Sécurité

La cyber confrontée à la question des accès fournisseurs

27 juin 2023 | Cédric Cartau | Tribune

Impossible d’être passé à côté, l’actualité de cette semaine concerne l’attaque cyber dont a été victime le CHU de Rennes.

#Webinaire DSIH | Jeudi 06/07 Cybersécurité : pourquoi migrer vers Microsoft 365 & comment assurer la restauration de vos données en cas d’attaque ?

22 juin 2023 | DSIH | Actualités

Encore méconnues du grand public il y a quelques années, les données de santé et leur sécurisation sont au cœur des préoccupations aujourd’hui. Plus encore, la protection des informations autour du patient et du professionnel de santé est devenue un des moteurs essentiels de la migration vers le cloud ces dernières années.

Les spécificités de la crise cyber expliquées à ma grand-mère

19 juin 2023 | Cédric Cartau | Tribune

Imaginez un peu : vous devez emmener toute votre petite famille (conjoint et trois enfants) en voiture, d’Arengosse (dans les Landes) à Vouziers (dans les Ardennes) dans votre Audi A4 (cinq places). OK, le voyage risque d’être un peu long, mais vous allez y arriver (j’ai volontairement choisi un trajet bien compliqué, avec deux villes sans autoroute à proximité, et qui traverse la France dans le sens de la « diagonale du vide » comme disent les géographes).

France 2030 : le Gouvernement lance une nouvelle vague de l'appel à projets pour soutenir le développement de briques technologiques critiques en cybersécurité

16 juin 2023 | France 2030 | Communiqué

Dans le cadre du plan France 2030 et de la stratégie nationale pour la cybersécurité, Jean Noël Barrot, ministre délégué chargé de la Transition numérique et des Télécommunications, et Bruno Bonnell, secrétaire général pour l’investissement en charge de France 2030, annoncent la publication d’une nouvelle vague de l’appel à projets visant à soutenir le développement de briques technologiques innovantes et critiques en cybersécurité.

En direct de l’APSSIS 2023 – jour 3 et clap de fin

16 juin 2023 | Cédric Cartau | Tribune

Temps fort de la dernière journée, la conférence de votre serviteur et M° Brac de la Perrière sur le thème de la blockchain en santé, regards croisés RSSI et Avocate pour quels usages. Le sujet est très technique et les deux sous-domaines sont pas mal en friche, cette conférence s’inscrit dans la lignée des veilles technologiques qui font partie de l’ADN de l’APSSIS.

En direct de l’APSSIS 2023 – jour 2

15 juin 2023 | Cédric Cartau | Tribune

Premier temps fort de la deuxième journée, la conférence de Coralie LEMKE, journaliste chez Sciences et Avenir et auteure de l’ouvrage « Ma santé, mes donnée ». Le sujet est vaste et le balayer en 40mn relève de la gageure, Coralie LEMKE revient au premier essai clinique de l’Histoire qui a pu isoler les causes du scorbut (carences en vitamines C). Etudes isolées, études longitudinales sur le long cours, essais en double aveugle, tous ces sujets sont évoqués et on en arrive immanquablement à l’usage de l’IA pour assister les radiologues dans le dépistage de tumeurs. Bien entendu, les dérives sont évoquées, telles la « vente » de données d’assurées sociaux du NHS à des opérateurs privés dans des conditions contractuelles qui interrogent.

En direct de l’APSSIS – La directive NIS 2 pourrait s’appliquer à l’ensemble des établissements hospitaliers français

14 juin 2023 | DSIH | Actualités

La directive NIS 2, qui vise à harmoniser et à renforcer la cybersécurité du marché européen, voit son périmètre élargi par rapport à NIS 1. Tous les établissements de santé de plus de 50 salariés devraient être concernés, a-t-on appris lors du 11e Congrès National de la SSI Santé, organisé du 13 au 15 juin au Mans par l’APSSIS.

En direct de l’APSSIS – Sécurité informatique : le nombre d’attaques en baisse depuis le début de l’année

14 juin 2023 | DSIH | Actualités

Malgré la menace des rançongiciels qui reste forte, le nombre d’incidents cyber déclarés par les établissements de santé est en baisse sur les deux premiers trimestres de 2023, a-t-on appris lors du 11e Congrès National de la SSI Santé, organisé du 13 au 15 juin au Mans par l’APSSIS.

Sécurité numérique : un partenariat entre UniHA, la C.A.I.H et le Club des RSSI pour une prise en compte des bonnes pratiques dès les phases d’achats

14 juin 2023 | DSIH | Actualités

La C.A.I.H. (Centrale d’Achat de l’Informatique Hospitalière) et UniHA (Union des Hôpitaux pour les Achats) ont signé un « pacte de confiance numérique » avec le Club des RSSI pour améliorer la prise en compte des risques numériques et des normes afférentes dès la phase d’achat de solutions, logiciels, services ou matériels de santé.

