TRIBUNES LIBRES

Menaces cyber dans la santé : de quelle poche vont sortir les budgets ?

En dehors de la question de savoir combien va coûter, pour le monde de la santé, la prise en compte de ce nouveau risque que constituent les cryptomalwares (5 % ? 10 % ? un peu plus ?) et si le financement de la protection contre ces attaques va se faire en rajoutant des budgets ou en réduisant la voilure existante, je vous propose de nous livrer à une petite réflexion qui intéressera certainement du monde.

Incendie chez OVH, pourquoi ?

Impossible de le rater, l’incendie dans 2 datacenters d’OVH a fait la Une de la presse nationale, dépassant largement le cadre de la presse spécialisée. Et cet incendie pose pas mal de questions.

Etat de la sécurité des SI dans la santé, vision au vitriol de l’Anssi

Dans un rapport daté du 22 février dernier, l’Anssi fait un état général de la sécurité des SI dans les établissements de santé. Et le rapport est au vitriol.

Vulnérabilités 0 day à la chaîne, RSSI sous antidépresseurs et DSI sous amphétamines

Depuis le début de l’année, on peut dire que les semaines se suivent et… se ressemblent… Systèmes compromis, vulnérabilité activement exploitée, patching en urgence, systèmes compromis, nouvelles vulnérabilités activement exploitées, patching en urgence… et ainsi de suite.

Menaces cyber dans la santé : comment en est-on arrivé là ?

Le monde de la santé se fait de plus en plus souvent attaquer par des cryptolockers, même, et en particulier, dans le contexte de la crise sanitaire que nous vivons, et il est légitime de se demander : mais comment diable avons-nous pu en arriver là, au stade où une bande de hackers écervelés peuvent aussi facilement mettre en péril un gros hôpital de la sixième puissance mondiale ? Et surtout : on fait quoi maintenant ?

Retour sur la récente fuite de données concernant 500 000 patients français

Vous n’êtes sûrement pas passez à côté, depuis une semaine, on ne parle que de ça ! Les données de près de 500 000 patients français sont dans la nature !

La SSI chiffrée entre 5 % et 10 % du budget DSI. Vraiment ?

Dans la suite des attaques cyber qu’ont connues les hôpitaux de Dax et de Villefranche en février, les pouvoirs publics semblent avoir pris réellement la mesure de ce que signifie un blocage par un cryptolocker – un des très rares risques en mesure, au demeurant, de paralyser totalement le fonctionnement d’une entreprise privée pendant plusieurs semaines.

L’innovation à la porte de l’hôpital

Pour surmonter ses crises actuelles et à venir, l’univers français de la santé a besoin du souffle de l’innovation. La mauvaise nouvelle est qu’elle a du mal à pénétrer un secteur fractionné, complexe, et financièrement exigeant. La bonne nouvelle est que ces barrières ne sont plus une fatalité !

Les RSSI santé sous pression : et si ce n’était pas toujours la faute des utilisateurs ?

On peut dire que cette année 2021 commence très fort ! Trois établissements paralysés par le rançongiciel Ryuk en moins de deux mois [1], une base de données de 50 000 identifiants appartenant à des membres d’établissements de santé français [2], et une couverture médiatique importante des incidents, rien de tel pour finir de mettre sous pression les établissements de santé, qui ont bien d’autres « antivirus » à injecter en ce moment.

Attaques crypto : quel niveau d’information pour les décideurs ?

Les deux attaques de février (Dax et Villefranche) sont encore en cours, et il apparaît que le niveau d’information et d’échange des professionnels de l’IT (adminsys, RSSI, DSI, etc.) est fortement décorrélé de celui des décideurs ou du grand public : compréhension pas évidente de ce qu’est un cryptolocker, difficulté à envisager son impact pour un hôpital. Petite synthèse.

Attaques crypto : l’année 2021 commence à fond

La nature humaine étant ce qu’elle est, il se trouve toujours des personnages sans morale pour aller tirer sur leur prochain ou sur l’ambulance, en particulier pendant ou malgré – c’est selon – une situation tendue, voire de crise. C’est ce que le monde de la santé vit, depuis 2020, avec une multiplication des piratages, des tentatives d’intrusion et même, dans les cas plus graves, les blocages de tout ou partie du SI avec la pire cochonnerie que l’informatique ait produite en 40 ans : les cryptolockers.

