Vous êtes dans : Accueil > ssi >
Depuis des mois, un large travail d’analyse du risque cyber qui pèse sur les établissements de santé et une priorisation des mesures correctives à mettre ont été mené avec l’ensemble des acteurs de l’écosystème (fédérations hospitalières, DSI et RSSI d’établissement de santé, ARS, Grades...). Ce travail a permis de lancer le 18 mars, deux guichets de financements portés par l’ANS et destinés aux Etablissement de santé. Il s’agit dans un premier temps de :
RSSI, RSSI adjoints, ingénieurs cyber, chefs de projets, mais aussi maîtrises d’ouvrages désireuses de comprendre la démarche cyber, cette formation de 2 jours est pensée pour vous !
Selon l’Anssi, le secteur de la santé est le troisième domaine le plus cyberattaqué en France. Orange Cyberdefense, acteur majeur de la cybersécurité, a développé une approche complète et globale pour répondre à l’ensemble des problématiques auxquelles sont confrontés les établissements. De l’expertise d’un grand groupe à la mobilisation des équipes pour répondre aux enjeux des réglementations européennes et des projets nationaux, notamment le programme CaRE, Saïd Bouakline, directeur commercial en charge des centrales d’achat chez Orange Cyberdefense, retrace l’engagement de l’entreprise auprès des structures de santé.
A la une de DSIH 41 | Février 2024 #Le bloc opératoire du futur : On assiste à une explosion de solutions numériques qui ne demandent qu’à franchir les portes du bloc. L’IA sous toutes ses formes, y compris les modèles de langage, l’enregistrement de bout en bout d’une intervention pour améliorer les pratiques ou encore les lunettes de réalité virtuelle pour préparer une opération, dévoiler au chirurgien ce que l’œil seul ne voit pas et guider son geste… Des freins demeurent à leur mise en place. Décryptage et projections à retrouver dans notre dossier consacré à la chirurgie 4.0.
Face aux menaces qui pèsent sur les systèmes d’information des structures de santé et aux conséquences catastrophiques pour la continuité des soins et la sécurisation des données de santé, le Groupement Régional e-Santé Bretagne, en lien avec l’ARS Bretagne, met à disposition des acteurs de santé bretons des prestations de cyberrésilience aux tarifs négociés.
Une des priorités de la nouvelle Feuille de Route du Numérique en Santé concerne le renforcement massif de la cybersécurité. La puissance publique s’est rapidement coordonnée dans la mise en place d’un plan de renforcement cyber avec l’objectif d’atteindre un niveau de préparation et de résilience suffisant via le Programme CARE (Cyber Accélération et Résilience des Établissements) : plan 2023-2027 destiné aux établissements sanitaires, médicosociaux, industriels et ARS / Grades pour faire face à la menace.
Les 18, 19 et 20 juin 2024, l’APSSIS organisera son 12ème Congrès National de la SSI Santé, le #CNSSIS2024 ! Un peu plus de 200 participants sont attendus à l’espace culturel des Quinconces du Mans pour 3 jours de conférences, de débats, de tables-rondes et d’échanges. Cette 12ème édition proposera 25 conférences et 2 parcours spécialisés, préparés pour l’événement, et pour la première fois, le premier concours d’éloquence des RSSI Santé !
Le 10 juillet 2023, à l’occasion d’une Assemblée Générale constitutive, Thomas AUBIN, RSSI du GHT Lille Métropole Flandre Intérieure, Béatrice BERARD, OSSI du GHT Val Rhône Centre, Adrien BOURDON, RSSI du GHT Vendée, Jean-Sylvain CHAVANNE, RSSI du GHT de Bretagne Occidentale, Vincent TEMPLIER, RSSI du GHT Est Hérault – Sud Aveyron et Philippe TOURRON, RSSI du GHT des Hôpitaux de Provence, ont confirmé la création de l’Association à but non lucratif de loi 1901 dénommée « Club des Responsable de la Sécurité des Systèmes d’Information de Santé » ou « CLUB RSSI Santé ». L’Association, soutenue par l’Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI), représente et fédère les Responsables de Sécurité des Systèmes d’Information (RSSI) des Groupement Hospitaliers de Territoire (GHT) et établissements publics de santé. Les autorités compétentes en santé, dont le Fonctionnaire de Sécurité des Systèmes d’Information (FSSI) des ministères sociaux, peuvent être sollicitées pour participer aux réunions et aux échanges, autant que de besoin.
