Vous êtes dans : Accueil > rssi >
Les données de santé de 2 millions de patients mexicains exposés sur Internet
La Def Con figure parmi les conférences les plus incontournables dans le domaine de la sécurité numérique. Pour sa 26ème édition à Las Vegas qui s’est déroulée du 9 au 12 août, la sécurité des dispositifs médicaux faisaient partie, une fois encore des sujets phares de l’évènement.
Depuis le début du mois, nous observons dans les établissements de santé français deux importantes campagnes de courriels malveillants.
Pour le dernier article de cette première moitié d’année, j’ai décidé de revenir sur la question du rattachement hiérarchique et fonctionnel du RSSI : après tout, tant qu’à commenter des idées stupides, autant qu’elles viennent directement de moi. En l’occurrence, je me suis interrogé sur la question de savoir s’il était opportun ou pas de rattacher le RSSI au service des archives.
Le RGPD, vous connaissez ? Vous en avez entendu parler, bien entendu. Commençons par quelque chose de factuel : il s’agit d’un règlement européen du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. On parle de règlement général sur la protection des données, ou de RGPD. Le RGPD (et non « la RGPD ») est entré en vigueur le 25 mai 2018.
Sans réelle surprise, on constate aux États-Unis, une croissance parallèle entre les ventes de dossiers médicaux sur le Dark Web et les incidents relatifs à des fuites de données constatés dans le secteur de la santé.
Faites le test suivant : si vous avez un ado à la maison, annoncez-lui pile au moment de se mettre à table le soir en famille que juste à la fin du repas vous allez inspecter sa chambre, et que si vous la trouvez un tantinet en désordre, il sera privé d’argent de poche et de smartphone pendant une semaine (ok le coup du smartphone c’est taquin, mais bon c’est juste un test, même si votre ado ne le sait pas). Et observez bien attentivement sa réaction : si les cheveux et les poils se dressent, si les yeux roulent alors il y a de fortes chances pour que sa chambre soit effectivement dans un grand état de foutoir.
Si pas mal de monde avait les yeux rivés sur le RGPD le 24 mai au soir, et au-delà, on a beaucoup moins entendu parler du décret n° 2018-384, qui a pourtant été publié le 23 mai dernier, et qui concerne les obligations des futurs opérateurs de services essentiels (OSE), pendant de la LPM (loi de programmation militaire) pour les OIV (opérateurs d’importance vitale).
Les systèmes d’information dans le domaine de la santé sont soumis à de fortes exigences, portées par des textes réglementaires, référentiels et normes.
Que les DSI qui ont encore du mal à considérer la sécurité du numérique en prennent de la graine. Les ingénieurs biomédicaux semblent pour leur part, avoir bien pris conscience de sa nécessité.
Le webzine Ticsanté a récemment relaté(1) une étude issue de la dernière édition de l’Atlas des systèmes d’information hospitaliers sur l’informatisation des établissements de santé faisant suite au programme Hôpital numérique. Et le moins que l’on puisse dire, c’est que le bilan est plus que contrasté, sans parler de chiffres qui, mis côte à côte, interrogent carrément.
On ne l’a appris que le 19 mai : la clinique Chénieux de Limoges a été victime d’une fraude au président et se démène pour récupérer la bagatelle de 600 000 euros.
Temps fort du congrès comme chaque année, M° Brac de la Perrière et M° Yahia nous éclairent sur l’état d’avancement de construction des GHT sur différents aspects
Avec sa verve inénarrable, Gérard Peliks nous décrit le mécanisme de mise en œuvre et déroulement d’une APT ou Advanced Persistant Threat.
Il est un débat, au sein des DSI des établissements de santé – publics ou privés – qui consiste à savoir où seront stockées les données des patients dans 10, 20, 30 ans. Les RSSI et les CIL/DPO sont évidemment furieusement actifs dans ce débat. En gros, deux conceptions s’affrontent.
Enovacom vous donne rendez-vous pour une conférence le 3 avril à 17 h 30 au congrès de l’APSSIS où seront abordés les enjeux issus des dernières réglementations : RGPD, chiffrements, certifications…
Mis en place depuis trois ans, les parcours experts thématiques pilotés par des organismes spécialistes des sujets traités guident les visiteurs à travers les allées de HIT vers des solutions innovantes proposées sur le salon. Voici l’itinéraire d’un expert gâté.
Les incidents liés à la sécurité des systèmes d’information se multiplient de plus en plus dans le monde. La France serait entrée en 2015 dans le top 10 des pays les plus touchés par le piratage informatique. Selon le dernier rapport Norton sur la cybercriminalité, plus de 19 millions de personnes (42% de internautes) ont été victimes d’actes de piratage en France en 2017. Le cout total de cette cyber criminalité s’élève à 6,1 milliards d’euros en 2017, soit trois fois plus qu’en 2016.
