TRIBUNES LIBRES

Correctif de sécurité Exchange de juillet : ce qu’il faut savoir avant de tout casser

20 juillet 2021 | Charles Blanc-Rolin | Tribune

Ce mois-ci encore le « patch tuesday » de Microsoft vient boucher quelques petits trous dans nos serveurs Exchange [1]. Une vulnérabilité pouvant permettre à un attaquant de réaliser une élévation de privilèges et deux nouvelles vulnérabilités pouvant permettre à un attaquant de réaliser une exécution de code arbitraire à distance. Le chercheur Orange TSAI [2] a encore frappé en signant deux des trois vulnérabilités.

Quelques réflexions avant l’été

12 juillet 2021 | Cédric Cartau | Tribune

Pour ce dernier billet avant la serviette et les tongs, deux réflexions/interrogations de votre serviteur avec sa bonne-mauvaise humeur habituelle.

2021, bilan à mi-parcours

05 juillet 2021 | Cédric Cartau | Tribune

On a beau avoir été confiné pendant des semaines, on a beau avoir télétravaillé pendant des mois, encore une première partie d’année riche en actualités SSI. Bilan à mi-parcours.

Sauvegarde Offline, protection imparfaite

29 juin 2021 | Cédric Cartau | Tribune

Il est de bon ton d’affirmer que la meilleure protection contre les cryptolockers est et demeure les sauvegardes Offline. Quoi de plus évident en effet : si vos sauvegardes sont physiquement déconnectées, elles ne pourront être chiffrées, et vous pourrez repartir de données saines en cas de sinistre. En fait, c’est moins trivial qu’il n’y paraît, et voici pourquoi.

En direct de l’APSSIS – conférence juridique

25 juin 2021 | Cédric Cartau | Tribune

Dernier temps fort et conférence attendue chaque année, intervention de Me Marguerite Brac de la Perrière et Me Omar Yahia.

En direct de l’APSSIS – conférence AFIB

23 juin 2021 | Cédric Cartau | Tribune

Nouveau temps fort du congrès, l’intervention de Valérie Moreno (CHU Bordeaux) et Sandrine Roussel (CHU Besançon) sur la sécurité numérique des équipements biomédicaux.

En direct de l’APSSIS – masterclass crypto avec le Dr Michel Dubois

23 juin 2021 | Cédric Cartau | Tribune

Retour à des conférences bare metal SSI, ce qui est une très bonne initiative de l’APSSIS : des origines au futur de la crypto avec un expert du genre, un temps fort du congrès.

En direct de l’APSSIS – architecture zéro trust pour une approche segmentation réseau

23 juin 2021 | Cédric Cartau | Tribune

Très intéressant décryptage par le binôme ALCATEL / Philippe Loudenot des concepts de macro et micro-segmentation.

En direct de l’APSSIS – voyage au centre de la donnée

22 juin 2021 | Cédric Cartau | Tribune

Conférence très attendue avec SIGMA et le Pr Pierre-Antoine Gourraud.

En direct de l’APSSIS – CERT Santé et REX de La Ferté-Bernard

22 juin 2021 | Cédric Cartau | Tribune

Présentation de l’activité du CERT Santé (dont le rapport d’activité 2020 est disponible ici[1]), avec un focus rapide sur les typologies d’incidents, dont près de 60 % sont d’origine malveillante. Près de 400 incidents déclarés par an (chiffre stable sur 2019-2020 compte tenu certainement de la crise sanitaire)    

En direct de l’APSSIS – conférence institutionnelle

22 juin 2021 | Cédric Cartau | Tribune

Dominique Pon (DNS) rappelle et re-décrit en détail la feuille de route du socle régalien de l’offre numérique en santé... Beaucoup de rappels importants dans le discours de M. Pon, et qui termine sur l’idée que les indicateurs SSI pourraient devenir à terme coercitifs.

