochain.
