Publicité en cours de chargement...
Info flash : un hôpital américain cible de hackers
Il s'agit d'une attaque en crypto-locker, qui crypte les fichiers et données des utilisateurs afin de les rendre inaccessibles. La lettre du CIO (http://hollywoodpresbyterian.com/default/assets/File/20160217%20Memo%20from%20the%20CEO%20v2.pdf) fait mention d'une atteinte à certains PC systèmes et à certains sous-systèmes de communication (comprendre EAI, passerelles d'interconnexion, etc.). Il semblerait (information non confirmée) que certains fichiers essentiels internes aux PC (par exemple les fichiers de paramétrage vers les bases de données, les fichiers locaux de mots de passe OS, eux-mêmes en principe déjà cryptés) aient été à leur tour ré-encryptés, rendant tout simplement la connexion à ces systèmes impossibles. Il semblerait également (toujours au conditionnel) que les fichiers bureautiques aient été atteints, mais pas les DB du dossier patient.
Les systèmes ont été remis en services et apparemment aucun incident à déplorer concernant la prise en charge médicale, ce qui est l'essentiel. Cela étant, cet incident entraîne plusieurs réflexions. Tout d'abord, nous n'avons au final que peu d'informations sur le détail techniques de l'attaque et de ses conséquences. Même le site de Zataz (www.zataz.com) est peu disert sur le sujet. Ensuite, il semble que tous les DSI et RSSI prennent bien garde à vérifier leurs sauvegardes (seule parade connue contre les crypto-locker zéro-day) mais en est-il de même pour les serveurs de sauvegardes eux-mêmes et les éléments techniques d'interconnexion ? Nul doute qu'un cryptage des fichiers locaux de connexions aux DB serait désastreux.
Enfin et surtout, ce ne sont pas les données de santé pour elles-même qui ont été ciblées (maigre consolation il est vrai), mais le SI vital dans le processus de fonctionnement d'une entreprise : là encore, c'est la Disponibilité qui pose le plus de soucis, pas la Confidentialité.
Avez-vous apprécié ce contenu ?
A lire également.

Mais non, la 27001 n’est pas lourdingue !
06 oct. 2025 - 22:14,
Tribune
-Récemment, je suis tombé sur un post selon lequel, en gros, la compliance (conformité) serait un mal nécessaire pour décrocher des contrats, des marchés, mais qui globalement n’aurait quasiment pas d’autre utilité, et que sa contribution à améliorer le « système » est tout sauf claire. Bref, c’est b...

FHIR : la norme qui libère la donnée de santé et ouvre de nouvelles voies
06 oct. 2025 - 21:41,
Actualité
- DSIHPour fluidifier les parcours, offrir une vision exhaustive des données patients, connecter la ville et l’hôpital, et permettre aux nouvelles générations d’algorithmes de révéler tout leur potentiel, l’interopérabilité devient essentielle. Autour d’un dîner-conférence organisé par Infor, experts amér...

Horizon Santé 360 : Innovons ensemble pour notre souveraineté en santé
02 oct. 2025 - 10:31,
Communiqué
- La Poste Santé & AutonomieRendez-vous le 9 octobre 2025 à Paris pour la 3ᵉ édition d’Horizon Santé 360, l'événement annuel de La Poste Santé & Autonomie.

Le Data Act : une nouvelle ère pour la gouvernance des données de santé
30 sept. 2025 - 07:15,
Tribune
-Le 12 septembre 2025 a marqué une étape décisive dans la stratégie européenne de la donnée avec l’entrée en application du Data Act (Règlement UE 2023/2854). Ce texte, pilier du marché unique de la donnée, vise à encadrer l’accès, le partage et la portabilité des données générées par les produits ...