Sécurité

Cyber résilience : comment Orange Cyberdefense accompagne les établissements de santé ?

Orange Cyberdefense, acteur majeur dans la fourniture de services de cybersécurité, a récemment renforcé son approche dédiée à la santé. Anticiper les attaques, gérer la crise, rétablir le SI : ses experts accompagnent les établissements sur l’ensemble du cycle de la menace. Marc Tolub, référent national en gestion de crise et Thomas Le Clerc, référent secteur public en région Grand-Ouest chez Orange Cyberdefense, détaillent ces enjeux.

Les données de santé et les assureurs : approche du débat par le risque systémique

Même quand on est dans le ventre mou de l’actualité cyber (entre Halloween et Noël ou entre Noël et le ski), il se passe toujours quelque chose sur la planète des données et leur protection.

La cyber et ses ennemis

Récemment, je suis tombé sur un article[1] qui disait, en substance, que les pires ennemis du RSSI étaient les dirigeants : DG, DAF, DRH, etc. Et que, dans le même temps, les RSSI (Ciso dans le monde anglo-saxon) se retrouveraient (toujours selon l’article) de plus en plus en ligne de mire des juges en cas de manquement grave aux bonnes pratiques cyber. Bref, c’est nous (les RSSI) les gentils au milieu de tous ces méchants qui font rien que nous empêcher de cybersécuriser en rond.    

Advens et la CAIH proposent une cybersécurité à 360° accessible à tous les établissements de santé

La Centrale d'achat de l'informatique hospitalière (CAIH) a choisi l’expert européen de la cybersécurité Advens pour élaborer une vision novatrice de la cybersécurité, en proposant une offre « all inclusive as a service » et en industrialisant le management des systèmes de protection grâce à un Centre Opérationnel de Sécurité (SOC) mutualisé.

Sécuriser les données de santé : une méthode d’analyse de risque innovante

WELIOM, en partenariat avec ALL4TEC, a développé une approche unique pour la gestion des risques de sécurité de l’information dans le domaine de la santé. Grâce à l’outil Agile Risk Manager (ARM), la méthode EBIOS RM certifiée par l’ANSSI a été adaptée pour répondre aux besoins spécifiques des établissements de santé.

Analyse darwinienne de la physiologie des RSSI et ses impacts sur la parité

Si les girafes ont un long cou, c’est parce qu’elles ont dû aller chercher leur repas en hauteur dans les arbres. Les girafes à petit cou n’ont pas survécu ; elles n’ont donc pas pu se reproduire avant de mourir et ainsi transmettre les gènes du petit cou (bon, c’est un peu plus nuancé que cela, mais c’est en gros l’idée générale).

Données de santé : Cloud Temple est retenu par CAIH dans son nouveau marché cloud

Dans son nouveau marché « Cloud : conseil, accompagnement et infrastructures hébergées pour les données de santé », la centrale d’achats informatiques CAIH a sélectionné Cloud Temple pour son cloud de confiance qualifié HDS et SecNumCloud et ses services managés. Le spécialiste français du cloud hybride est également présent comme partenaire de Blue Soft Empower autour des environnements Microsoft Azure.

La génétique ou le cauchemar du DPO

Définir, appliquer et contrôler une politique cohérente d’accès aux données médicales d’un DPI est en soi un vrai défi. A fortiori quand l’établissement est de grande taille (CHU ou gros CH), a fortiori s’il mêle des activités hétérogènes (MCO, Psy, SSR, etc.), a fortiori si l’établissement appartient à un plus gros ensemble (CHT, GHT), a fortiori si les éléments de l’ensemble ont des cultures hétérogènes, des histoires différentes. En plus des 70 pages du guide Apssis[1], votre serviteur ne parvient pas à épuiser totalement le sujet, c’est dire.    

Comment l’EFS et la C.A.I.H. protègent leur réseau et ceux de leurs adhérents avec Gatewatcher ?

La cybersécurité est aujourd'hui un enjeu majeur pour tous les acteurs de soins, confrontés à une augmentation constante des attaques informatiques. Les données de santé, extrêmement sensibles, sont devenues une cible de choix pour les cybercriminels. Face à cette réalité devenue quotidienne, il est impératif que les acteurs du secteur de la santé prennent des mesures proactives pour renforcer leur cybersécurité et protéger les données sensibles de leurs patients. Anticiper pour éviter l’attaque, serait-ce la clé ? C'est précisément la stratégie mise en place par l’Etablissement Français du Sang (EFS) et la Centrale d’Achat Informatique Hospitalière (C.A.I.H.) en choisissant Gatewatcher en tant que partenaire.