Cyberproblème : y être jusqu’au cou

21 juin 2021 | Cédric Cartau | Tribune

C’est bien connu : la différence entre les ennuis et les emmerdements, c’est que les premiers se baladent souvent tout seuls, alors que les seconds ont une fâcheuse tendance à se promener en groupe ou à voler en escadrille.

Sécurité numérique : les attaquants ont-ils toujours un temps d’avance ?

16 juin 2021 | Charles Blanc-Rolin | Tribune

Je sais pertinemment que nos modestes systèmes d’information de santé français ont logiquement assez peu de chance d’être victimes d’attaques basées sur l’exploitation de vulnérabilités encore inconnues des éditeurs, mais je trouve assez effrayant de voir le nombre de vulnérabilités dites « 0 Day » révélées ces derniers mois…

DSI de GHT : le mythe des économies de la convergence

14 juin 2021 | Cédric Cartau | Tribune

Vu l’état général des moyens financiers et humains des DSI d’établissements de santé (1,7 % du budget de l’établissement, moyenne nationale, contre 3,5 % pour atteindre le niveau 6 de Himss qui est l’ambition affichée de tous les plans HNUM depuis 15 ans), à un moment donné on ne peut plus tourner autour du pot, il faut bien nous expliquer où on va trouver les sous. Ça ne rate jamais, il se trouve toujours quelqu’un pour venir vous expliquer que la convergence des SI – et des DSI – va faire réaliser des économies tellement miraculeuses que le jackpot au Loto, à côté, c’est de la gnognotte. Eh bé non. Voici pourquoi.

Les huit piliers d’un SMSI

07 juin 2021 | Cédric Cartau | Tribune

Les travaux sont en cours, sur le plan national, pour sécuriser les SI des établissements de santé, malmenés ces derniers mois à la suite des attaques de Dax et de Villefranche. Avant d’être une question de budget – on a une fâcheuse tendance à tout ramener à des questions de sous dans ce pays –, c’est d’abord une question de démarche. Ce qui est en train d’être mis en place s’appelle tout simplement un SMSI (Système de management de la sécurité de l’information), concept développé par la norme ISO 27001. Et un SMSI suppose le respect de huit piliers, qu’il s’agisse de l’échelon national ou de la mise en place d’un dispositif équivalent au sein d’un établissement de santé.

Cybersécurité à l’hôpital : une prise de conscience urgente des dirigeants s’impose

07 juin 2021 | | Tribune

Par Jean-Noël Galzain, Fondateur de WALLIX & Philippe Loudenot, Membre spécialiste de la Santé du CESIN et anciennement au Ministère de la Santé

L’IA en santé : début des grandes manœuvres

01 juin 2021 | Cédric Cartau | Tribune

L’Union européenne, toujours prompte à dégainer le réglementaire, même (et surtout) pour les trucs qui n’existent pas encore, a manifestement décidé de réglementer l’IA – et là, c’est pour la bonne cause. Face aux risques inhérents à ce type de technologie, la Commission a proposé un cadre juridique sous la forme d’un projet de règlement (Artificial Intelligence Act), qui entrera en vigueur dans un délai compris entre deux et quatre années et sera associé à un plan coordonné d’actions.

Achetez mon Zero Trust, il est beau mon Zero Trust !

01 juin 2021 | Charles Blanc-Rolin | Tribune

Contrairement à ce que certains commerciaux voudraient nous faire croire, tout comme la conformité au RGPD, le Zero Trust, n’est pas une solution commerciale sur étagère !

Élémentaire mon (très) cher Watson !

24 mai 2021 | Cédric Cartau | Tribune

Les nouveautés technologiques passent par une courbe bien connue, nommée « courbe d’acceptation » ou « courbe du deuil » : découverte, euphorie, déception, etc. En général, quand le moral est au fond du trou, c’est paradoxalement plutôt une bonne nouvelle puisque les « scories » véhiculées par les vendeurs de rêves ont été filtrées, et l’on peut enfin se concentrer sur l’essentiel, à savoir ce que la nouveauté ou l’invention est réellement capable de faire. Ou pas.