Gilles Calmes, directeur général du CH Sud Francilien, et Patrice Garcia, DSI de l’établissement, ont tiré le bilan la cyberattaque majeure subie par l’hôpital en août 2022, le 28 septembre lors des 3èmes Rencontres SSI Santé de l'APSSIS.
La Formation RSSI / SSI Santé - Porter la SSI et la conformité numérique : technicité et savoir-faire est une formation spécialement conçue par l’APSSIS pour les professionnels de santé en charge de la sécurité des SI, RSSI, Référents SSI, DSI, DPO, ingénieurs. Dispensée sur 3 jours par Vincent TRELY, Président de l’APSSIS, son contenu est inédit, régulièrement actualisé et propose un 360° sur la SSI Santé.
Les établissements de santé sont des cibles privilégiées des cybercriminels, en témoigne le nombre croissant de cyberattaques qui ont visé les hôpitaux ces dernières années. Dans ce contexte inquiétant, des acteurs français de la Sécurité des Systèmes d'Information (SSI) de santé ont décidé de riposter ensemble pour accompagner les établissements de santé. Pour mener à bien cette lutte, un plan d’action d’envergure a été mis en place. La première étape consiste au développement d’offres d’accompagnement en cybersécurité.
La directive NIS 2, qui vise à harmoniser et à renforcer la cybersécurité du marché européen, voit son périmètre élargi par rapport à NIS 1. Tous les établissements de santé de plus de 50 salariés devraient être concernés, a-t-on appris lors du 11e Congrès National de la SSI Santé, organisé du 13 au 15 juin au Mans par l’APSSIS.
Malgré la menace des rançongiciels qui reste forte, le nombre d’incidents cyber déclarés par les établissements de santé est en baisse sur les deux premiers trimestres de 2023, a-t-on appris lors du 11e Congrès National de la SSI Santé, organisé du 13 au 15 juin au Mans par l’APSSIS.
La C.A.I.H. (Centrale d’Achat de l’Informatique Hospitalière) et UniHA (Union des Hôpitaux pour les Achats) ont signé un « pacte de confiance numérique » avec le Club des RSSI pour améliorer la prise en compte des risques numériques et des normes afférentes dès la phase d’achat de solutions, logiciels, services ou matériels de santé.
Vincent Genot, RSSI du GHT de Dordogne, a présenté lors du 11e Congrès National de la SSI Santé, organisé du 13 au 15 juin au Mans par l’APSSIS, un retour d’expérience relatif à une cyberattaque subie par le centre hospitalier de Bergerac. Débrancher les routeurs, tenir une liste de contacts, prioriser le rétablissement des logiciels métiers… David Henocq, RSSI d’Okantis, a donné ses conseils.
A l’occasion de Santexpo 2023, le Mipih et le SIB ont annoncé la poursuite de la mutualisation de leurs expertises avec le développement d’une offre commune de cybersécurité.
Si la question a pu sembler longtemps secondaire, la cybersécurité est désormais devenue une priorité pour les établissements de santé dont la prise de conscience a été accentuée par la multiplication des cyberattaques ces derniers temps. Et si le risque cyber demeure exceptionnel, quand cela arrive, les dégâts sont immenses. Mieux vaut donc prévenir que guérir et anticiper sa stratégie de cybersécurité. Mais pour cela, les établissements de santé ont besoin de moyens, financiers comme humains.
Le SEGUR Numérique s’annonce tout aussi intense en 2023 qu’il l’a été en 2022. La Vague 2 se profile à l’horizon avec l’ambition de poursuivre la généralisation du partage fluide et sécurisé des données de santé entre les Professionnels de Santé et avec les Usagers. S’il est encore un peu tôt pour se faire une idée précise des futures cibles d’usages qui seront à atteindre, du côté du SONS en revanche, les tendances de ce qui va être au programme des éditeurs s’affirment.