La question de la mémoire cyber ou l’habitude de faire bouillir le lait

Lors de mon enfance, quand j’allais chez mes grands-parents le mercredi, au petit déjeuner, j’avais droit à toutes les saveurs de confiture maison, pain au beurre et jus d’orange. Avec un bol de chocolat chaud, pour lequel ma grand-mère faisait systématiquement bouillir le lait. Pas du lait de ferme sorti 10 minutes plus tôt de l’étable, je précise, non, non : du lait stérilisé UHT en brique bleue achetée au supermarché. Faire bouillir ce genre de lait ne sert strictement à rien (sauf à se brûler régulièrement la langue), c’est juste une habitude héritée de mon arrière-grand-mère (au temps où les briques UHT n’existaient pas et où il fallait pasteuriser le lait soi-même), qui a d’ailleurs été reprise par presque toutes mes tantes – on parle donc d’un geste qui a perduré pendant au moins trois générations.

La cyber à l’ère du Frappadingocène

L’eau, ça mouille, les caramels bousillent les dents, les impôts passent tous les mois, et la comète de Halley tous les 76 ans. Jusqu’à preuve du contraire, on est dans le domaine des lois de la physique (même pour les impôts), ce n’est pas près de changer. C’est clair, carré, rassurant, stable, immuable, permanent. Du lourd, quoi.

Actualité de rentrée cyber – ça bouge beaucoup tout de même

Et on commence par des réflexions sur… la messagerie : oui, pas très original, mais en même temps quand on voit le nombre de cochonneries qui transitent par ce canal de communication, j’aurais encore des trucs à écrire dessus à la saint-glinglin. Bon, en tout cas, dans un court article d’UnderNews[1] on trouve quelques rappels sur le rôle central de cet outil, et la nécessaire sensibilisation des utilisateurs pour comprendre que ce n’est pas un clicodrome. On finira tous par passer à terme sur des solutions de nettoyage de mails dans le Cloud, et j’aime bien cette approche pour deux raisons : d’abord parce que c’est typiquement le genre de techno à externaliser, et qu’en plus elle est réversible (rien de plus simple que de changer une IP de destination dans les paramètres de votre passerelle de messagerie pour passer du fournisseur A au fournisseur Z, on ne peut pas en dire autant des hébergements Full type Micromou et Mamazon). Tiens, au fait : l’auteur de l’article introduit son propos en affirmant que « la cybersécurité est désormais un incontournable ».

Cyberattaque au Centre Hospitalier Sud Francilien (CHSF) : le bilan, un an après

Gilles Calmes, directeur général du CH Sud Francilien, et Patrice Garcia, DSI de l’établissement, ont tiré le bilan la cyberattaque majeure subie par l’hôpital en août 2022, le 28 septembre lors des 3èmes Rencontres SSI Santé de l'APSSIS. 

Quelles modalités de sécurité pour les traitements critiques dans le domaine de la santé ?

Parce que certains traitements présentent des risques « d’une ampleur particulièrement importante » (les traitements dits « critiques ») et qu’ils sont la cible « des attaquants qui disposent de fortes capacités ou de fortes motivations », la CNIL a rédigé un projet de recommandation relative aux modalités de sécurisation de ces traitements[1].    

Tout le monde a droit à son IVC

Y a pas de raison que je sois le seul à ne pas y avoir droit, à l’IVC.

Les EDR, la poule et le cochon

Après un petit voyage intergalactique, vous débarquez sur la planète Zorglub et tombez nez à nez avec des représentants de la tribu des SentinelTwo, qui après les présentations et palabres d’usage vous signifient aimablement que, sous peine des pires maux des enfers, il faut prêter allégeance (et accessoirement signer un petit chèque) à leur Grand Chef à plumes, ce qui inclut l’exclusivité et la reconnaissance de la supériorité intergalactique unique et indéfectible du Grand Chef en question. Qu’à cela ne tienne. Sauf qu’en vous baladant les jours suivants dans la campagne zorglubienne vous tombez sur une autre tribu (les Carbones Noirs) qui vous explique la même chose à propos de son Big Boss (et re-chèque, et re-allégeance exclusive) et vous démontre avec force schémas que les SentinelTwo sentent le moisi. Puis sur une troisième (les Tendances), une quatrième (les Kasperpoutine), et cela n’en finit plus. Sans même parler des chèques, on a un léger souci avec quatre allégeances exclusives, chacun expliquant que ce sont les autres les nazes de l’histoire.