En direct de l’APSSIS - Cyberattaque : le retour d’expérience et les conseils du GHT de Dordogne

13 juin 2023 | DSIH | Actualités

Vincent Genot, RSSI du GHT de Dordogne, a présenté lors du 11e Congrès National de la SSI Santé, organisé du 13 au 15 juin au Mans par l’APSSIS, un retour d’expérience relatif à une cyberattaque subie par le centre hospitalier de Bergerac. Débrancher les routeurs, tenir une liste de contacts, prioriser le rétablissement des logiciels métiers… David Henocq, RSSI d’Okantis, a donné ses conseils.

En direct de l’APSSIS 2023 – jour 1

13 juin 2023 | Cédric Cartau | Tribune

Et c’est parti pour la 11ème édition du congrès de l’APSSIS.

De l’assurance cyber comme biais managérial

06 juin 2023 | Cédric Cartau | Tribune

En dehors de la question de savoir si la cyber est assurable ou pas (vaste débat), si elle va le rester, si le Cloud (qui consiste à mettre toutes ses gonades mâles dans le même panier) est fondamentalement antinomique avec l’assurabilité cyber (qui suppose une répartition des risques), bref, en dehors de tous ces sujets de fond, il en est un qui paraît bête a priori : cela veut dire quoi s’assurer contre le risque cyber ?

SI de santé et cyber : et si en 2023 on arrêtait…

30 mai 2023 | Cédric Cartau | Tribune

Passer son temps à beugler avec le troupeau, c’est certes reposant, mais à la longue les neurones s’atrophient. C’est tellement plus drôle de poser les questions mêmes que tout le monde pense classées, archivées, réglées… et qui au final ne le sont pas forcément, ou pas totalement. En philo, c’est ce qu’on appelle une expérience de pensée. Personnellement j’adore, il faut juste ne pas avoir peur de sortir des âneries – mais c’est bien connu, les Gaulois n’ont peur que d’une seule chose, c’est que le ciel leur tombe sur la tête. Essayons un coup pour voir.

Management cyber : le Check comme élément de différenciation

22 mai 2023 | Cédric Cartau | Tribune

Quel est le point commun entre l’affaire Orpea, la fraude fiscale ou sociale et l’Éducation nationale avant 2012 ?

CVE-2023-32784 : que permet réellement cette vulnérabilité affectant KeePass ?

19 mai 2023 | Charles Blanc-Rolin | Tribune

Une nouvelle vulnérabilité a été récemment découverte dans le gestionnaire de mots de passe KeePass. Elle permet d’extraire de la mémoire d’un ordinateur, le mot de passe (en grande partie tout du moins) maître d’une base KeePass.

Management des SI de santé : le paradigme de la tulipe

16 mai 2023 | Cédric Cartau | Tribune

Vous ne connaissez certainement pas Pieter Wynants. Il organisa pourtant un important dîner chez lui le dimanche 1er février. Dîner au cours duquel étaient présents, parmi de nombreux invités de la ville, non seulement son cousin, mais aussi Geertruyt Schoudt, une riche veuve, ainsi que Jacob De Block, un teinturier.  

Perte de données Doctolib, petits rappels RGPD

09 mai 2023 | Cédric Cartau | Tribune

La plateforme de RDV médicaux Doctolib a perdu des données médicales[1], en l’occurrence des milliers de données sensibles. Dans un mail envoyé aux professionnels de santé le 3 mai dernier, la plateforme fait mention d’un “incident technique” ayant conduit à l’effacement de certaines observations de suivi, comme les motifs de visite, les comptes-rendus d’examen et les conclusions effectués entre le mercredi 26 avril à 17h40 et le jeudi 27 avril 11h40.    

ChatGPT : la voie étroite entre l’interdiction et l’adaptation

09 mai 2023 | Cédric Cartau | Tribune

À chaque fois que j’écris un billet sur l’IA et ChatGPT, je me dis que c’est le dernier, que le sujet est bouclé, mais en fait non.

Yuno by XMCO, l’outil de veille cyber qui facilite le quotidien des DSI et RSSI

09 mai 2023 | DSIH | Actualités

Yuno, la solution de veille en cybersécurité de l’éditeur XMCO, permet à ses utilisateurs de bénéficier d’un suivi personnalisé des vulné rabilités de leurs équipements. Stéphane Duchesne, RSSI du CHU de La Réunion, nous présente les avantages de la solution.

