Vous êtes dans : Accueil > cybercriminalité >
« Cyberaccélération : la route est droite… mais étroite ! » Vincent Trély, fondateur et président de l’Apssis, également infatigable combattant pour la sécurité des systèmes d’information de santé, est par ailleurs l’un des promoteurs du métier de « RSSI Santé ». Après plusieurs mois particulièrement denses pour la cybersécurité en santé, il se prête au jeu de nos questions, revient avec perspicacité sur l’actualité du secteur et nous livre son analyse des enjeux à venir.
Les établissements de santé sont des cibles privilégiées des cybercriminels, en témoigne le nombre croissant de cyberattaques qui ont visé les hôpitaux ces dernières années. Dans ce contexte inquiétant, des acteurs français de la Sécurité des Systèmes d'Information (SSI) de santé ont décidé de riposter ensemble pour accompagner les établissements de santé. Pour mener à bien cette lutte, un plan d’action d’envergure a été mis en place. La première étape consiste au développement d’offres d’accompagnement en cybersécurité.
A l’occasion de Santexpo 2023, le Mipih et le SIB ont annoncé la poursuite de la mutualisation de leurs expertises avec le développement d’une offre commune de cybersécurité.
L’éditeur Dedalus mise sur les services basés sur le cloud pour rendre plus fiable et plus sûr l’écosystème de santé. Il a présenté sa stratégie avec son partenaire Amazon Web Services (AWS), fournisseur de services cloud stratégiques, lors d’une table-ronde organisée sur son stand J47 au salon Santexpo, qui se tient jusqu’au 25 mai à Paris.
Villefranche-sur-Saône, Dax, Oloron-Sainte-Marie, Albertville, Arles, Castelluccio, Saint-Dizier, Vitry-le-François, Mâcon, Paris, Corbeil-Essonnes, Versailles… Et ceci n’est qu’une courte liste des différents établissements de santé publics et privés visés par des cyberattaques ces dernières années. En pleine ouverture et mutation numérique, le secteur hospitalier a dû faire face à de multiples vagues successives de cyberattaques bloquant tout ou partie de leur activité et forçant certains à revenir à l’ère du crayon à papier. Aider les établissements de santé à maitriser le risque cyber nécessite toutefois d’adopter une approche résolument proactive en prenant en compte les contraintes propres au secteur. La protection du réseau – et les technologies adaptées – sont indispensables pour prémunir les structures concernées.
Les identifiants sont de plus en plus ciblés pour infiltrer les établissements de santé, et les cybercriminels sont toujours plus efficaces pour les obtenir et les exploiter. L’identité est devenue un nouveau point de sécurité stratégique pour ces professionnels de santé, un préalable indispensable à la qualité et sécurité des soins. Pour y répondre, les offres développées par le Mipih intègrent CERBERE, une solution d’authentification sécurisée et centralisée.
Le numérique présente des défis croissants pour les établissements publics de santé. Dans ce contexte, il est nécessaire que les directions des systèmes d’informations disposent des moyens de mettre en place une stratégie ambitieuse sur le sujet. Pourtant, trop souvent, ces directions sont positionnées comme des quasi « prestataires de services » et ne disposent pas des marges de manoeuvre nécessaires pour mettre en place une stratégie propre. Dès lors, cet article propose de mettre en place un « référent logiciel ». Ce dispositif désignerait une personne dans chaque pôle d’un hôpital qui soit chargée de connaître et de suivre l’utilisation des logiciels métiers et de redonner aux services de soins les clefs de la gestion des logiciels utilisés. En parallèle, cette disposition permettrait de commencer à effectuer le repositionnement des DSI hospitalières.
Alors que la cybercriminalité augmente rapidement en France et dans le monde, le cloud permet de répondre facilement et sans investissements massifs aux enjeux de sécurité, de confidentialité et de disponibilité des services et des données de santé. Mathieu Jeandron, Senior Solutions Architect Manager chez Amazon Web Services (AWS), a expliqué à DSIH les atouts de cette technologie.