Cybersécurité : des hôpitaux à la merci des hackers ?

Les infrastructures informatiques des hôpitaux sont constamment mises à l’épreuves. La numérisation des dossiers médicaux qui avait permis d’améliorer le suivi des patients et le partage d’information entre les praticiens représente une véritable aubaine pour les hackers désireux de tirer profit des données hautement sensibles qu’ils contiennent. 

Sécurité des SI : danger de la monotonie, l’enjeu du RSSI

Dans le dernier numéro du Courrier international (n° 1579 du 4 février), tout un dossier est consacré à la façon dont les administrations de plusieurs pays ont géré la crise Covid-19 depuis son origine. Le premier article du dossier, centré sur le Royaume-Uni, ne fait pas dans la dentelle et fait carrément le parallèle avec la retraite en catastrophe de l’armée britannique à Dunkerque en 1940. Trois journalistes méconnus à l’époque avaient fait paraître un court essai (Guilty Men, non traduit en français) qui fustigeait une administration dépassée par les événements, incapable d’interpréter les signes pourtant évidents d’une guerre à venir et préférant un fonctionnement routinier à une mobilisation préalable, coûteuse mais nécessaire, de ressources.

Supply chain attack : risque avéré ou pure délire ?

Alors que le CERT-FR de l’ANSSI vient de publier son rapport annuel sur l’état de la menace rançongiciels à l’encontre des entreprises et institutions [1], un excellent document de synthèse à conserver dans sa « PDFthèque SSI ». On notera une augmentation de 255 % des signalements d’attaques par rançongiciel en 2020, par rapport à 2019. Un paragraphe sur le secteur de la santé qui rappelle notamment que le rançongiciel Ryuk le cible particulièrement, et qu’il serait responsable de près de 75 % des attaques de ce type ayant été subies par les établissements de santé américains. En France aussi, il a pas mal frappé et pourrait bien revenir à la charge en mettant le « Bazar » dans nos SI. Vous pouvez retrouvez d’autres informations sur Ryuk dans une tribune d’il y a quelques mois [2].

Innovations technologiques : le dilemme de la Killer App

C’est à la fois le côté sympa et frustrant quand on travaille dans les nouvelles technologies : des nouvelles technologies, il en arrive à foison, mais des nouveaux usages, morne plaine la plupart du temps. Ou en tout cas pas en même temps, pas au même rythme.

Covid-19 : Lorsque la notion de personne « co-exposée » s’ajoute à celle de « cas contact »

Après le « cas contact », la notion de personne « co-exposée » a fait son apparition dans un décret publié au Journal Officiel le 21 janvier dernier.

Prendre le pouls d’une DSI : le dilemme du nouveau directeur

C’est une question qui revient souvent dans les formations, les séminaires ou les appels de l’ami d’un ami : comment le directeur fraîchement nommé à la tête d’une DSI, petite ou grande, peut-il se faire une idée de l’état général de sa direction ? La tâche n’est pas simple : il existe différentes méthodes, toutes valables, où l’absence de connaissance informatique n’est nullement un handicap (et les connaissances informatiques pointues nullement un atout). J’ai vu des informaticiens confirmés se faire balader comme des bleus et a contrario des décideurs totalement novices en la matière faire un état général avec une acuité redoutable en peu de temps.

Microsoft Defender : la CVE-2021-1647 n’est plus réservée aux attaquant étatiques

Corrigée le 12 janvier dernier dans le patch tuesday de Microsoft, la vulnérabilité CVE-2021-1647 affectant le moteur antivirus « Microsoft Malware Protection Engine » embarqué par défaut dans Windows, de la version 7 à la dernière version 20H2 de Windows 10 (et versions équivalentes côté serveurs) pourrait permettre à un attaquant de réaliser une exécution de code arbitraire.