Dans un précédent article(1), nous traitions des stratégies de convergence SSI au sein d’un GHT s’appuyant sur le triptyque audit/appréciation des risques/suivi des actions et, en premier lieu, de l’audit en décrivant un outil très simple (PingCastle) qui permet d’évaluer le niveau de protection de l’AD. Dans un second volet(2), nous avons développé plus particulièrement les audits de la protection périmétrique.
J-14 avant le lancement du 6e Congrès national de la sécurité des SI de santé, qui se déroulera au Mans les 3, 4 et 5 avril 2018. « Le RGPD par ceux qui ont les mains dedans, pour ceux qui y sont jusqu’au cou » est la conférence inédite préparée spécialement pour l’événement par Cédric Cartau, RSSI et DPO du CHU de Nantes. De quoi parle-t-elle ?
Relaté par Ticsanté(1), l’Asip Santé publie un état des lieux sur l’avancement de la convergence au sein des GHT.
En juin dernier, suite à une présentation du SNDS (Système National des Données de Santé) par la DREES à tout un parterre de responsables SSI de divers organismes (collectivités territoriales, CHU, administrations centralisées, etc.) certains RSSI exprimaient leur étonnement devant le manque de sécurité dans l’accès aux données du SNDS.
Depuis 2012, l’APSSIS élabore et propose une formation innovante (l’actuelle formation RSSI /SSI Expert santé Version 2), spécialement adaptée aux secteurs de la Santé, et basée sur les guides et référentiels officiels. Plus de 800 professionnels de santé ont ainsi été formés à la sécurité des SI.
Organisée par le CyberCercle (1), sous l’impulsion de sa directrice, Bénédicte Pilliet, la première édition des Scadays s’est déroulée le 8 février dernier, dans un lieu d’exception, l’hôtel de ville de Lyon.
Le bug de protection mémoire révélé la semaine dernière a mis immédiatement en alerte tous les RSSI de la planète. Cependant, l’impact de cette faille dépasse le champ de la sécurité et est de nature à entamer profondément la confiance dans le numérique.
Succédant à la sensibilisation(1) et au RGPD(2), le troisième thème abordé lors de ce colloque SSI co-organisé par la DGOS, la DSSIS, le service du HFDS et l’ASIP Santé, fut la mise en œuvre des démarches nationales de prévention des incidents SSI.
Prenez deux RSSI, branchez-les sur la question de la méthode de l’appréciation des risques, et il y a de fortes chances que le lendemain à la même heure ils soient encore en train de s’écharper sur la question de savoir quelle est la meilleure. Petit historique.
Depuis quelques mois, le sujet « RGPD » sature la bande passante des canaux d’information des DSI et des RSSI de santé. Son application en mai 2018 (c’est bientôt), ses 99 articles et 173 considérants (c’est épais), les montants des amendes pour non-conformité (élevés) et l’ampleur du travail estimé (important) font partie des sources d’angoisse générées.
Tout comme le congrès national de la sécurité des SI de santé organisé par l’APSSIS dans cette très belle ville qu’est Le Mans, le colloque SSI Santé du 14 avenue Duquesne à Paris est devenu un rendez-vous annuel à ne pas manquer pour tous les acteurs du secteur.
Le Congrès national de la sécurité des SI de Santé (#CNSSIS2018) se tiendra les 3, 4 et 5 avril 2018 au Mans. L’un des fils conducteurs de cette 6e édition : la cyberinsécurité gérée sur le terrain. Focus sur la conférence « La pédagogie de la crise SSI : une réponse agile aux menaces sur les systèmes de santé », délivrée par Philippe Tourron, responsable de la sécurité des systèmes d’information (RSSI) à la Direction des services numériques de l’Assistance publique-Hôpitaux de Marseille (AP-HM).
On me pose souvent la question de savoir quel doit être le profil et le positionnement du DPO dans les établissements de santé. Mon premier réflexe consiste à réaliser une sorte de benchmarking entre les différentes formations « offertes » pour construire le futur DPO. Ainsi et par exemple, le CNAM propose un certificat de spécialisation Délégué à la protection des données. Les facultés ne sont en reste, avec un diplôme d’université DPO (Paris II Panthéon Assas, Paris Nanterre, etc.).
Ça y est, pas mal de GHT ont déjà démarré les travaux de convergence de leur SI… Bon, OK, je reformule, pas mal de GHT ont déjà démarré les travaux de réflexion sur ce qui va devoir converger ou pas, et dans quel ordre. Bon, OK, OK, je reformule encore : pas mal de GHT ont commencé les réunions des DSI, ça vous va ?
Dans un article récent(1), TICsante.com retrace un classement réalisé par le Syntec numérique sur les éditeurs de logiciels, comportant notamment un volet pour ce qui est du monde de la santé.
