Publicité en cours de chargement...
APT : des menaces complexes et ciblées
Les données des patients hébergées dans un système d’information constituent des informations très sensibles et le règlement européen sur la protection des données personnelles, le RGPD, applicable à partir du 25 mai 2018, prévoit de lourdes peines pour un établissement qui aurait laissé exfiltrer ce genre de données en raison d’une insuffisance de protection imputable à lui-même ou à un sous-traitant.
Les menaces persistantes avancées (ou APT – Advanced Persistent Threats) représentent l’un des risques à redouter. Elles ciblent les informations qui peuvent compromettre une organisation, procurer un atout à la concurrence ou encore rapporter de l’argent aux cybermalfaiteurs. Elles sont persistantes car, une fois l’attaque réussie, le vol des données peut avoir lieu pendant une longue période. Et elles sont avancées, non par leur sophistication, mais par la phase redoutable d’ingénierie sociale qui les précède.
L’attaque débute en effet par une prise de renseignements pour connaître la victime. On examine sur les réseaux sociaux ce que les employés de l’organisation ciblée, et leurs « amis », écrivent sur eux et sur leur entreprise, on interroge ces employés par téléphone, on détecte les vulnérabilités du réseau. Cette enquête peut durer des semaines, des mois, pour permettre à l’attaquant de constituer une image très précise du système d’information de sa victime. Il est essentiel de sensibiliser les employés pour qu’ils ne révèlent aucun renseignement confidentiel ni aucunes données techniques sur leur système d’information.
Vient ensuite l’introduction dans le système de la victime. Des employés ciblés reçoivent, par exemple, un e-mail de leur direction avec un fichier PDF attaché. Mais le mail provient de l’attaquant, et le fichier attaché est contaminé. Le maliciel contenu dans le fichier attaché s’introduit dans le poste de travail de l’employé inconséquent. L’attaque a réussi.
Le maliciel s’approprie alors les privilèges d’administrateur du poste de travail avant de se propager aux postes des autres employés qui travaillent sur le même projet ou dans le même secteur. La contre-mesure consiste à lancer une alerte si une augmentation des privilèges se produit sans raison valable.
Puis le maliciel exfiltre les données sensibles vers l’attaquant. Une analyse approfondie des échanges vers l’extérieur peut déceler une telle attaque qui peut durer plusieurs mois ou plusieurs années.
Et lorsque l’attaquant a suffisamment sévi sur le système de sa victime, il détruit le maliciel sans que l’organisation ait connaissance de l’attaque dont elle a été l’objet.
L'auteur :
Gérard Peliks, président de CyberEdu et directeur adjoint du MBA Management de la sécurité des données numériques de l’Institut Léonard-de-Vinci.
Retrouvez également le compte rendu du Congrès 2017 réalisé par Gérard Peliks sur https://www.apssis.com/le-congres-2017/bilan-2017.html
À propos de l’Apssis
Organisme unique dédié à la sécurité des systèmes d’information de santé, l’Apssis, association Loi 1901 fondée en 2010, a pour objet de constituer et d’animer l’écosystème pluriprofessionnel dédié à la réflexion sur la sécurité numérique de santé. Ses finalités, détaillées dans ses statuts, reposent sur quatre axes : son Congrès national, les manifestations dédiées à ses adhérents, la formation ciblée des personnels de santé et la promotion de la sécurité des SI de santé par l’animation des acteurs. L’Apssis fédère déjà plus de 100 membres, avec la volonté de promouvoir et de dynamiser la sécurisation du système d’information global de santé.
www.apssis.com
Pour plus d’informations
Le Congrès national étant strictement limité à 100 places, nous invitons celles et ceux qui le souhaitent à s’inscrire auprès du secrétariat : [email protected] ou au 06 29 36 59 95.
Convention de formation établie entre l’établissement et l’association.
Avez-vous apprécié ce contenu ?
A lire également.

L’ARS Pays de la Loire dévoile sa feuille de route du numérique en santé 2025-2026 en Mayenne
17 oct. 2025 - 10:18,
Actualité
- Rédaction, DSIHL’Agence régionale de santé (ARS) Pays de la Loire, en partenariat avec la Caisse primaire d’assurance maladie (CPAM) de la Mayenne et le groupement e-santé régional, a présenté la feuille de route du numérique en santé 2025-2026.

Le CHU de Reims certifié ISO 27001 et HDS : un engagement fort pour la cybersécurité au service des patients
13 oct. 2025 - 19:56,
Communiqué
- CHU de ReimsLe Centre hospitalier universitaire de Reims franchit une étape majeure dans sa stratégie de sécurisation des données de santé en obtenant la double certification ISO 27001 :2022 et Hébergeur de données en santé (HDS) V2. Ces certifications attestent de la conformité du CHU aux normes les plus exige...

Intelligence artificielle en santé : entre progrès technologique et éthique, où en est-on ?
13 oct. 2025 - 10:01,
Actualité
- Rédaction, DSIHÀ l’occasion de la Fête de la science, l’Espace Mendès France de Poitiers a récemment accueilli une conférence passionnante consacrée à l’intelligence artificielle (IA) en santé. Intitulée « Intelligence artificielle en santé, entre progrès technologique et éthique : où en est-on ? », cette rencontr...

Fraudes à la e-CPS et à ProSantéConnect : l’alerte de l’ANS rappelle l’importance de la vigilance numérique
13 oct. 2025 - 09:46,
Actualité
- Rédaction, DSIHL’Agence du Numérique en Santé (ANS) a récemment signalé plusieurs tentatives de fraude visant l’application e-CPS et le portail ProSantéConnect (PSC). Ces attaques, fondées sur des techniques d’ingénierie sociale, consistent à se faire passer pour le « service client CPS » afin d’obtenir des codes ...