Quand 10 failles connues font vaciller les systèmes d’information !
ITrust a conçu une étude des principales vulnérabilités informatiques, basée sur 5 années d’observation de ses Clients, plus d’une centaine tous secteurs confondus. Sur le plan de la sécurité des systèmes d’information, le top 10 des vulnérabilités se compose comme suit : systèmes trop verbeux (communiquant trop d’informations aisément), relations de confiance et propagation de la compromission (mauvaise étanchéité entre les systèmes), gestion des droits mal maîtrisée (loin du « besoin d’en connaître » normalement applicable), failles dans les protocoles d’administration (donc au cœur du pilotage technique), bases de données peu sécurisées (souvent lié aux nombreux logiciels et les bases de données associées), partages de fichiers chaotiques, serveurs à l’abandon (ayant eu leur utilité, ne servant plus, mais toujours connectés au réseau et accessibles), vulnérabilités WEB connues, (injections SQL, attaques XSS, gestion des sessions...), trivialité des mots de passe et... failles historiques !
Etonnant qui nous démontre comment les principales failles « historiques » et connues de sécurité constituent le premier des dangers sur nos systèmes d’information. Nous connaissions tous l’utilisateur, représentant 50% des menaces en sécurité, d’où l’importance de l’acculturation de tout le personnel, mais les problèmes de sécurité « connus », c’est fort dommage de les trouver en tête de liste.
ITrust pénètre 9 fois sur 10 le SI de ses Clients lors des audits commandités. La présence de mots de passe par défaut sur les équipements techniques atteint 98% du panel, 8 systèmes d’information sur 10 qui subissent une attaque ou une intrusion ne le savent pas.
Les prises de conscience des dernières années, les politiques SI très orientées sécurité (Programme HOPITAL NUMERIQUE, Critères 5A et 5B de la certification HAS) vont dans le sens d’une amélioration des niveaux de sécurité mais l’on constate qu’il reste beaucoup à faire. Les outils sont là, les problèmes souvent connus, les personnels avertis et formés, alors agissons, par paliers, par étapes, pour atteindre l’indispensable maturité sécurité de nos SI de Santé !
Télécharger le Livre Blanc ITrust :
Avez-vous apprécié ce contenu ?
A lire également.
Contract Management : rigueur et dialogue au service des établissements de santé
15 déc. 2025 - 16:10,
Tribune
-Face à la pression financière croissante, la réduction des dépenses est devenue une priorité pour les établissements de santé. Dans ce contexte, maîtriser les engagements existants et éviter toute dérive est indispensable. C’est là qu’intervient le contract management, véritable outil stratégique po...
Digital Omnibus on AI, évolutions et perspectives
01 déc. 2025 - 21:44,
Tribune
-Faisant suite à un appel à contributions de la Commission européenne, deux projets de règlements ont été publiés le 19 novembre 2025 par la Commission européenne, bousculant assez substantiellement la réglementation en vigueur : le “Digital Omnibus for the digital acquis" ou "Omnibus numérique" [1] ...
Le moment Spoutnik de la cyber
24 nov. 2025 - 22:22,
Tribune
-En matière d’armement, on dit que ce qui compte vraiment, c’est le nombre et la force. Mais surtout la force.
Digressions sur la cyber et les enjeux climatiques
17 nov. 2025 - 20:53,
Tribune
-Cela nous pendait au nez : l’époque est aux questions semi-existentielles sur les enjeux climatiques, et la cyber, longtemps restée à l’écart, voit le sujet arriver par différentes sources et sous différentes formes, dont l’amendement sur les enjeux climatiques de la 27001.