La cyber à l’heure de Darwin

17 mai 2021 | Cédric Cartau | Tribune

Selon Alain Bauer[2], le prochain virus sera cyber… et l’impréparation totale. Et j’ai beau tourner et retourner l’idée dans ma tête dans tous les sens, j’arrive toujours à cette même conclusion.    

Le mardi noir des RSSI

14 mai 2021 | Charles Blanc-Rolin | Tribune

Traditionnellement, comme chaque deuxième mardi du mois, Microsoft publie son célèbre « patch tuesday » venant corriger en nombre les vulnérabilités affectant ces divers produits, dont les systèmes Windows. Ce n’était déjà pas facile de faire l’analyse de cette ribambelle de vulnérabilités pour savoir ce qu’il fallait corriger et surtout avec quel degré d’urgence, sachant que les vulnérabilités sont de plus en plus vites exploitées, quand elles ne le sont pas déjà bien avant la publication de leurs correctifs…

Pour les établissements de santé, le succès de la lutte contre les ransomwares est dans la préparation

12 mai 2021 | André Porruncini, Expert santé chez Sophos | Tribune

Les établissements de santé font face à un grave problème de ransomwares et ce n’est pas près de s’améliorer. Au cours de ces dernières semaines, des attaques par ransomwares ont paralysé des hôpitaux à Villefranche-sur-Saône et à Dax, ce qui a eu pour conséquence le ralentissement, voire l’arrêt du fonctionnement de ces établissements. 

Le WAF et l’IPS peuvent-ils sauver nos dispositifs médicaux connectés ?

11 mai 2021 | Charles Blanc-Rolin | Tribune

    

Les systèmes Scada, cauchemar du RSSI hospitalier – Volet 2

11 mai 2021 | Cédric Cartau | Tribune

Dans le premier volet, nous avons dressé un état des lieux des systèmes Scada : définition, histoire, origine des vulnérabilités. Poursuivons.

Les systèmes Scada, cauchemar du RSSI hospitalier – Volet 1

04 mai 2021 | Cédric Cartau | Tribune

Il s’agit d’un sujet qui revient régulièrement dans quasiment tous les congrès ou les discussions entre spécialistes IT ou RSSI, la sécurisation des systèmes Scada peut rapidement devenir un cauchemar pour tout le monde. Petit récapitulatif.

Dernier patch critique Exchange : dents en bois et jambe en mousse

27 avril 2021 | Charles Blanc-Rolin | Tribune

Ce mois-ci, comme le mois dernier, Microsoft nous avait réservé une bonne séance de patching sur nos serveurs Exchange. Souvenez-vous [1], le 2 mars, Microsoft, après s’être lui-même fait percer, publiait en urgence un correctif pour quatre vulnérabilités permettant d’exécuter du code arbitraire à distance sans authentification sur une interface OWA exposée sur Internet et obtenir un Webshell qui pourrait éventuellement permettre de prendre le contrôle de l’ensemble du SI.

Former les utilisateurs à la sécurité des SI : et si on faisait fausse route ?

26 avril 2021 | Cédric Cartau | Tribune

Durant sa formation, un élève pilote d’aéronef apprend deux types de compétence : le pilotage à proprement parler, et la gestion des emmerdements qui, comme chacun sait, volent toujours en escadrille (sans mauvais jeu de mots). Il existe des statistiques précises sur le sujet, et aucun domaine n’a autant poussé l’analyse des accidents que l’aérien. Ainsi, un pilote commet en moyenne sept erreurs par heure, allant de la bêtise anodine (oublier de changer de fréquence radio) au truc beaucoup plus ennuyeux, par exemple oublier de sortir le train d’atterrissage… avant l’atterrissage (je suggère au lecteur curieux de visionner le lien ci-dessous [1], aucun blessé heureusement).

La Garantie Humaine dans le projet de règlement sur l’IA de la Commission européenne !

