Vous êtes dans : Accueil > anssi >
Lors d’une consultation en trois phases, le CESIN a mobilisé ses membres afin de collecter leurs remarques, avis et propositions dans le cadre de la transposition nationale de NIS2 (Network and Information Systems Directive 2). Cette collaboration avec l’ANSSI vise à participer activement au renfort de la cybersécurité en France, en identifiant les défis et en proposant des solutions adaptées.
L’Agence nationale de la sécurité des systèmes d’information (ANSSI) publie aujourd’hui trois guides dédiés à la remédiation d’incidents cyber. Cette collection, première du genre et destinée aux acteurs de l’informatique et de la cybersécurité, est le fruit de l’expertise unique de l’agence dans ce domaine. Au travers de ces guides, l’ANSSI partage sa doctrine et ses bonnes pratiques, élaborées à partir des interventions qu’elle mène depuis sa création auprès de victimes d’attaques informatiques.
Plusieurs textes vont prochainement impacter le régime relatif à l'hébergement de données de santé.
Le 10 juillet 2023, à l’occasion d’une Assemblée Générale constitutive, Thomas AUBIN, RSSI du GHT Lille Métropole Flandre Intérieure, Béatrice BERARD, OSSI du GHT Val Rhône Centre, Adrien BOURDON, RSSI du GHT Vendée, Jean-Sylvain CHAVANNE, RSSI du GHT de Bretagne Occidentale, Vincent TEMPLIER, RSSI du GHT Est Hérault – Sud Aveyron et Philippe TOURRON, RSSI du GHT des Hôpitaux de Provence, ont confirmé la création de l’Association à but non lucratif de loi 1901 dénommée « Club des Responsable de la Sécurité des Systèmes d’Information de Santé » ou « CLUB RSSI Santé ». L’Association, soutenue par l’Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI), représente et fédère les Responsables de Sécurité des Systèmes d’Information (RSSI) des Groupement Hospitaliers de Territoire (GHT) et établissements publics de santé. Les autorités compétentes en santé, dont le Fonctionnaire de Sécurité des Systèmes d’Information (FSSI) des ministères sociaux, peuvent être sollicitées pour participer aux réunions et aux échanges, autant que de besoin.
La directive NIS 2, qui vise à harmoniser et à renforcer la cybersécurité du marché européen, voit son périmètre élargi par rapport à NIS 1. Tous les établissements de santé de plus de 50 salariés devraient être concernés, a-t-on appris lors du 11e Congrès National de la SSI Santé, organisé du 13 au 15 juin au Mans par l’APSSIS.
PGSSI-S, Ségur du Numérique, ANSSI, HOP'EN, MaturiN-H, les réglementations évoluent depuis peu pour renforcer le cadre sécuritaire des systèmes d’information de santé.
A l’occasion de Santexpo 2023, le Mipih et le SIB ont annoncé la poursuite de la mutualisation de leurs expertises avec le développement d’une offre commune de cybersécurité.
Si la question a pu sembler longtemps secondaire, la cybersécurité est désormais devenue une priorité pour les établissements de santé dont la prise de conscience a été accentuée par la multiplication des cyberattaques ces derniers temps. Et si le risque cyber demeure exceptionnel, quand cela arrive, les dégâts sont immenses. Mieux vaut donc prévenir que guérir et anticiper sa stratégie de cybersécurité. Mais pour cela, les établissements de santé ont besoin de moyens, financiers comme humains.
L'Agence du numérique en santé (ANS) a publié ce mercredi 9 novembre un guide à destination des établissements et services sociaux et médico-sociaux (ESSMS). Concret et synthétique, il vise à améliorer le niveau de sécurisation de ces acteurs très peu matures sur le sujet de la cybersécurité.
Les exigences de sécurité des systèmes d’information dans le cadre de la vague 2 du Ségur du numérique en santé prévoient la réalisation d'un audit sous forme de test d'intrusion afin d'assurer la mise sur le marché de solutions éprouvées. Mais qu'en est-il pour les solutions ayant déjà réalisé des examens similaires ? La question a été posée lors du 7e Colloque cybersécurité organisé le 9 novembre par l'Agence du numérique en santé.
