Publicité en cours de chargement...

Publicité en cours de chargement...

Le nouvel opus des guides cyber-résilience de l’APSSIS est en ligne !

19 déc. 2023 - 01:00,
Communiqué - Apssis
L’APSSIS a le plaisir d’annoncer la publication de la 3ème version mise à jour de l'opus 2 des Guides Cyber-résilience sur les cyberattaques à destination des professionnels du secteur. Conçus et élaborés par Cédric Cartau, RSSI/DPO du CHU de Nantes et Vice-président de l’APSSIS, ces guides se veulent à la fois accessibles, techniques et pratiques.

Au programme : Les Cyberattaques 

La première édition de ce présent guide de cyber résilience est sortie en octobre 2020, et ce n’est pas un hasard si, sur la série des six guides, c’est le seul à être régulièrement mis à jour. La menace cyber évolue constamment, les modes d’attaques de 2020 ont complètement changé en 2023, ce qui justifie amplement cette troisième version.

La première mise à jour (v2) avait essentiellement consisté en des changements dans les éléments techniques de protection du réseau : évolutions dans les dispositifs techniques, rajout de points de contrôle, etc. Cette v3 change radicalement car elle introduit, en sus, des modifications de niveau organisationnel : approche ISO 27001, mise sous contrainte après une phase de BUILD des mesures techniques, etc. Cette v3 se cale aussi sur la toute dernière version de l’annexe A de la norme ISO 27001-2022, qui est articulée autour de 4 grandes parties (et non plus 14 chapitres comme l’était la version précédente).

Les mesures techniques sont externalisées au sein d’un fichier tableur, ce qui facilite et la lecture, et les prochaines évolutions.

Nous n’insisterons jamais assez sur le fait que, pour ce qui concerne des sujets aussi techniques que la protection contre les attaques cyber, la « quincaillerie » technique (matériels et logiciels), les dispositions techniques (quoi protéger) sont inutiles sans une démarche systémique. Protéger un Active Directory en nettoyant une bonne fois pour toute les comptes à privilège est inefficace sur le moyen terme sans dispositif de contrôle visant à vérifier que personne, sur un coin de table et dans l’urgence, n’a créé un nouveau compte à privilège qui ne sera jamais dé-provisionné. Dit autrement, si ce présent guide constitue le Plan de la démarche générale et si les adminsys mettent en oeuvre l’ensemble des dispositions techniques (ce qui constitue le Do), alors sans vérifications régulière (le Check) ni correction des dérives (le Act), le niveau de protection retombera inexorablement. Le fait d’inscrire une mesure technique de protection dans un cycle PDCA est aussi appelé « mise sous contrainte » par les experts de la conformité. Mettre sous contrainte un nombre restreint de mesures techniques est préférable à dérouler le Plan et le Do sans le Check ni le Act de toutes les mesures de protection décrites dans le présent guide. Dit autrement encore une fois, la maîtrise PDCA d’un périmètre restreint est plus important que la dispersion.

Cette troisième version tente de s’inscrire dans cette vision globale.

Retrouvez le guide ici : https://www.apssis.com/nos-actions/publication/712/guide-cyber-resilience-opus-2-version-3-cyberattaques.htm

Les guides cyber-résilience

L'APSSIS remercie ses partenaires Olfeo, Evolucare, Orange Cyberdefense et l’Agence du Numérique en Santé pour leur participation à la rédaction de ce nouvel ouvrage.

Cette publication s’inscrit dans la suite des précédents guides de cyber résilience et de leurs mises à jour (Tome 1 : les mots de passe ; Tome 2 : les cyberattaques ; Tome 3 : les habilitations d’accès aux données métier, Tome 4 : la protection du Cloud ; Tome 5 : les indicateurs et Tome 6 : la Gouvernance) et publiés avec l’ambition de constituer un corpus de référence sur les questions relatives à la sécurité du SI.

Des guides numériques en libre accès

Avec le soutien de l’APSSIS, ce nouvel ouvrage est publié sous licence Creative Common, ce qui permet sa libre diffusion, copie et réutilisation à des fins non-commerciales.

 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration CaRE D2 : renforcer la continuité et la reprise d’activité grâce au test du PCRA

CaRE D2 : renforcer la continuité et la reprise d’activité grâce au test du PCRA

08 sept. 2025 - 11:50,

Tribune

-
Manon DALLEAU

Le mois de juillet 2025 a marqué le lancement de CaRE D2, avec pour objectif de renforcer la stratégie de continuité et de reprise d'activité des établissements de santé, aussi bien sur le plan métier que sur le plan informatique. Au cœur du dispositif : le Plan de Continuité et de Reprise d'Activit...

Illustration Certification des établissements de santé : démarrage du 6ᵉ cycle au 1er septembre 2025

Certification des établissements de santé : démarrage du 6ᵉ cycle au 1er septembre 2025

05 sept. 2025 - 11:39,

Actualité

- DSIH

Depuis le 1er septembre 2025, la Haute Autorité de santé (HAS) a officiellement lancé le sixième cycle de certification (2025-2030) des établissements de santé. Ce dispositif, renouvelé tous les quatre ans, constitue un levier majeur d’évaluation de la qualité et de la sécurité des soins dans les st...

PSSI et Care D2 : suite de la réflexion sur la question de la signature

01 sept. 2025 - 22:56,

Tribune

-
Cédric Cartau

Dans le prolongement du précédent article(1) , intéressons-nous maintenant à un sujet qui déclenche souvent pas mal de débats : qui doit signer la PSSI ? Et d’ailleurs, doit-elle être signée ?

PSSI et Care D2, des questions pas si simples

26 août 2025 - 08:49,

Tribune

-
Cédric Cartau

Care Domaine 2 exige, entre autres, une PSSI pour le GHT qui candidate. Cela peut paraître simple, mais en fait cette exigence amène des questions et des réponses, surtout plus de questions que de réponses. Pour en avoir discuté avec pas mal de confrères ces derniers temps, force est de constater qu...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.