Informatisation de la vaccination Covid : opportunités et menaces

Ça y est, elles démarrent enfin : les grandes manœuvres de la vaccination ont été lancées ces derniers jours. L’administration est comme un diesel : c’est long à chauffer, mais quand ça démarre, c’est du lourd : distribution massive de vaccins, organisation à la vitesse grand V de centres de vaccination un peu partout sur le territoire, informatisation de la prise de RDV par le biais de trois prestataires retenus par le gouvernement (Doctolib, Maiia et Keldoc), saisie des informations de vaccination dans un logiciel institutionnel, etc.

Positif au Covid-19 : une donnée de santé pas comme les autres ?

Ayant récemment goûté aux joies d’une intrusion dans mon intimité nasale, mais plus simplement dans mon intimité « tout court », j’en viens à me demander qui sait que j’ai réalisé cette démarche et qui connaît les résultats ?

Un petit quiz pour rester en forme

La formation continue, c’est important. C’est pourquoi, une fois n’est pas coutume, je propose à l’aimable lecteur un petit quiz, sur le thème des SI et de la sécurité des SI, pour se maintenir dans une forme intellectuelle éblouissante en ce début d’année. Une seule bonne réponse par question, on compte les points à la fin.

2021 risque d’être encore l’année du rançongiciel chiffrant et exfiltrant

Cela ne me réjoui pas, mais j’ai bien peur que l’année 2021 soit une fois de plus l’année du rançongiciel chiffrant et exfiltrant.

C’est le jour des bonnes résolutions

Traditionnellement, le premier article de janvier est dédié à la fois au bilan des 12 mois écoulés, et aux bonnes résolutions de l’année à venir.

Un établissement de santé finlandais attaqué : des patients rançonnés

L’histoire est ressortie dans la presse récemment [1] : un groupe de 25 cliniques privées spécialisé dans le domaine de la psychiatrie a été victime d’une intrusion dans son système d’information et a reçu une demande de rançon à la fin du mois d’octobre [2].

2020, bilan d’une année

C’est l’heure du bilan d’une annus horribilis, à tout point de vue.

Une méga-cyberattaque contre les US : de la cyber comme fossoyeur de nos civilisations

Une cyberattaque de cette ampleur n’arrive pas tous les jours. C’est pourtant ce qui vient de se produire – et apparemment elle est toujours en cours, au moins partiellement – contre les US.

Ma lettre au père Noël

Cher père Noël, comme tous les ans je t’écris car j’ai été encore hypersage, bien plus que d’habitude. Non, ce n’est pas l’âge, c’est juste la crise sanitaire.

Mise à mort de CentOS : coup dur pour la communauté du libre, pour les RSSI et les SI en général

C’est une véritable bombe qui a été lâchée sur la communauté du libre le 8 décembre dernier ! Le pingouin a pris du plomb dans l’aile. Alors que sa fin de vie avait initialement été annoncée pour le 31/12/2029, CentOS 8 voit sa fin de vie avancée au 31/12/2021 ! [1]  

Démarche ISO 27001 : la lettre et l’esprit

Après les dernières attaques cyber touchant le monde de la santé, on ne peut manquer de s’interroger sur les dispositions prises dans les établissements publics ou privés pour sécuriser les accès distants des fournisseurs (celui des agents est un autre sujet). Comptes d’accès jamais clôturés, accès jamais audités, procédures internes aux fournisseurs plus que perfectibles (pour être poli), le moins que l’on puisse dire est qu’il s’agit d’un domaine pour lequel la sécurité des SI est… Comment dirais-je ? Sujette à amélioration (pour être très poli).

Ça n’arrive pas qu’aux autres : retour sur quelques incidents de sécurité insolites

Le but de ce billet n’est absolument pas d’accabler les victimes de ces incidents, ni leurs prestataires, même si l’on pourrait dans certains cas attendre un peu mieux de leur part… mais de nous faire réfléchir sur nos pratiques, nos croyances et les contrôles que nous pourrions mettre en place pour nous assurer que nos prestataires sont à la hauteur de nos espérances.

Dedalus victime d’une attaque cyber

Le mercredi 2 décembre dernier, le groupe Dedalus faisait l’objet d’une attaque informatique dont, du reste, on ne connaît pas grand-chose. Rien que de très banal en termes d’actualité cyber : ce n’est pas la première entreprise à se faire attaquer et ce ne sera malheureusement pas la dernière. Personnellement je me garderais bien de jouer les donneurs de leçons ; qui peut raisonnablement affirmer qu’il ne sera jamais, ô grand jamais, victime d’une attaque ciblée, d’un ransomware, etc. ?