Une petite uchronie sur les contrôles d’accès

Imaginez un peu…

Un début de rentrée tout en nuances

Apparemment, le temps de cet été 2023 aura été très contrasté. Canicule au sud, incendies en masse dans pas mal de lieux prisés de villégiature, météo mitigée au nord avec des semaines carrément pourries. Ça change, somme toute, des étés caniculaires partout.

De quoi la rentrée cyber sera-t-elle faite ou l’antiparadigme des Kapla

Le ronronnement des habitudes semble être la norme, jusqu’au moment ou une bonne petite rupture de paradigme vous rattrape par le colback.

Dernières considérations cyber avant la plage

C’est bientôt les tongs, le sable entre les doigts de pied et les gamins qui braillent à deux serviettes de la vôtre. Avant cela, il est temps de faire un bilan à mi-course de l’année 2023.

Les EDR ou le débat conceptuel

Ne vous posez pas la question de savoir s’il faut des antimalwares sur vos PC. Il en faut (et au demeurant on aura franchi un cap important quand on arrêtera de lire les précos tek de certains éditeurs qui vous expliquent qu’il faut exclure la moitié des répertoires de la protection résidente – authentique !).

La cyber et le théorème du « Popopopopo »

J’adore ce genre d’histoire, car non seulement elle constitue un cas d’école très utile aux futurs experts de la cyber (côté gouvernance, mais pas que), mais en plus l’analyse en mille-feuille démontre que le couillon de l’histoire n’est pas celui que l’on pointe du doigt à l’origine.

La cyber confrontée à la question des accès fournisseurs

Impossible d’être passé à côté, l’actualité de cette semaine concerne l’attaque cyber dont a été victime le CHU de Rennes.

#Webinaire DSIH | Jeudi 06/07 Cybersécurité : pourquoi migrer vers Microsoft 365 & comment assurer la restauration de vos données en cas d’attaque ?

Encore méconnues du grand public il y a quelques années, les données de santé et leur sécurisation sont au cœur des préoccupations aujourd’hui. Plus encore, la protection des informations autour du patient et du professionnel de santé est devenue un des moteurs essentiels de la migration vers le cloud ces dernières années.

Les spécificités de la crise cyber expliquées à ma grand-mère

Imaginez un peu : vous devez emmener toute votre petite famille (conjoint et trois enfants) en voiture, d’Arengosse (dans les Landes) à Vouziers (dans les Ardennes) dans votre Audi A4 (cinq places). OK, le voyage risque d’être un peu long, mais vous allez y arriver (j’ai volontairement choisi un trajet bien compliqué, avec deux villes sans autoroute à proximité, et qui traverse la France dans le sens de la « diagonale du vide » comme disent les géographes).

France 2030 : le Gouvernement lance une nouvelle vague de l'appel à projets pour soutenir le développement de briques technologiques critiques en cybersécurité

Dans le cadre du plan France 2030 et de la stratégie nationale pour la cybersécurité, Jean Noël Barrot, ministre délégué chargé de la Transition numérique et des Télécommunications, et Bruno Bonnell, secrétaire général pour l’investissement en charge de France 2030, annoncent la publication d’une nouvelle vague de l’appel à projets visant à soutenir le développement de briques technologiques innovantes et critiques en cybersécurité.

En direct de l’APSSIS 2023 – jour 3 et clap de fin

Temps fort de la dernière journée, la conférence de votre serviteur et M° Brac de la Perrière sur le thème de la blockchain en santé, regards croisés RSSI et Avocate pour quels usages. Le sujet est très technique et les deux sous-domaines sont pas mal en friche, cette conférence s’inscrit dans la lignée des veilles technologiques qui font partie de l’ADN de l’APSSIS.

En direct de l’APSSIS 2023 – jour 2

Premier temps fort de la deuxième journée, la conférence de Coralie LEMKE, journaliste chez Sciences et Avenir et auteure de l’ouvrage « Ma santé, mes donnée ». Le sujet est vaste et le balayer en 40mn relève de la gageure, Coralie LEMKE revient au premier essai clinique de l’Histoire qui a pu isoler les causes du scorbut (carences en vitamines C). Etudes isolées, études longitudinales sur le long cours, essais en double aveugle, tous ces sujets sont évoqués et on en arrive immanquablement à l’usage de l’IA pour assister les radiologues dans le dépistage de tumeurs. Bien entendu, les dérives sont évoquées, telles la « vente » de données d’assurées sociaux du NHS à des opérateurs privés dans des conditions contractuelles qui interrogent.