La cyber va bien, en fait plus que bien : hyperbien !

02 mai 2023 | Cédric Cartau | Tribune

« En 2023, les mesures de protection cyber ont considérablement évolué pour répondre aux menaces en constante évolution. Les professionnels de la cybersécurité ont mis en place des mesures de protection plus avancées pour protéger les systèmes informatiques et les données sensibles contre les cyberattaques.

MFA, plutôt trois que deux ?

25 avril 2023 | Cédric Cartau | Tribune

Le mot de passe est mort.

QUEUEJUMPER : encore une belle porte d’entrée sur les systèmes Windows

20 avril 2023 | Charles Blanc-Rolin | Tribune

   

Habilitations d’accès aux données médicales à l’ère des GHT - Vision juridique

11 avril 2023 | Marguerite Brac de La Perrière | Tribune

Quand le brillant RSSI et DPO Cédric Cartau et moi-même décrochons notre téléphone en pleine journée pour nous appeler, c’est qu’un « serpent de mer » technico-juridique nous travaille. Le dernier en date : les droits d’habilitation au Dossier Patient Informatisé (DPI), et ce, dans le contexte d’un article de presse[1] annonçant les mesures prises par l’APHP « la mise en œuvre d’un système de surveillance du mode « bris de glace » afin de contrôler et d’identifier les accès illégitimes ». Dans un premier volet, la vision technique et opérationnelle a donc été présentée[2]. Ce deuxième volet vise à présenter le cadre juridique. Que disent les textes ?        

Les habilitations d’accès aux données médicales à l’ère des GHT – la vision RSSI/DPO

04 avril 2023 | Cédric Cartau | Tribune

La news a été diffusée par plusieurs médias spécialisés : le dossier patient (DP) de Pierre Palmade à l’AP-HP a été consulté à de multiples reprises par des personnels n’ayant rien à voir avec la prise en charge médicale de l’humoriste… voire travaillant dans l’un des établissements de l’AP-HP où il n’était pas hospitalisé. Il s’agit d’un accès indu au DP (ou de curiosité malsaine en langage courant). C’est illégal et c’est puni par la loi. Cela étant, le sujet est très complexe. Décryptage.

Du rififi chez tonton Google ?

28 mars 2023 | Cédric Cartau | Tribune

Les séries TV fleuves vous ennuient ? Les histoires avec le méchant JR et le gentil Bobby Ewing vous font bâiller à vous en décrocher la mâchoire ? Essayez ChatGPT.

Bloquer les scanners à la découverte de votre exposition sur Internet : bonne ou mauvaise idée ?

21 mars 2023 | Charles Blanc-Rolin | Tribune

Depuis quelques jours, je vois beaucoup d’engouement sur les réseaux sociaux autour du blocage des scanners qui, comme le très connu Shodan ou son challengeur français Onyphe [1], référencent les ports, services, applications et vulnérabilités qui les affectent de toutes les machines exposées sur Internet.

Le quiz annuel

21 mars 2023 | Cédric Cartau | Tribune

Ça y est, c’est le printemps, il est largement temps de se changer les idées avec un petit quiz pas du tout orienté ni poil à gratter – pas mon genre. Une seule bonne réponse par question, on compte les points à la fin.

Un de plus, encore un de trop

14 mars 2023 | Cédric Cartau | Tribune

Impossible d’être passé au travers tant l’info a fait le tour de l’actualité cyber : jeudi dernier le CHU de Brest était la victime d’une attaque cyber. Soyons clair : à ce stade, même si la communauté des RSSI hospitaliers dispose de plusieurs éléments techniques, impossible de divulguer quoi que ce soit dans un média ouvert sur ladite attaque pour des raisons évidentes de protection des SIH.

De l’usage de la pyramide de Maslow pour les RSSI/CISO

07 mars 2023 | Cédric Cartau | Tribune

Soyons clairs : toutes les méthodes de modélisation du comportement humain ne sont jamais que des outils, des grilles de lecture. Parfois elles fonctionnent et tombent même remarquablement juste, mais parfois non. Pyramide de Maslow, sociodynamique, rosace 360° : il ne faut pas les tordre ni leur faire dire ce pour quoi elles ne sont pas prévues.

Cyber : les effets pervers de la fuite en avant perpétuelle

28 février 2023 | Cédric Cartau | Tribune

Une des qualités premières pour prétendre à une carrière de RSSI, c’est de garder ses yeux d’enfant. C’est ce que l’on se disait récemment, mes 52 printemps et moi-même. Illustration.