Une fin d’octobre chargée, petite revue de presse/d’actualité/de réflexion/de ce que vous voudrez.
Pour sa quatrième participation, la France décroche la troisième place à l’European Cybersecurity Challenge (ECSC), qui s’est tenu les 14 et 15 septembre 2022 à Vienne. Cette compétition européenne a opposé 28 équipes nationales composées de jeunes hackers éthiques. Rendez-vous en 2023 pour la prochaine édition qui aura lieu en Norvège !
Alors que la cybercriminalité augmente rapidement en France et dans le monde, le cloud permet de répondre facilement et sans investissements massifs aux enjeux de sécurité, de confidentialité et de disponibilité des services et des données de santé. Mathieu Jeandron, Senior Solutions Architect Manager chez Amazon Web Services (AWS), a expliqué à DSIH les atouts de cette technologie.
Le cabinet Solegal et la société ETIXIS disposent d’une expertise globale quant à la conformité au RGPD : juridique, technique et organisationnelle. Ils accompagnent une dizaine d’établissements du secteur médico-social situés en Haut-de-France et en Ile-de-France.
Le nouvel espace numérique individuel « Mon espace santé » a été officiellement inauguré le 3 février 2022 au ministère des Solidarités et de la Santé. Après une phase d’expérimentation sur trois départements, il se déploie sur l’ensemble du territoire national.
Tout est art, tout peut l’être. Si vous en doutez, relisez la biographie de Marcel Duchamp ou d’Yves Klein. Et si les malwares, tentatives d’arnaque en tout genre sur le Web, nous pourrissent l’existence, on ne peut manquer d’apprécier l’esthétique de la chose, dans certains cas.
Il est de bon ton d’affirmer que la meilleure protection contre les cryptolockers est et demeure les sauvegardes Offline. Quoi de plus évident en effet : si vos sauvegardes sont physiquement déconnectées, elles ne pourront être chiffrées, et vous pourrez repartir de données saines en cas de sinistre. En fait, c’est moins trivial qu’il n’y paraît, et voici pourquoi.
Dominique Pon (DNS) rappelle et re-décrit en détail la feuille de route du socle régalien de l’offre numérique en santé... Beaucoup de rappels importants dans le discours de M. Pon, et qui termine sur l’idée que les indicateurs SSI pourraient devenir à terme coercitifs.
Alors que les hôpitaux d’Oloron-Sainte-Marie, de Dax et de Villefranche-sur-Saône tentent de retrouver leur rythme normal après une vague de cyberattaques, les menaces en ligne suscitent toujours une grande inquiétude pour le secteur de la santé. Vendredi dernier, l’hôpital de Pontarlier est devenu la nouvelle victime des menaces en ligne. Selon Cédric O, les hôpitaux français ont été victimes de 27 cyberattaques majeures en 2020. Par ailleurs, la Cnil a lancé une enquête pour découvrir les causes de la fuite de données médicales touchant environ 500 000 personnes en France.
Si la transformation digitale du secteur de la santé est passée dans une autre dimension durant la crise sanitaire, la récente actualité en fait désormais une préoccupation majeure au niveau national. À la suite des récentes cyberattaques subies par des hôpitaux, le gouvernement vient d’annoncer une aide d'un milliard d'euros destinée à soutenir le développement de la filière cybersécurité et ses capacités d'innovation, soulignant par la même occasion leur retard sur le sujet. En effet, si le recours aux technologies par les acteurs de la santé n’est pas nouveau, il est surtout de plus en plus fréquent pour pratiquer et améliorer le service aux patients, soulevant également la question de la cybersécurité.
Face à l’augmentation des cyberattaques par ransomware, le gouvernement intensifie sa stratégie et ajoute une enveloppe d’un milliard d’euros, notamment pour réaliser des audits dans les établissements de santé.