22 avril 2021 | Ethik-IA | Tribune

Le principe de Garantie Humaine de l’IA (Human Oversight) est introduit à l’article 14 du projet de règlement sur l’intelligence artificielle diffusé ce jour par la Commission européenne. Ce faisant, l’article 14 donne une portée applicative générale pour l’ensemble des champs et secteurs d’usage de l’IA à ce principe proposé en 2017 par Ethik-IA dans le domaine de la santé et qui n’a cessé, depuis lors, de faire l’objet de reconnaissances de plus en plus larges. Ce principe s’inscrit dans une logique de régulation positive visant à soutenir le développement de l’intelligence artificielle en France et en Europe, dans un cadre permettant d’en réguler les risques éthiques. 

La vidéosurveillance dans tous ses états

20 avril 2021 | Cédric Cartau | Tribune

Mais qu’est-ce qui a donc bien pu passer par la tête du ministre Dupont-Moretti ? Partant certainement d’une bonne intention – de celles dont l’enfer est pavé –, soit la volonté de rendre plus compréhensible le fonctionnement de l’institution judiciaire et de redonner confiance aux citoyens, le ministre souhaiterait filmer les procès. Revenons aux basiques du RGPD : consentement des prévenus (c’est la partie la plus facile), droit d’opposition (idem), mais surtout droit de changer d’avis : tiens, au fait, j’avais dit oui, mais en y réfléchissant je ne veux plus, merci d’arrêter de filmer et surtout d’effacer les images. Les avocats pénalistes interrogés dans la presse sont unanimes : ils conseilleront systématiquement à leurs clients de s’opposer aux prises de vues : imaginez l’effet que produiraient, 10 ou 15 années plus tard, les images sur les réseaux sociaux d’un accusé dans un box qui au final aurait été acquitté ? Rien ne se perd ni ne s’efface au xxie siècle. Certes, le premier procès filmé de l’Histoire a été celui du criminel de guerre Klaus Barbie (1987), mais les images ont été captées à des fins historiques et nullement destinées à être diffusées immédiatement puisque l’INA devait les conserver au secret pendant 20 ans[1].

L’assurance cyber ne dispense pas d’élever son niveau en matière de sécurité, bien au contraire !

13 avril 2021 | Charles Blanc-Rolin | Tribune

Si vous pensez faire des économies sur votre budget sécurité en souscrivant une police d’assurance cyber, et en vous disant « m’en fout ! j’suis assuré », je crois que vous faites fausse route.

Le PCA/PRA : une actualité navale

13 avril 2021 | Cédric Cartau | Tribune

Il y a pas mal d’idées fausses concernant ce que l’on nomme dans le jargon des RSSI un PCA/PRA : plan de continuité ou de reprise d’activité.

Cybermenaces dans le secteur santé : comprendre pour protéger

08 avril 2021 | Par Philippe Elie, Infoblox | Tribune

Alors que les hôpitaux d’Oloron-Sainte-Marie, de Dax et de Villefranche-sur-Saône tentent de retrouver leur rythme normal après une vague de cyberattaques, les menaces en ligne suscitent toujours une grande inquiétude pour le secteur de la santé. Vendredi dernier, l’hôpital de Pontarlier est devenu la nouvelle victime des menaces en ligne. Selon Cédric O, les hôpitaux français ont été victimes de 27 cyberattaques majeures en 2020. Par ailleurs, la Cnil a lancé une enquête pour découvrir les causes de la fuite de données médicales touchant environ 500 000 personnes en France.

Les TIC à l’heure de l’écriture inclusive

06 avril 2021 | Cédric Cartau | Tribune

Oyez, oyez, braves lectrices et lecteurs, si vous faites partie de ces gens choqués par le fait qu’à l’aube du xxie siècle, dans une phrase telle que : « Les logiciels et les applications qui ont été installés sur les serveurs », le masculin l’emporte sur le féminin dans l’accord du participe passé, n’en jetez plus, nous allons remettre une bonne fois pour toutes les pendules à l’heure[1]. Qu’on se le dise !  