Le modèle INFRAM pour évaluer les infrastructures réseaux

Pour faire face aux changements juridiques, aux demandes des consommateurs et à d'autres facteurs, le secteur de la santé parie, lui aussi, sur la transformation numérique, et de nombreux organismes de santé envisagent d'investir dans des infrastructures informatiques pour soutenir les nouvelles technologies.

Zerologon : retour sur l’application du correctif de Microsoft

Vous avez été plusieurs à m’interpeller concernant le correctif publié en août par Microsoft pour la vulnérabilité CVE-2020-1472 (Zerologon) concernant le protocole d’authentification Netlogon. Pour rappel, plusieurs POCs disponibles publiquement permettent d’exploiter la vulnérabilité [1] et certains attaquants comme ceux derrière le rançongiciel Ryuk ne se privent pas pour l’utiliser et compromettre l’ensemble du SI et chiffrer un maximum de données [2]. Cette information est notamment rappelée dans un rapport publié le 30 novembre par le CERT-FR de l’ANSSI [3].

Cadrer les opérations des admins sur les systèmes

Les administrateurs systèmes (adminsys) disposent – par définition – de droits techniques étendus et, de ce fait, peuvent tout voir, tout surveiller, tout modifier : c’est même la raison pour laquelle on les paye. Dans l’immense majorité des cas, il n’en résulte aucune espèce de problème, mais cela dit, sans tomber dans la paranoïa, il ne faut pas pour autant négliger de cadrer leurs prérogatives : la confiance n’exclut pas le contrôle.

Chrome, Windows, iOS, sortez la boite de pansements !

Il est assez rare de voir autant de vulnérabilités zero day corrigées en aussi peu de temps. Google publie des correctifs de sécurité pour Chrome, autant qu’un curé pourrait en bénir, si bien qu’il devient de plus en plus rare qu’il passe plus d’une semaine entre deux patches…

De la maturité des organisations à l’aune du critère de priorisation – Volet 3

Dans un premier volet, nous avons abordé la question de la priorisation, ou l’ordonnancement dans le traitement des demandes selon cinq modes. Dans un deuxième volet, nous avons poursuivi l’inventaire de ces modes. Voici maintenant le dernier volet de cette introspection sur les modes de priorisation.

Vers la fin de l’obligation de conservation des logs Internet ?

Petite bombe dans le domaine juridique en matière de SSI, la CJUE vient de déclarer illégale la réglementation française qui impose à tous les acteurs de conserver les logs de connexion et de navigation Internet des citoyens/usagers. Un article de Winston Maxwell(1) traite la question. Il est court et vaut vraiment la peine d’être lu en détail.  

De la maturité des organisations à l’aune du critère de priorisation – Volet 2

Poursuivons l’inventaire des modes de priorisation entamé au volet précédent (1)

De la maturité des organisations à l’aune du critère de priorisation – Volet 1

Depuis qu’il y a quelques années je suis tombé, je ne sais même plus comment, sur Les Décisions absurdes de Christian Morel, l’observation du fonctionnement des organisations, de leurs travers et de leurs dérives est devenue un dada inépuisable. Je suppose qu’un entomologiste doit ressentir à peu près la même chose en examinant une colonie d’insectes captivés par le prochain bout de bois à déplacer, le prochain morceau de sucre à acheminer jusqu’à la colonie, sans parler de la reine dont il faut satisfaire les moindres besoins.  

Ryuk le retour : après UHS et Sopra Steria, le secteur de la santé en ligne de mire

Après un retour fracassant en compromettant fin septembre le système d’information d’UHS (Universal Health Services) [1], une chaîne de 400 établissements de santé et le SI du géant de l’IT français, Sopra Steria le 20 octobre [2], le rançongiciel Ryuk ciblerait à nouveau le secteur de la santé d’après une alerte émise conjointement par le CISA (« l’ANSSI américaine »), le FBI et le HHS (« Ministère américain de la santé ») [3].

Effacer ses données : les briser menu ou jeter la clé ?

