Publicité en cours de chargement...
Stop à la politique de l’autruche
A l’occasion du 3ème Congrès National de la Sécurité des SI de Santé qui s’est déroulé au Mans du 1er au 3 avril, Julien Lavesque, Directeur Technique d’Itrust, est revenu sur le top 10 des vulnérabilités, synthèse qui a été élaborée sur la base de plus de 130 audits réalisés sur une période de 5 ans.
A l’aide d’exemples concrets et de retours d’expériences, le directeur technique est revenu sur la cartographie des vulnérabilités. Parmi celles-ci, une non-politique des mots de passe (permettant par exemple de devenir administrateur d’un domaine), une mauvaise gestion des droits (qui autorise un stagiaire à avoir accès à tout), les éléments connectés et/ou partagés (imprimantes, onduleurs, routeurs, scanners) qui peuvent être détournés ou piratés et permettre de voir tout le trafic mail d’une société sans que personne ne s’en rende compte ou encore l’impasse sur les inventaires de matériels ou de logiciels « non stratégiques » mais facilement exploitables.
Les exemples d’intrusions réalisés par Itrust sont simples mais efficaces. On retiendra tout particulièrement la facilité avec laquelle la société a réussi à rediriger vers un mail Itrust tous les documents scannés d’une société ou encore la possibilité d’avoir un accès à la comptabilité et donc aux fiches de paie des salariés du groupe. Des exemples facilement transposables au monde de la santé. On imagine aisément les conséquences si l’objectif d’un hacker ne serait pas d’avoir accès aux simples salaires mais à des données médicales…
Aujourd’hui des outils existent et en amont, il est indispensable de connaitre (mais aussi de reconnaitre) ses faiblesses !
*Source étude Cenzic
Avez-vous apprécié ce contenu ?
A lire également.

Le Data Act : une nouvelle ère pour la gouvernance des données de santé
30 sept. 2025 - 07:15,
Tribune
-Le 12 septembre 2025 a marqué une étape décisive dans la stratégie européenne de la donnée avec l’entrée en application du Data Act (Règlement UE 2023/2854). Ce texte, pilier du marché unique de la donnée, vise à encadrer l’accès, le partage et la portabilité des données générées par les produits ...
On trouve tout à la Samaritaine – y compris des caméras, mais pas encore un EBM
29 sept. 2025 - 10:43,
Tribune
-Alors OK, elle est hyperfacile, mais impossible de résister, d’autant que j’ai dû aller chercher quelques vieilles publicités de l’époque (ma préférée ici 1), quelle époque épique tout de même !
Refuser de donner son mot de passe lors d’un arrêt maladie serait seulement un problème de désobéissance ? Bullshit.
22 sept. 2025 - 22:16,
Tribune
-Vous l’avez certainement vu passer, cet article [1] d’acteurspublic.fr qui commente la décision d’un tribunal administratif et qui affirme que « Refuser de donner son mot de passe lors d’un arrêt maladie peut être assimilé à de la désobéissance ». Sauf que l’histoire est un tantinet plus complexe e...
Regonfler un pneu ou s’attaquer à la root cause : vision 27001 de la mise sous contrainte
15 sept. 2025 - 22:20,
Tribune
-Imaginez un peu la scène : vous êtes dans votre jardin en train de tailler vos rosiers, et par-dessus la clôture vous apercevez votre voisin que vous saluez chaleureusement. Vous en profitez pour le prévenir que le pneu arrière gauche de sa voiture, garée dans son allée et que vous voyez très bien d...