Stratégie de réponse aux ransomwares : élever un peu le débat

30 mars 2021 | Cédric Cartau | Tribune

Dans un billet récent, un point intéressant a été soulevé et consisterait à considérer la sécurité cyber comme relevant de la mission régalienne, au même titre que la sécurité de l’espace aérien, des routes, etc. Poursuivons un peu dans la même veine.

Cyberattaque en milieu hospitalier : les 10 commandements du DSI

29 mars 2021 | Me Alexandra Iteanu | Tribune

Dax, Trévoux, ou encore l’AP-HP, on ne compte plus le nombre de cyberattaques visant les hôpitaux et établissements de santé ces derniers mois. Les conséquences de ces cyberattaques dépassent largement le monde numérique dans ces milieux hospitaliers, qui voient leur service tourner au ralenti et dont les retombées pourraient être fatales. 

Les établissements de santé ne seront plus obligés d’investir dans une certification HDS pour héberger les données du GHT

25 mars 2021 | Charles Blanc-Rolin | Tribune

Cela fait plusieurs années que nous entendons parler, même si c’était jusqu’à présent, du bout des lèvres, de l’arrivée de cette fameuse certification SIH qui pourrait permettre aux établissements de santé de se dispenser de sortir la planche à billets pour se payer une certification HDS afin d’héberger les données de santé d’un autre établissement membre du même GHT.

OVH, crépuscule de l’externalisation ?

23 mars 2021 | Cédric Cartau | Tribune

L’actualité cyber de ce début 2021 a été particulièrement chargée : outre les cyberattaques dans le monde de la santé (dont certaines sont toujours en cours), nous avons assisté à un énorme incendie chez OVH, doublé d’une faille majeure dans Exchange, qui a donné quelques sueurs froides aux adminsys. Pour OVH, on en est au second incendie en à peine 15 jours[1], ça commence à faire beaucoup, on est d’ailleurs en droit de se demander s’il ne s’agit pas d’une sombre affaire de barbouzes (« Un barbu, c’est un barbu, trois barbus, c’est des barbouzes », comme disait Michel Audiard).

Système de santé 4.0 : quid des données et de leur protection ?

22 mars 2021 | Patrick Rohrbasser, Veeam | Tribune

Si la transformation digitale du secteur de la santé est passée dans une autre dimension durant la crise sanitaire, la récente actualité en fait désormais une préoccupation majeure au niveau national. À la suite des récentes cyberattaques subies par des hôpitaux, le gouvernement vient d’annoncer une aide d'un milliard d'euros destinée à soutenir le développement de la filière cybersécurité et ses capacités d'innovation, soulignant par la même occasion leur retard sur le sujet. En effet, si le recours aux technologies par les acteurs de la santé n’est pas nouveau, il est surtout de plus en plus fréquent pour pratiquer et améliorer le service aux patients, soulevant également la question de la cybersécurité. 

Cloud : derrière le nuage merveilleux se cachent les ordinateurs de quelqu’un d’autre

16 mars 2021 | Charles Blanc-Rolin | Tribune

L’incendie dont a été victime le datacenter strasbourgeois d’OVH jeudi dernier n’en finit pas de faire couler de l’encre, ou des pixels, et pour cause, il risque bien de nous faire redescendre pour un bon moment, de notre petit nuage ! Pour reprendre le célèbre slogan de la FSF [1] : « There is no cloud ...just other people’s computers ».

Menaces cyber dans la santé : de quelle poche vont sortir les budgets ?

15 mars 2021 | T.D. | Tribune

En dehors de la question de savoir combien va coûter, pour le monde de la santé, la prise en compte de ce nouveau risque que constituent les cryptomalwares (5 % ? 10 % ? un peu plus ?) et si le financement de la protection contre ces attaques va se faire en rajoutant des budgets ou en réduisant la voilure existante, je vous propose de nous livrer à une petite réflexion qui intéressera certainement du monde.