Dans le cadre de la structuration des GHT, les établissements supports ont porté la réalisation de schémas directeurs de convergence des SI initiés en 2017 et 2018. Ces travaux ont été réalisés sur la base de Projets médicaux et de soins partagés réalisés dans des délais contraints, avec une projection initiale souvent théorique des fonctionnements coopératifs et des besoins métiers. Ces SDSI devaient aussi traiter de la mise en place d’une gouvernance commune des systèmes d’information, sous la forme d’une Commission Stratégique du Système d’Information (CSSI), nommée par le Comité Stratégique du GHT. Dans les faits, cet organe de gouvernance en charge du pilotage du SDSI n’est pas toujours opérationnel et pourtant essentiel en tant que Maîtrise d’Ouvrage déléguée et reconnue, dotée de pouvoirs et au service d’un « collectif » donneur d’ordres.
Les risques qui pèsent sur les systèmes informatiques sont élevés et de nombreuses structures de santé subissent des attaques numériques les mettant en difficulté (blocage des systèmes, vol d’informations, tentative d’escroquerie, saturation du réseau en sont des exemples). Suite aux incidents significatifs recensés début 2021, le Président de la République a lancé un grand plan cyber sécurité doté d’1 milliard d’euros et 350 millions d’euros du Ségur de la Santé sont dédiés à la protection des établissements de soins.
Fin février, par suite d’une visite à Villefranche-sur-Saône, le ministère des Solidarités et de la Santé a annoncé une série de mesures pour renforcer la stratégie du gouvernement contre la cybercriminalité. Les établissements de santé sont ainsi tenus de consacrer entre 5 % et 10 % de leur budget informatique à la cybersécurité pour continuer à bénéficier des aides de l’État.
Face à l’augmentation des cyberattaques par ransomware, le gouvernement intensifie sa stratégie et ajoute une enveloppe d’un milliard d’euros, notamment pour réaliser des audits dans les établissements de santé.
Le directeur de l’Anssi alerte régulièrement les pouvoirs publics sur l’état grandissant de la menace cyber et, la semaine dernière, le Cigref adressait dans un courrier[1] au Premier Ministre son inquiétude sur l’industrialisation de la cybercriminalité et la faible réponse étatique.
Dans le domaine de la cybercriminalité, les attaques par déni de service distribué (DDoS) n’apparaissent pas comme étant les plus critiques. Pendant un laps de temps, un ou plusieurs services sont rendus indisponibles par un nombre conséquent de requêtes émises de manière synchronisée via un grand nombre de machines compromises constituant un « botnet », un réseau de machines contrôlées par un attaquant.
Depuis un petit moment déjà, certaines réflexions autour des virus me titillent en me posant question. Et comme me disait mon institutrice de CE1 : « Mon petit Cédric, il faut poser ses questions ; s’il y a une chose que tu ne comprends pas, dis-toi que tu n’es pas le seul. » J’appelle donc à la rescousse mon illustre coauteur Me Omar Yahia. Go.
Enovacom vous donne rendez-vous pour une conférence le 3 avril à 17 h 30 au congrès de l’APSSIS où seront abordés les enjeux issus des dernières réglementations : RGPD, chiffrements, certifications…
Les incidents liés à la sécurité des systèmes d’information se multiplient de plus en plus dans le monde. La France serait entrée en 2015 dans le top 10 des pays les plus touchés par le piratage informatique. Selon le dernier rapport Norton sur la cybercriminalité, plus de 19 millions de personnes (42% de internautes) ont été victimes d’actes de piratage en France en 2017. Le cout total de cette cyber criminalité s’élève à 6,1 milliards d’euros en 2017, soit trois fois plus qu’en 2016.
Le Panorama annuel de la Cybercriminalité du CLUSIF a été dévoilé le 18 janvier 2018. Au cours de cette conférence, les experts du groupe de travail ont présenté un bilan en matière de cybercriminalité mais également en matière d'événements sociétaux en relation avec la sécurité de l'information. Plusieurs thématiques ont été balayées : les attaques destructives, les attaques via des tierces parties, la gestion de crise et ses limites, les vecteurs d'attaques innovants, les enjeux géopolitiques, notamment l'influence sur les élections, les rançons, le Bitcoin, le Darknet. Ce groupe de travail réunit des experts adhérents du CLUSIF mais aussi invités experts.
Quatrième édition très attendue du Cyber@Hack le 21 septembre prochain. Au programme : de l’innovation, de l’échange et de la découverte. Entretien avec Marion Godefroy, Marketing and Communication Manager chez Itrust.