La tempête n’est toujours pas passée… C’est ce que nous apprend le récent panorama de la cybermenace 2022 de l’ANSSI [1] : le nombre de cyber-attaques touchant les établissements de santé reste au plus haut niveau. Alors que faire face à cette situation ? La réponse : se préparer aux intempéries à venir ! C’est tout l’objet de l’instruction ministérielle SHFDS/FSSI/2023/15 du 30 janvier 2023 [2] : elle impose aux établissements de santé de réaliser annuellement un exercice de gestion de crise. Attention, l’objectif de ces exercices n’est pas de tester la continuité informatique ou bien la continuité de l’activité via le déclenchement des modes dégradés, mais bien de tester le fonctionnement de la cellule de crise de l’établissement.
Le programme ESMS Numérique est promu dans l’action 21 de la feuille de route « Accélérer le virage numérique ». Ce programme repose principalement sur le déploiement d’un Dossier de l’Usager Informatisé (DUI). Toutefois, l’expérience sur le terrain du cabinet de conseil, WELIOM, tend à prouver que, sans préparation, le déploiement d’un DUI est à risque. Et ce, d’autant plus que le nombre de structures est grand, que le champ d’activité est varié et que la maturité digitale est faible. Comprendre son environnement numérique, répondre aux interrogations, voire aux appréhensions des utilisateurs, susciter l’envie et s’approprier les usages des services socles… sont autant de prérequis à maitriser. Avec Nathalie Bessis-Levy, Consultante WELIOM
Si cela semble en surprendre certains, le fait que les attaquants s’intéressent de près aux hyperviseurs VMWare ESXi n’est pas vraiment quelque chose de nouveau. Souvenez-vous l’été 2021, de nombreux opérateurs de rançongiciels s’en prenaient déjà aux serveurs VMWare [1], dans un but bien précis, gagner du temps en chiffrant « à la source » les serveurs virtuels des systèmes d’informations de leurs victimes. En 2022, le groupe derrière le rançongiciel LockBit avait d’ailleurs procédé ainsi lors de l’attaque ayant ciblé le CH Sud Francilien.
« La Formation RSSI / SSI Santé - Version 3 - Porter la SSI et la conformité numérique : technicité et savoir-faire » est une formation spécialement conçue par l’APSSIS pour les professionnels de santé en charge de la sécurité des SI. Dispensée sur 3 jours par Vincent TRELY, Président de l’Association, son contenu est inédit, régulièrement actualisé et propose un 360° sur la SSI Santé.
La semaine dernière, l’ANSSI publiait son panorama de la cybermenace 2022 [1]. Quels enseignements tirer pour nos SI de santé, des attaques observées en France l’an passé ?
Dans une précédente publication, Cybersécurité : l’enjeu de la Gouvernance (1), parue dans le Guide cyber-résilience APSSIS - Opus 6 (2), nous discutions de l’implémentation d’une gouvernance de Sécurité et du rôle du RSSI dans cette démarche. Nous avons pu voir que les qualités requises pour un RSSI sont nombreuses mais nous nous arrêterons aujourd’hui sur l’une d’entre elles : l’anticipation. La gestion des risques pour la Sécurité de l’information devrait, ou doit, être considérée dès la phase d’un nouveau projet informatique, quelle que soit sa nature (intégration d’une nouvelle solution, d’un nouvel équipement, une migration, etc.) C’est le principe de l’Intégration de la Sécurité dans les Projets (ISP), un pilier essentiel de l'approche de la « Security by Design ». Le principe est simple : bien faire les choses dès le départ.
Le groupe FIN7 est un groupe cybercriminel Russophone connu depuis 10 ans déjà, pour de nombreuses attaques, via le cheval de Troie bancaire Carbanak, qui lui a permis de dérober plusieurs millions de dollars à des banques, puis il a sévi dans le domaine de l’espionnage industriel et gouvernemental avant de se lancer dans le rançongiciel avec Darkside et collaborer avec d’autres acteurs bien connus du monde du rançongiciel tels que LockBit, Maze ou encore Revil.
Philosophons un peu en ce début de semaine.
Cher Père Noël, comme chaque année je t’écris car j’ai été encore hypersage, bien plus que les années précédentes. Non, ce n’est pas l’âge, enfin si quand même un peu.