Le Mans accueillera les 3, 4 et 5 avril 2018 le déjà 6e Congrès national de la sécurité des SI de santé (#CNSSIS2018) pour un marathon de 24 heures de conférences, tables rondes, séquences interactives et 12 heures de Networking selon les objectifs habituels assignés à l’événement : densité, qualité et liberté de ton.
Les exemples de découvertes de vulnérabilités sur les dispositifs médicaux ne manquent pas et l’actualité nous le rappelle de plus en plus régulièrement. Pacemakers, autoclaves, moniteurs patients, imagerie médicale, pompes à perfusion… [1] ont fait la une de l’actualité SSI depuis le début de l’année.
Dans un premier volet(1), nous avons exposé la problématique générale du RGPD dans le monde de la santé. Attaquons à présent une question pas forcément vitale, mais importante tout de même : l’évaluation de son impact sur la vie privée des incidents de sécurité, ou l’appréciation des risques.
3, 4 et 5 avril 2018 : voilà les dates du 6e Congrès national de la sécurité des SI de santé !
Spécialement conçue pour les professionnels de santé – DA, DSI, RSI, RSSI, référents, médecins DIM et chefs de projets –, la nouvelle formation de l’APSSIS a été délivrée trois fois, à Paris, Nantes et Bordeaux, réunissant à chaque session une dizaine d’établissements publics et de structures de santé privées. La formation sera délivrée à Dinard, en partenariat avec DSIH magazine, les 11, 12 et 13 septembre 2017.
Cette première partie d’année a encore été riche en évènements…un petit coup d’œil dans le rétro avant le maillot.
Spécialement conçue pour les professionnels de santé – DA, DSI, RSI, RSSI, référents, médecins DIM et chefs de projets –, la nouvelle formation de l’APSSIS a été délivrée trois fois, à Paris, Nantes et Bordeaux, réunissant à chaque session une dizaine d’établissements publics et de structures de santé privées. Le taux de satisfaction global mesuré est supérieur à 19/20, chacun appréciant le contenu, la dynamique, la qualité des documents proposés et l’interaction entre les participants, dont le nombre est volontairement limité.
Dans un article (1) du 18 juin dernier, le magazine 01net détaille le mode opératoire de l’attaque contre TV5 Monde. Et je vous en conseille fortement la lecture, car cela donne à réfléchir, pour ceux qui ne se sont jamais frottés à ce sujet. Cet article m’interpelle d’autant plus que l’un des confrères RSSI de CHU a fait réaliser, sous contrôle bien entendu, une prestation d’intrusion à distance basée sur le même principe et que, dans mon CHU, nous avons aussi fait la même chose (sous un format un peu différent puisqu’il s’agissait d’un exercice d’intrusion interne).
Une alerte virale est en cours – une de plus – et l’ensemble des RSSI hospitaliers (et des autres secteurs bien entendu) sont en alerte, échangent régulièrement sur l’état d’avancement, les points de vigilance (1), les patches et vulnérabilité, etc.
Si le département du cantal est en alerte à cause des orages, c’est une bonne partie des RSSI et DSI de la planète qui retiennent leur souffle à l’heure qu’il est.
Le 20 juin dernier s’est tenue à Paris, dans les locaux de la Cnam et organisée par la Drees (Direction de la recherche, des études, de l’évaluation et des statistiques), une présentation du récent SNDS (Système national des données de santé) et plus particulièrement des conditions d’accès à ce dernier par les organismes disposant d’un accès de droit (les CHU, les organismes de recherche, etc.). Côté hôpitaux, une partie des CHU étaient bien entendu représentés, mais, plus étonnant, parmi leurs ambassadeurs, seuls les RSSI étaient présents. Je sais que certains CHU avaient convié leur direction de recherche interne à venir assister à la présentation, mais en vain : que les principaux utilisateurs dudit système ne participent pas à une réunion qui traite des contraintes d’accès au SNDS interroge un peu…
Dans le monde de la santé, en matière de sécurité des SI – au sens très large du terme –, il s’est passé plus de choses durant les deux dernières années que dans les 20 qui ont précédé.
À partir du 1er octobre 2017, les établissements de santé devront déclarer les incidents de sécurité SI. Et c’est une bonne chose. Lors de la Paris Healthcare Week, le directeur de l’Asip Santé, Michel Gagneux, a détaillé le dispositif et sa mise en œuvre, qui font suite à l’article 110 de la loi du 26 janvier 2016. Pas mal d’articles ont récemment été écrits sur le sujet, et notamment celui de ticsante [1] et, bien entendu, ceux de DSIH [2].
Quittons les terres fertiles et autres sentiers battus des GHT pour rebondir sur une brève de mon RSSI préféré, alias Cédric Cartau, au sujet de la biométrie.
Les plus lus