Courrier International publie cette semaine un très intéressant dossier sur la lutte antivirale à l’échelon planétaire, faisant suite aux deux alertes majeures Wannacry et Petya. Rappelons que le principe de l’hebdomadaire n’est pas de défendre un point de vue mais de présenter un panel relativement large des points de vue internationaux sur chaque sujet.
Grande première aux Etats-Unis [1], l’inculpation d’un criminel basée sur les données issues de son stimulateur cardiaque !
Depuis quelques années, les secteurs sanitaires et médico-sociaux sont confrontés à des risques nouveaux avec des impacts forts sur la sécurité de la prise en charge.
Fin 2015, Itrust (leader français de solutions innovantes en cybersécurité) et Hiscox (assureur spécialiste) s’associent et signent un partenariat stratégique. Objectif : proposer aux assurés Hiscox de contrôler leur niveau de sécurité informatique et les aider dans la résolution des incidents de sécurité grâce à un nouveau produit d’assurance : Data Risks.
La quatrième édition du Congrès National de la Sécurité des SI de Santé, organisée par l’APSSIS du 4 au 6 avril 2016 au Mans promet d’être un moment fort pour l’écosystème SSI Santé. 130 DSI, RSSI, institutionnels, directeurs, médecins, experts, constructeurs et éditeurs se retrouveront 3 jours autour d’un programme intense de 20 conférences et tables-rondes.
Les Matinées Sécurité 2013 d’Enovacom continuent d’avancer et d’évoluer. Centrés sur la sécurité du Système d’Information des établissements de santé, ces évènements ont pour objectif d’apporter des réponses concrètes sur les problématiques rencontrées par les DSI et RSSI. La dernière session 2013 s’est clôturée à Paris ce 29 Octobre en présence de Vincent Trely, président de l’APSSIS. Une fois encore, la manifestation a su rassembler autour des équipes d’Enovacom de nombreux établissements de santé.
Enovacom et APSSIS (Association pour la Promotion de la Sécurité des Systèmes d’Information de Santé) propose l’espace de trois matinées sécurité un condensé d’informations sur la sécurité des SIH : démonstrations sur les solutions Enovacom, retour d’expérience de Vincent Trely, ancien DSI du CH Le Mans et président d’APSSIS, méthodologie sur la mise en place d’une PGSSI d’établissement de santé…
Le mercredi 3 avril 2013, l’Association APSSIS délivrait son premier séminaire de sensibilisation à la cybercriminalité et à la sécurité des SI de Santé, devant 34 Directeurs, Cadres de Santé, DSI, RSI, Informaticiens et Responsables de Projets Métiers.
Congrès National de la Sécurité des Systèmes d’Information de Santé: Le Mans du 4 au 6 décembre 2012 19 Conférences et 2 Tables Rondes proposeront cette année 24 heures de réflexion sur les 3 thématiques : « Après la crise économique, une crise technologique ? », « Quels modèles technologiques de sécurisation ? » et « Organisation et riposte du système de Santé français ».
Les débats, animés par Dominique LEHALLE, Journaliste spécialisée e-santé, se tiendront sur 3 jours, à la Cité Plantagenêt du Mans.19 conférences, 2 tables rondes, 6 moments d’échanges privilégiés et 2 dîners thématiques offriront aux Congressistes 2012 un circuit riche et dense.
Le 1er contrat « AET Readiness Test » signé en France : un service unique pour tester les infrastructures face aux techniques d’évasion. Stonesoft, l’éditeur éuropéen de solutions de sécurité réseau, et Advens, société spécialisée dans le management de la sécurité de l'information, ont signé une alliance portant sur la technologie Stonesoft de détection de techniques d’évasions avancées (AET). Grâce à ce partenariat, Advens renforce son offre de services à destination de ses clients présents dans différents secteurs tels que la finance, l’industrie la santé et la distribution. L'objectif de Stonesoft est de continuer et renforcer la lutte contre les pratiques de cybercriminalité avancées.
L’APSSIS annonce les dates de son second Congrès National de la Sécurité des Systèmes d’Information de Santé (le CNSSIS 2.0), au Mans, les 3, 4, 5 et 6 décembre 2012. La soirée du 3 décembre et la matinée du 4 sont réservées aux adhérents (dîner conférence et Assemblée Générale). Les débats, animés par Dominique LEHALLE, Journaliste spécialisée e-santé, se tiendront sur 3 jours, à la Cité Plantagenêt du Mans.
Les plus lus