Il y a quelque temps, un de mes disques durs perso tombe en rade : le truc bête, le bruit de la tête du peigne de lecture qui couine dans le boîtier, deux ou trois redémarrages à la sauvage, rien n’y fait, le Mac ne reconnaît plus le disque. Bref, au bout de cinq minutes je savais à quoi m’en tenir : HS et plus rien à en tirer. Bon, ce n’était jamais que mon disque de sauvegarde, celui où je stocke toutes les versions de Blanche-Neige et l’intégrale de Fritz Lang (dans le domaine public, n’allez pas vous imaginer que je télécharge sur des sites illégaux !), mais il fallait tout de même en changer. 150 euros les 3 To à la Fédération nationale d’achat des cadres, mieux que de passer du temps à tenter une réparation hasardeuse, Avant de mettre le disque à la poubelle, dans l’éventualité où un malfaisant viendrait me chiper mes fichiers, ni une ni deux, je décide de procéder à un effacement définitif des données. Et c’est là que les choses se compliquent singulièrement.

Les Assises 2020 : Guillaume Poupard positif, mais pas naïf

Les Assises de la sécurité, rendez-vous incontournable des acteurs du domaine de la sécurité numérique fondé par Gérard Rio, fêtaient leur 20e anniversaire cette année ! Malgré le contexte, les bougies ont pu être soufflées « en vrai » !

Comment associer économie, performance et sécurité dans les achats IT ?

La crise sanitaire a accéléré les achats IT dans le secteur de la santé en soulignant l’important du lien entre digitalisation et performance des offres de soins. 

Au secours, je ne sais pas quoi faire de mon DPO !

Je suis tombé à plusieurs reprises sur des discussions ou des remarques qui laissent à penser que certains décideurs – responsables métiers, directions générales, etc. – à qui le RGPD a mis un DPO dans les mains ne savent pas trop quoi faire de ce dernier. Des formations aux directions MOA internes ? Un recensement exhaustif des fichiers Excel qui se baladent sur les postes de travail ? De la paperasse avec la Cnil ? Rien de tout cela en fait : les attributions du DPO sont tout autres ; il est utile à beaucoup mieux.

Quand la justice américaine définit la Politique de Sécurité des SI d’un assureur santé

Si le nom de l’assureur santé Anthem ne vous dit rien, vous vous souvenez peut-être de cette énorme fuite de données de santé qui concernait près de 79 millions d’assurés. Rappelez-vous, en 2017, Anthem avait été condamné à verser 115 millions de dollars de dommages et intérêts aux victimes ayant participé au recours collectifs à l’encontre de l’assureur. L’an passé, le Ministère de la justice américain publiait un acte d’accusation à l’encontre de deux ressortissant Chinois accusés d’avoir participé à l’intrusion dans le SI d’Anthem et l’exfiltration des données des assurés entre 2014 et 2015 [1].

En direct de l’Apssis 2020

Faut-il chiffrer les données de son DPI ? Volet 3 (fin)

Dans le premier volet, nous avons examiné la question du chiffrement des données du DPI en reposant les fondamentaux : la différence entre le moyen et le besoin, et surtout la notion de chiffrement et de couche technique. Dans le deuxième volet, nous avons abordé les conséquences de la première loi selon laquelle le chiffrement ne protège que des attaques sur les couches inférieures, et surtout les conséquences de cette loi concernant le chiffrement des données contre les accès des informaticiens.

Stop Covid : une appli en quête de sauvetage

Dans un avis rendu le 15 septembre dernier, le comité de contrôle et de liaison Covid-19 (CCL-Covid) a comparé la France à l’Allemagne, s’agissant du nombre de téléchargements d’une application de traçage numérique et le résultat est édifiant : « En Allemagne, une application de traçage numérique, bien que partiellement dépendante d’Apple ou de Google, a été téléchargée 18 millions de fois ». 

Un rançongiciel tue une patiente, Emotet, Zerologon encore et toujours… XP s’évapore...

Un hôpital allemand victime d’un rançongiciel : une patiente décédée

Faut-il chiffrer les données de son DPI ? – Volet 2

Dans le premier volet, nous avons examiné la question du chiffrement des données du DPI en reposant les fondamentaux : la différence entre le moyen et le besoin, et surtout la notion de chiffrement et de couche technique.