Les 13, 14 et 15 juin 2023, l’APSSIS organisera son 11ème Congrès National de la SSI Santé, le #CNSSIS2023 ! 180 participants sont attendus à l’espace culturel des Quinconces du Mans pour 3 jours de conférences, de débats, de tables-rondes et d’échanges. Cette 11ème édition s’articulera autour de 3 thématiques : le pilotage par l’Etat de la cyber en santé, les attaques sur les SI de Santé et les façons de se préparer, et les sciences et technologies au service de la riposte opérationnelle.
Depuis plus de 11 ans, l’Association délivre de l’expertise et de la prospective pour alimenter la réflexion, dynamiser la sécurisation des SI de santé et contribuer au déploiement opérationnel des bons usages sécurisés des technologies numériques. Ses finalités : l’organisation de son Congrès annuel, la production de contenus collaboratifs (Ouvrage collectif SSI santé, Guides cyber-résilience…), l’organisation d’événements dédiés à ses adhérents (Rencontres SSI, webinaires juridiques…) et la production d’une formation RSSI à destination des professionnels de santé. Entretien avec Hélène DASPE, Directrice déléguée de l’APSSIS.
Une norme ISO est un objet fascinant de réflexion, tant la pratique peut en modifier la vision. Un débutant ne vous parlera certainement pas de l’ISO de la même façon qu’un RSSI aguerri, un RSSI de la même façon qu’un consultant, etc. C’est bien toute la richesse du concept que d’évoluer en même temps que ses possibilités d’interprétation. Je souhaitais partager avec vous quelques réflexions autour de la 27001 – et il faut bien garder en mémoire que ces thèmes mêmes de réflexion et la façon de les traiter auront certainement changé dans un an ou deux
Il est de ces sujets qui paraissent anodins, tellement anodins que vous les voyez rarement évoqués en tant que tels dans une réunion d’huiles ou tout simplement d’experts.
Le fonctionnaire de sécurité des systèmes d’information (FSSI) adjoint du ministère des Solidarités et de la Santé, Patrice Bigeard, a dressé un état des menaces cyber dans le secteur de la santé, lors du 7e Colloque sur la sécurité des SI organisé le 9 novembre par l’Agence du numérique en santé.
Une fin d’octobre chargée, petite revue de presse/d’actualité/de réflexion/de ce que vous voudrez.
L'Association Pour la Sécurité des Systèmes d’Information de Santé (APSSIS) a réuni fin septembre à Paris ses adhérents à l'occasion d'une journée de conférences. Gérard PELIKS, co-organisateur des Lundis de la Cybersécurité, en a rédigé un compte-rendu complet.
Je ne l’avais pas vue passer, mais dans sa délibération 2022-100 du 21 juillet[1] dernier, la CNIL nous a décrit son positionnement sur la question des mots de passe.
Si les attaquants réussissent encore à compromettre nos SI, c’est certainement car nous ne sommes pas bien préparés à leurs attaques. Et pourtant, les victimes ne manquent pas, les retours d’expériences non plus, tout comme les guides de bonnes pratiques, alors pourquoi nous faisons-nous toujours avoir ?
Définir un juste milieu constitue un enjeu pour les organisations qui font face au contexte grandissant de cyber menace ces dernières années. Naviguer entre paranoïa et naïveté est un défi quotidien avec lequel doivent composer les structures sanitaires ou médico-sociales. Choisir le pilote de la sécurité, mettre en place une gouvernance, auditer son système et son organisation, analyser ses risques, définir et mettre en œuvre son plan d'action SSI visant à réduire ces mêmes risques, sont autant de moyens qui permettent aux organisations d'ajuster, de "proportionnaliser" les moyens à mettre en œuvre pour y faire face.
Breaking news : une association de patients attaque le Centre hospitalier Sud francilien[1] (CHSF) quant à sa responsabilité dans le contexte de l’attaque cyber subie par l’établissement et la publication de données sensibles (entre autres, médicales) sur les réseaux par les pirates pour faire pression sur le paiement d’une rançon.
L’Apssis (Association pour la sécurité des systèmes d’information de santé) a organisé ce jeudi 22 septembre à Paris ses IIes Rencontres SSI Santé. 120 professionnels de la cybersécurité et du numérique en santé se sont rassemblés pour une journée de conférences, qui s’est achevée par un grand entretien avec Axelle Lemaire, directrice déléguée à la Stratégie, à la Transformation et à l’innovation à la Croix-Rouge française et ancienne secrétaire d’État chargée du Numérique et de l’Innovation (2014-2017).