Cybersécurité et santé – protéger les hôpitaux grâce aux technologies réseaux (NDR)

24 février 2023 | Jacques de La Rivière,Gatewatcher | Tribune

Villefranche-sur-Saône, Dax, Oloron-Sainte-Marie, Albertville, Arles, Castelluccio, Saint-Dizier, Vitry-le-François, Mâcon, Paris, Corbeil-Essonnes, Versailles… Et ceci n’est qu’une courte liste des différents établissements de santé publics et privés visés par des cyberattaques ces dernières années. En pleine ouverture et mutation numérique, le secteur hospitalier a dû faire face à de multiples vagues successives de cyberattaques bloquant tout ou partie de leur activité et forçant certains à revenir à l’ère du crayon à papier. Aider les établissements de santé à maitriser le risque cyber nécessite toutefois d’adopter une approche résolument proactive en prenant en compte les contraintes propres au secteur. La protection du réseau – et les technologies adaptées – sont indispensables pour prémunir les structures concernées. 

Les théories du complot appliquées à la cyber

20 février 2023 | Cédric Cartau | Tribune

Récemment, une discussion entre amis a doucement dérivé vers les théories complotistes.

Comment Qbot revient en force avec OneNote ?

14 février 2023 | Charles Blanc-Rolin | Tribune

Les attaquants derrière le cheval de Troie Qbot (aussi connu sous le nom de Quakbot) utilisent depuis longtemps des fichiers Word ou Excel avec des macros servant à télécharger et exécuter la charge malveillante.

Début d’année cyber : l’ambiance en soute n’est pas jouasse

13 février 2023 | Cédric Cartau | Tribune

On pourra toujours se rassurer – Coué, Coué, Coué – en lisant dans les derniers rapports de l’Anssi qu’il y aurait eu moins d’attaques en 2022 qu’en 2021, il n’empêche, de mémoire de vieux croûton, je n’ai jamais connu un tel début d’année.

Cybersécurité en santé : les cybercriminels peuvent-ils être éthiques ?

09 février 2023 | DSIH | Actualités

La Sciences Po Cybersecurity Association a organisé le 8 février une conférence sur le thème « Le secteur de la santé face aux cyberattaques ». Les participants sont notamment revenus sur le sensible sujet des rançons payées et sur les prétentions « éthiques » de certains pirates.

Une tempête de rançongiciels s’abat sur les serveurs VMWare

07 février 2023 | Charles Blanc-Rolin | Tribune

Si cela semble en surprendre certains, le fait que les attaquants s’intéressent de près aux hyperviseurs VMWare ESXi n’est pas vraiment quelque chose de nouveau. Souvenez-vous l’été 2021, de nombreux opérateurs de rançongiciels s’en prenaient déjà aux serveurs VMWare [1], dans un but bien précis, gagner du temps en chiffrant « à la source » les serveurs virtuels des systèmes d’informations de leurs victimes. En 2022, le groupe derrière le rançongiciel LockBit avait d’ailleurs procédé ainsi lors de l’attaque ayant ciblé le CH Sud Francilien.  

Réflexions autour de la souveraineté

07 février 2023 | Cédric Cartau | Tribune

Dans un récent et excellent article de La Tribune[1], Marc Sztulman, conseiller régional d’Occitanie et délégué au Numérique pour tous, s’interroge sur ce que sont ou ne sont pas la souveraineté et la confiance, en particulier autour des notions de Cloud. À titre personnel, je n’avais même pas connaissance de la différence entre ces deux idées (confiance versus souveraineté) car – selon moi – elles se recouvrent totalement. Il semble tout de même important de revenir sur quelques concepts.    

La formation SSI Santé APSSIS : un 360° sur les exigences, les méthodes et les bonnes pratiques

06 février 2023 | APSSIS | Communiqué

« La Formation RSSI / SSI Santé - Version 3 - Porter la SSI et la conformité numérique : technicité et savoir-faire » est une formation spécialement conçue par l’APSSIS pour les professionnels de santé en charge de la sécurité des SI. Dispensée sur 3 jours par Vincent TRELY, Président de l’Association, son contenu est inédit, régulièrement actualisé et propose un 360° sur la SSI Santé.

Panorama de la cybermenace : que retenir du rapport de l’ANSSI ?

31 janvier 2023 | Charles Blanc-Rolin | Tribune

La semaine dernière, l’ANSSI publiait son panorama de la cybermenace 2022 [1]. Quels enseignements tirer pour nos SI de santé, des attaques observées en France l’an passé ?

Un mois de janvier comme un autre au pays de la cyber

31 janvier 2023 | Cédric Cartau | Tribune

La routine, vraiment la routine.