En direct de l’APSSIS – La directive NIS 2 pourrait s’appliquer à l’ensemble des établissements hospitaliers français

La directive NIS 2, qui vise à harmoniser et à renforcer la cybersécurité du marché européen, voit son périmètre élargi par rapport à NIS 1. Tous les établissements de santé de plus de 50 salariés devraient être concernés, a-t-on appris lors du 11e Congrès National de la SSI Santé, organisé du 13 au 15 juin au Mans par l’APSSIS.

En direct de l’APSSIS – Sécurité informatique : le nombre d’attaques en baisse depuis le début de l’année

Malgré la menace des rançongiciels qui reste forte, le nombre d’incidents cyber déclarés par les établissements de santé est en baisse sur les deux premiers trimestres de 2023, a-t-on appris lors du 11e Congrès National de la SSI Santé, organisé du 13 au 15 juin au Mans par l’APSSIS.

Sécurité numérique : un partenariat entre UniHA, la C.A.I.H et le Club des RSSI pour une prise en compte des bonnes pratiques dès les phases d’achats

La C.A.I.H. (Centrale d’Achat de l’Informatique Hospitalière) et UniHA (Union des Hôpitaux pour les Achats) ont signé un « pacte de confiance numérique » avec le Club des RSSI pour améliorer la prise en compte des risques numériques et des normes afférentes dès la phase d’achat de solutions, logiciels, services ou matériels de santé.

En direct de l’APSSIS - Cyberattaque : le retour d’expérience et les conseils du GHT de Dordogne

Vincent Genot, RSSI du GHT de Dordogne, a présenté lors du 11e Congrès National de la SSI Santé, organisé du 13 au 15 juin au Mans par l’APSSIS, un retour d’expérience relatif à une cyberattaque subie par le centre hospitalier de Bergerac. Débrancher les routeurs, tenir une liste de contacts, prioriser le rétablissement des logiciels métiers… David Henocq, RSSI d’Okantis, a donné ses conseils.

En direct de l’APSSIS 2023 – jour 1

Et c’est parti pour la 11ème édition du congrès de l’APSSIS.

De l’assurance cyber comme biais managérial

En dehors de la question de savoir si la cyber est assurable ou pas (vaste débat), si elle va le rester, si le Cloud (qui consiste à mettre toutes ses gonades mâles dans le même panier) est fondamentalement antinomique avec l’assurabilité cyber (qui suppose une répartition des risques), bref, en dehors de tous ces sujets de fond, il en est un qui paraît bête a priori : cela veut dire quoi s’assurer contre le risque cyber ?

SI de santé et cyber : et si en 2023 on arrêtait…

Passer son temps à beugler avec le troupeau, c’est certes reposant, mais à la longue les neurones s’atrophient. C’est tellement plus drôle de poser les questions mêmes que tout le monde pense classées, archivées, réglées… et qui au final ne le sont pas forcément, ou pas totalement. En philo, c’est ce qu’on appelle une expérience de pensée. Personnellement j’adore, il faut juste ne pas avoir peur de sortir des âneries – mais c’est bien connu, les Gaulois n’ont peur que d’une seule chose, c’est que le ciel leur tombe sur la tête. Essayons un coup pour voir.

Management cyber : le Check comme élément de différenciation

Quel est le point commun entre l’affaire Orpea, la fraude fiscale ou sociale et l’Éducation nationale avant 2012 ?

CVE-2023-32784 : que permet réellement cette vulnérabilité affectant KeePass ?

Une nouvelle vulnérabilité a été récemment découverte dans le gestionnaire de mots de passe KeePass. Elle permet d’extraire de la mémoire d’un ordinateur, le mot de passe (en grande partie tout du moins) maître d’une base KeePass.

Management des SI de santé : le paradigme de la tulipe

Vous ne connaissez certainement pas Pieter Wynants. Il organisa pourtant un important dîner chez lui le dimanche 1er février. Dîner au cours duquel étaient présents, parmi de nombreux invités de la ville, non seulement son cousin, mais aussi Geertruyt Schoudt, une riche veuve, ainsi que Jacob De Block, un teinturier.  