Incendie chez OVH, pourquoi ?

15 mars 2021 | Cédric Cartau | Tribune

Impossible de le rater, l’incendie dans 2 datacenters d’OVH a fait la Une de la presse nationale, dépassant largement le cadre de la presse spécialisée. Et cet incendie pose pas mal de questions.

Etat de la sécurité des SI dans la santé, vision au vitriol de l’Anssi

10 mars 2021 | T.D. | Tribune

Dans un rapport daté du 22 février dernier, l’Anssi fait un état général de la sécurité des SI dans les établissements de santé. Et le rapport est au vitriol.

Vulnérabilités 0 day à la chaîne, RSSI sous antidépresseurs et DSI sous amphétamines

09 mars 2021 | Charles Blanc-Rolin | Tribune

Depuis le début de l’année, on peut dire que les semaines se suivent et… se ressemblent… Systèmes compromis, vulnérabilité activement exploitée, patching en urgence, systèmes compromis, nouvelles vulnérabilités activement exploitées, patching en urgence… et ainsi de suite.

Menaces cyber dans la santé : comment en est-on arrivé là ?

09 mars 2021 | | Tribune

Le monde de la santé se fait de plus en plus souvent attaquer par des cryptolockers, même, et en particulier, dans le contexte de la crise sanitaire que nous vivons, et il est légitime de se demander : mais comment diable avons-nous pu en arriver là, au stade où une bande de hackers écervelés peuvent aussi facilement mettre en péril un gros hôpital de la sixième puissance mondiale ? Et surtout : on fait quoi maintenant ?

Retour sur la récente fuite de données concernant 500 000 patients français

02 mars 2021 | Charles Blanc-Rolin | Tribune

Vous n’êtes sûrement pas passez à côté, depuis une semaine, on ne parle que de ça ! Les données de près de 500 000 patients français sont dans la nature !

La SSI chiffrée entre 5 % et 10 % du budget DSI. Vraiment ?

02 mars 2021 | Cédric Cartau | Tribune

Dans la suite des attaques cyber qu’ont connues les hôpitaux de Dax et de Villefranche en février, les pouvoirs publics semblent avoir pris réellement la mesure de ce que signifie un blocage par un cryptolocker – un des très rares risques en mesure, au demeurant, de paralyser totalement le fonctionnement d’une entreprise privée pendant plusieurs semaines.

L’innovation à la porte de l’hôpital

23 février 2021 | Lifen | Tribune

Pour surmonter ses crises actuelles et à venir, l’univers français de la santé a besoin du souffle de l’innovation. La mauvaise nouvelle est qu’elle a du mal à pénétrer un secteur fractionné, complexe, et financièrement exigeant. La bonne nouvelle est que ces barrières ne sont plus une fatalité !

Les RSSI santé sous pression : et si ce n’était pas toujours la faute des utilisateurs ?

23 février 2021 | Charles Blanc-Rolin | Tribune

On peut dire que cette année 2021 commence très fort ! Trois établissements paralysés par le rançongiciel Ryuk en moins de deux mois [1], une base de données de 50 000 identifiants appartenant à des membres d’établissements de santé français [2], et une couverture médiatique importante des incidents, rien de tel pour finir de mettre sous pression les établissements de santé, qui ont bien d’autres « antivirus » à injecter en ce moment.

Attaques crypto : quel niveau d’information pour les décideurs ?

22 février 2021 | Cédric Cartau | Tribune

Les deux attaques de février (Dax et Villefranche) sont encore en cours, et il apparaît que le niveau d’information et d’échange des professionnels de l’IT (adminsys, RSSI, DSI, etc.) est fortement décorrélé de celui des décideurs ou du grand public : compréhension pas évidente de ce qu’est un cryptolocker, difficulté à envisager son impact pour un hôpital. Petite synthèse.

Les plus lus