Pour sa quatrième participation, la France décroche la troisième place à l’European Cybersecurity Challenge (ECSC), qui s’est tenu les 14 et 15 septembre 2022 à Vienne. Cette compétition européenne a opposé 28 équipes nationales composées de jeunes hackers éthiques. Rendez-vous en 2023 pour la prochaine édition qui aura lieu en Norvège !
La rentrée 2022 aura été bizarre, vraiment bizarre.
La sécurité numérique, sécurité des systèmes d’information, SSI, cybersécurité ou tout autre nom que l’on voudra bien lui donner est un domaine dans lequel la modestie devrait être une priorité. On a compromis, on compromet et on compromettra mon SI n’est ni une chanson de Francis Cabrel, ni un extrait de l’évangile selon Saint Hack, mais bien la dure réalité du quotidien pour les personnes en charge de protéger les systèmes d’information.
Mikhaïl Gorbatchev, l’artisan de la perestroïka, nous a quittés il y a quelques jours et nous rappelle que l’Union soviétique s’est effondrée en 1989 après une série de soubresauts qui a notamment démarré par la chute du mur de Berlin.
Même pas eu le temps de ranger les tongs et de sortir le sable d’entre les doigts de pied que cela démarre à fond avec l’attaque cyber de l’hôpital de Corbeil-Essonnes (CHSF). À l’heure où ces lignes sont écrites, très peu d’informations ont fuité, notamment sur le mode d’attaque (le vecteur), le mode de propagation et l’étendue des dégâts. Certaines sauvegardes semblent également avoir été chiffrées (mais apparemment pas toutes), et nous n’en savons pas plus sur les systèmes touchés, en partie ou totalement.Par contre, nous avons confirmation que, comme à chaque sinistre de ce genre dans un domaine aussi complexe que celui de la santé, moult consultants en tout genre qui n’ont jamais mis les pieds de leur vie dans un SI de santé (si tant est qu’ils aient d’ailleurs mis les pieds dans un SI tout court) ont un avis bien tranché sur la question, du genre « il faut tout mettre dans le Claaouuud ». Ça fait plaisir de rencontrer des gens hyperintelligents, ils vont pouvoir nous expliquer comment faire ce que nous n’avons jamais réussi à construire, nous autres les crétins hospitaliers, par exemple mettre les automates de laboratoire dans le Claaouuud, ou l’informatique de la chaîne de stérilisation, ou les enceintes réfrigérées des banques de tissus, ou les terminaux multifonctions en chambre… Bon, OK, j’arrête.
Dans un rapport publié récemment [1], l’équipe de réponse aux incidents Unit 42 revient sur un peu plus de 600 incidents traités depuis les 12 derniers mois. Voici quelques chiffres extraits de ce rapport :
Fin juillet, La Délégation ministérielle au numérique en santé et l’Agence du numérique en santé ont ouvert une concertation sur les exigences de sécurité des systèmes d’information dans le cadre de la vague 2 du Ségur du numérique en santé.
Bientôt l’été, déjà une canicule au compteur, il est temps d’un petit bilan à mi-année.
Hausse significative des incidents de sécurité déclarés auprès de l’Agence du numérique en santé (1), attaques croissantes sur tout le territoire, tensions internationales, le contexte cyber en santé se fait de plus en plus menaçant. En 2021, la cybersécurité est devenue une priorité nationale traitée au plus niveau de l’état (2). Plans, programmes dédiés, financements, certifications : Brice Simon et Kevin Delmotte, consultants au sein du Cabinet de conseil WELIOM, reviennent sur les dispositifs pour renforcer le niveau de sécurité des établissements de santé.
L’approche par le risque est à la base de la norme ISO 27001 : si vous « le » faites, c’est parce que ce « le » est la réponse à un risque que vous avez identifié. Et cela marche aussi dans l’autre sens : si vous prenez une mesure de sécurisation, c’est forcément la réponse à un risque identifié : être incapable de faire le lien bidirectionnel entre mesure et risque est d’ailleurs une non-conformité. Bon dans les faits c’est un peu plus subtil, il faut passer par la base DDA (Déclaration d’Applicabilité), mais l’idée reste la même.
Les plus lus