Perte de données Doctolib, petits rappels RGPD

La plateforme de RDV médicaux Doctolib a perdu des données médicales[1], en l’occurrence des milliers de données sensibles. Dans un mail envoyé aux professionnels de santé le 3 mai dernier, la plateforme fait mention d’un “incident technique” ayant conduit à l’effacement de certaines observations de suivi, comme les motifs de visite, les comptes-rendus d’examen et les conclusions effectués entre le mercredi 26 avril à 17h40 et le jeudi 27 avril 11h40.    

ChatGPT : la voie étroite entre l’interdiction et l’adaptation

À chaque fois que j’écris un billet sur l’IA et ChatGPT, je me dis que c’est le dernier, que le sujet est bouclé, mais en fait non.

Yuno by XMCO, l’outil de veille cyber qui facilite le quotidien des DSI et RSSI

Yuno, la solution de veille en cybersécurité de l’éditeur XMCO, permet à ses utilisateurs de bénéficier d’un suivi personnalisé des vulné rabilités de leurs équipements. Stéphane Duchesne, RSSI du CHU de La Réunion, nous présente les avantages de la solution.

La cyber va bien, en fait plus que bien : hyperbien !

« En 2023, les mesures de protection cyber ont considérablement évolué pour répondre aux menaces en constante évolution. Les professionnels de la cybersécurité ont mis en place des mesures de protection plus avancées pour protéger les systèmes informatiques et les données sensibles contre les cyberattaques.

MFA, plutôt trois que deux ?

Le mot de passe est mort.

QUEUEJUMPER : encore une belle porte d’entrée sur les systèmes Windows

Habilitations d’accès aux données médicales à l’ère des GHT - Vision juridique

Quand le brillant RSSI et DPO Cédric Cartau et moi-même décrochons notre téléphone en pleine journée pour nous appeler, c’est qu’un « serpent de mer » technico-juridique nous travaille. Le dernier en date : les droits d’habilitation au Dossier Patient Informatisé (DPI), et ce, dans le contexte d’un article de presse[1] annonçant les mesures prises par l’APHP « la mise en œuvre d’un système de surveillance du mode « bris de glace » afin de contrôler et d’identifier les accès illégitimes ». Dans un premier volet, la vision technique et opérationnelle a donc été présentée[2]. Ce deuxième volet vise à présenter le cadre juridique. Que disent les textes ?        

Les habilitations d’accès aux données médicales à l’ère des GHT – la vision RSSI/DPO

La news a été diffusée par plusieurs médias spécialisés : le dossier patient (DP) de Pierre Palmade à l’AP-HP a été consulté à de multiples reprises par des personnels n’ayant rien à voir avec la prise en charge médicale de l’humoriste… voire travaillant dans l’un des établissements de l’AP-HP où il n’était pas hospitalisé. Il s’agit d’un accès indu au DP (ou de curiosité malsaine en langage courant). C’est illégal et c’est puni par la loi. Cela étant, le sujet est très complexe. Décryptage.

Du rififi chez tonton Google ?

Les séries TV fleuves vous ennuient ? Les histoires avec le méchant JR et le gentil Bobby Ewing vous font bâiller à vous en décrocher la mâchoire ? Essayez ChatGPT.

Bloquer les scanners à la découverte de votre exposition sur Internet : bonne ou mauvaise idée ?

Depuis quelques jours, je vois beaucoup d’engouement sur les réseaux sociaux autour du blocage des scanners qui, comme le très connu Shodan ou son challengeur français Onyphe [1], référencent les ports, services, applications et vulnérabilités qui les affectent de toutes les machines exposées sur Internet.

Le quiz annuel

Ça y est, c’est le printemps, il est largement temps de se changer les idées avec un petit quiz pas du tout orienté ni poil à gratter – pas mon genre. Une seule bonne réponse par question, on compte les points à la fin.

Un de plus, encore un de trop

Impossible d’être passé au travers tant l’info a fait le tour de l’actualité cyber : jeudi dernier le CHU de Brest était la victime d’une attaque cyber. Soyons clair : à ce stade, même si la communauté des RSSI hospitaliers dispose de plusieurs éléments techniques, impossible de divulguer quoi que ce soit dans un média ouvert sur ladite attaque pour des raisons évidentes de protection des SIH.