Le 6ème opus des guides cyber-résilience de l’APSSIS est en ligne !

25 janvier 2023 | Apssis | Communiqué

L’APSSIS a le plaisir d’annoncer la publication du 6ème opus des Guides Cyber-résilience à destination des professionnels du secteur. Conçus et élaborés par Cédric Cartau, RSSI et DPO - CHU de Nantes - du GHT 44 et Vice-président de l’APSSIS, ces guides se veulent à la fois accessibles, techniques et pratiques.

ChatGPT : le grand remplacement – ou pas

24 janvier 2023 | Cédric Cartau | Tribune

Incroyable, le nombre de vidéos qui fleurissent sur les réseaux sociaux – même BFM TV titre dessus pour vous expliquer que Google a quelques soucis à se faire, c’est dire. Passé les premières séances de jeu avec l’interface où l’on se prend à poser les questions les plus bizarres sur les sujets les plus divers. Il y a ce que ChatGPT fait, ce qu’il ne fait pas, ce qu’il peut faire et ce qu’il ne fera jamais, en tout cas dans sa version actuelle.

ChatGPT à l’épreuve d’un test rigoureux

17 janvier 2023 | Cédric Cartau | Tribune

Bon, apparemment, tout le monde se marre entre la poire et le fromage en posant les questions les plus diverses à ChatGPT. Tout le monde sauf moi, et cela ne peut pas durer. J’ai donc décidé, moi aussi, de tester la bête, mais attention, pas n’importe comment : un test rigoureux, pas du tout orienté, basé sur un corpus de questions sélectionnées par un comité représentatif de moi-même, bref que du lourd. Allons-y.

FIN 7 : détecter et contrer un acteur important du cybercrime

10 janvier 2023 | Charles Blanc-Rolin | Tribune

Le groupe FIN7 est un groupe cybercriminel Russophone connu depuis 10 ans déjà, pour de nombreuses attaques, via le cheval de Troie bancaire Carbanak, qui lui a permis de dérober plusieurs millions de dollars à des banques, puis il a sévi dans le domaine de l’espionnage industriel et gouvernemental avant de se lancer dans le rançongiciel avec Darkside et collaborer avec d’autres acteurs bien connus du monde du rançongiciel tels que LockBit, Maze ou encore Revil.

Le bullshit à l’épreuve de la SSI – et inversement

10 janvier 2023 | Cédric Cartau | Tribune

Philosophons un peu en ce début de semaine.

2023 : Une nouvelle année sans incidents cyber

03 janvier 2023 | Charles Blanc-Rolin | Tribune

Pour cette nouvelle année, nous pouvons nous souhaiter santé, joie, rires, réussite, amour, plaisir, argent… Ce dont certains groupes d’attaquants disposent déjà ! Alors commençons peut-être par nous souhaiter une bonne santé pour…. Nos systèmes d’informations de santé !

2022 : bilan de l’année

03 janvier 2023 | Cédric Cartau | Tribune

L’année s’est achevée : 2022 restera comme l’année d’après (Covid) et surtout l’année « pendant » (l’explosion des attaques en crypto, tout le monde en aura pris sa part et pas seulement les hôpitaux). Petit bilan.

ChatGPT : le début de la fin de la cyber

27 décembre 2022 | Cédric Cartau | Tribune

Il est assez rare, dans la vie d’un ingénieur, de tomber sur un produit qui effraye autant, duquel on pense qu’il signe peut-être la fin des haricots.

Hôpitaux attaqués : le sujet fait causer mais les avis divergent

20 décembre 2022 | Charles Blanc-Rolin | Tribune

S’il y a encore quelques années, nous n’étions qu’une poignée d’acteurs passionnés à nous préoccuper des sujets de sécurité numérique en santé, l’importante médiatisation de chaque incident vécu par une structure de santé fait qu’aujourd’hui, tout le monde a un avis, de bons conseils et des solutions pour lutter contre ce fléau que sont les rançongiciels prenant en otage nos établissements de santé, mais dans les faits malheureusement, les attaquants arrivent toujours à compromettre les SI de santé de nos établissements.

La protection de l’identité, la nouvelle priorité des acteurs de santé

19 décembre 2022 | Le Mipih | Communiqué

Les identifiants sont de plus en plus ciblés pour infiltrer les établissements de santé, et les cybercriminels sont toujours plus efficaces pour les obtenir et les exploiter. L’identité est devenue un nouveau point de sécurité stratégique pour ces professionnels de santé, un préalable indispensable à la qualité et sécurité des soins. Pour y répondre, les offres développées par le Mipih intègrent CERBERE, une solution d’authentification sécurisée et centralisée. 

Les plus lus