Publicité en cours de chargement...
Top 3 des incidents SSI Santé des semaines passées
En France, alors que la campagne de phishing ciblant le secteur de la santé continue de faire des victimes dans de nombreux établissements et autres organismes publics ou privés, le dernier fail revient à un hébergeur agréé HDS.
Jeudi, non moins de dix établissements de santé se sont vu privés de l’accès à un dossier régional de spécialité, dont l’application a récemment été migrée dans son intégralité chez un HDS.
Après plus de six heures d’indisponibilité, le GCS administrant cette application régionale informe les établissements que l’hébergeur est victime d’une panne d’alimentation électrique à la suite des travaux réalisés à proximité du datacenter et que la mise en place d’un groupe électrogène est à venir. À la lecture de ces explications, j’avoue m’être imaginé l’espace d’un instant le PDG de cette société qui prône l’exigence, la transparence et la responsabilité, avec sa voiture et sa remorque sur le parking du magasin de bricolage du coin, charger tous les groupes électrogènes en stock.
Les établissements ont alors pu découvrir avec stupéfaction que le PCA de l’hébergeur qui leur avait été imposé n’était pas à la hauteur de ce qu’ils pouvaient attendre d’un hébergeur agréé HDS. Aux alentours de 22 heures, le GCS informe les établissements que le datacenter est sorti du black-out. Vendredi, 9 heures, le GCS informe les établissements que le datacenter est à nouveau dans le noir après, je cite, « une erreur de manipulation d’un technicien opérant pour le fournisseur d’électricité » #CESTPASMAFAUTEAMOI.
Il aura encore fallu attendre deux bonnes heures avant de retrouver l’accès au dossier régional.
À ce jour, l’hébergeur n’a malheureusement toujours pas pris la peine de communiquer sur cet incident et les éventuels axes d’amélioration envisagés pour réviser son PCA. Espérons qu’il y aura une remise en question.
Alors, même si nous savons tous que rien ne peut être parfait, qu’être victime d’un incident technique, ça arrive à tout le monde, que lorsqu’un incident se produit M. Murphy est souvent là pour en rajouter une couche, l’absence totale de communication dans une telle situation de crise est assez difficile à accepter et remet en question les valeurs prônées par l’hébergeur.
Aux États-Unis, nous apprenions le 20 le récent piratage de la plateforme Healthcare.gov, qui permet aux Américains d’accéder à une assurance santé universelle, fruit de la fameuse loi sur la protection des patients et l’accès aux soins pour tous, plus connue sous le nom d’Obamacare. Cette plateforme d’échanges entre assureurs et futurs assurés aurait été compromise par des accès illégitimes à l’aide de comptes utilisateurs d’assureurs piratés. La détection rapide de l’activité suspecte, un mois avant le début de la nouvelle saison d’inscriptions, par les administrateurs de la plateforme a permis de stopper rapidement l’hémorragie, même si les données de 75 000 Américains auraient eu le temps de s’évaporer dans la nature, d’après un article de CNN [1].
Nous apprenions le 19 que l’hôpital de Barreiro Montijo au Portugal a été condamné à 400 000 euros d’amende par la Commission nationale pour la protection des données (CNPD) [2], pour manquement au RGPD. La CNPD a relevé une mauvaise gestion des comptes utilisateurs, avec des problèmes de droit d’accès, par exemple des comptes utilisateurs d’assistantes sociales disposant de droits réservés aux médecins, ou encore la « non-révocation » des accès du personnel ayant quitté l’établissement. 985 comptes utilisateurs de médecins étaient ainsi actifs sur le SIH, alors que l’hôpital compte seulement 296 médecins dans ses effectifs. Dans sa délibération, la CNPD a identifié trois infractions :
- violation du principe d’intégrité et de confidentialité ;
- violation du principe de minimisation des données devant empêcher un accès aveugle aux données cliniques des patients ;
- incapacité du responsable du traitement des données à garantir la confidentialité et l’intégrité des données.
Quelle que soit leur nationalité, les RSSI/CISO de santé ne sont toujours pas près d’être au chômage.
[1] https://edition.cnn.com/2018/10/20/politics/healthcare-gov-computer-system-hack/index.html
Avez-vous apprécié ce contenu ?
A lire également.

L’Institut Curie et le groupe hospitalier Diaconesses Croix Saint-Simon unissent leurs expertises pour un parcours de soins d’excellence en cancérologie
27 juin 2025 - 14:47,
Actualité
- DSIHL’Institut Curie, premier centre français de lutte contre le cancer, et le groupe hospitalier Diaconesses Croix Saint-Simon, créateur du Centre de Cancérologie de l’Est Parisien, annoncent un partenariat stratégique inédit. Ce partenariat, baptisé « Parcours Expert Institut Curie – Diaconesses Croix...

Dedalus France : une nouvelle étape dans la trajectoire de transformation
24 juin 2025 - 07:50,
Actualité
- DSIHDedalus France annonce le départ de Frédéric Vaillant, Directeur Général Délégué, au 30 juin 2025, après plus de 25 ans d’engagement. Fondateur de Medasys, acteur central des grandes étapes de structuration de l’entreprise, il a contribué à façonner Dedalus France comme acteur majeur du numérique en...

Interopérabilité en santé : FHIR on fire
23 juin 2025 - 21:47,
Actualité
- DSIH, Guilhem De ClerckHLTH 2025 – Amsterdam, 17 juin 2025 – Sur la scène du congrès HLTH, l’interopérabilité des données de santé s’est imposée comme un enjeu central, illustrant les limites persistantes des systèmes actuels et les espoirs placés dans la norme FHIR (Fast Healthcare Interoperability Resources). Au cœur de...

« Data Opt-in-imism : pourquoi la confiance est-elle la clé du succès de l’EHDS », une question débattue au HLTH 2025
23 juin 2025 - 21:23,
Actualité
- DSIH, Mehdi LebranchuLe 18 juin dernier, au Salon HLTH Europe d’Amsterdam, la conférence « Data Opt-in-imism: Why trust is key to the success of EHDS » a réuni des voix institutionnelles du nord de l’Europe autour d’une question déterminante pour l’avenir du partage de données de santé : la confiance. Prévu pour 2029, l...