Les deux attaques de février (Dax et Villefranche) sont encore en cours, et il apparaît que le niveau d’information et d’échange des professionnels de l’IT (adminsys, RSSI, DSI, etc.) est fortement décorrélé de celui des décideurs ou du grand public : compréhension pas évidente de ce qu’est un cryptolocker, difficulté à envisager son impact pour un hôpital. Petite synthèse.
Rendez-vous le 25 février 2021 de 11h00 à 12h00 sur www.dsih.fr pour un webinaire de 60 minutes animé par Xavier Vallin avec l’appui d’Aïssa Khelifa.
Le 23 décembre, Éric Bothorel, député des Côtes-d’Armor, a remis au Premier ministre son rapport sur la politique publique de la donnée, des algorithmes et des codes sources.
L’Association française des ingénieurs biomédicaux a présenté ses recommandations pour améliorer la sécurité numérique des équipements biomédicaux lors d’un webinaire le 15 décembre dernier.
Le GHT du Centre Bretagne, composé des centres hospitaliers du Centre Bretagne et de Guémené-sur-Scorff ainsi que de la maison d’accueil spécialisée de Guémené-sur-Scorff, a fait le choix de LockTransfer, solution de chiffrement de l’éditeur français LockSelf, pour sécuriser le partage de données avec les acteurs non éligibles aux messageries sécurisées de santé participant aux parcours de soins des patients et des résidents.
La situation sans précédent que nous vivons a clairement fait augmenter nos besoins en matière de télétravail et d’échanges numériques. De nombreuses organisations n’étaient pas prêtes, ou pas dans une telle mesure en tout cas. Accès Internet, VPN ou solution de bastion, partage de fichiers, vidéo-conférences etc... Quelle DSI peut prétendre avoir tout anticipé et permis à l’ensemble des employés de « télétravailler » en toute sécurité ?
« Le coronavirus, une aubaine pour les cybercriminels » (L’Express du 22 mars), « L’ampleur de l’épidémie de Covid-19 accroît les risques d’attaques informatiques » (Les Échos du 23 mars), « Le télétravail est une aubaine pour les pirates informatiques » (Le Point du 27 mars) : les titres de journaux, mais aussi les #ransomware et les #cyberpirates foisonnent sur Internet et sur les réseaux sociaux.
Depuis le 20 janvier 2020, l’Identité Numérique La Poste est la première identité numérique déclarée conforme par l’agence nationale de la sécurité des systèmes d’information (Anssi) au niveau de garantie substantiel, selon les exigences du règlement européen eIDAS.
La fonction de RSSI peut être occupée par des personnes aux profils très différents, et c’est sûrement encore plus le cas dans le secteur de la santé, tout particulièrement pour les établissements publics. Entre l’ingénieur qualité de formation qui ne sait pas ce qu’est un annuaire Active Directory et l’administrateur système qui limite son appréciation des risques au périmètre de son infrastructure technique, il y existe un « Pantone » de RSSI. Nous pourrions débattre pendant des jours entiers des qualités nécessaires pour être un bon gestionnaire de risques, mais ce n’est pas le sujet de cet article.
La news est tombée mercredi dans la soirée, même si le communiqué de presse [1] est daté du 20 septembre, soit deux jours plus tard. L’ Agence nationale de la sécurité des systèmes d’information a officiellement annoncé l’ouverture du code source de son système d’exploitation Clip OS dont on entend parler depuis pas mal d’années !
Dans un communiqué publié vendredi [1], le Ministère de la santé de Singapour a révélé une fuite de données massive au sein du groupement d’établissements de santé publics / privés SingHealth qui a permis l’exfiltration de données à caractère personnel d’1,5 million de patients, soit le quart de la population du pays !
Si pas mal de monde avait les yeux rivés sur le RGPD le 24 mai au soir, et au-delà, on a beaucoup moins entendu parler du décret n° 2018-384, qui a pourtant été publié le 23 mai dernier, et qui concerne les obligations des futurs opérateurs de services essentiels (OSE), pendant de la LPM (loi de programmation militaire) pour les OIV (opérateurs d’importance vitale).
Que se passe-t-il en ce moment avec l’éditeur d’antivirus Kaspersky ?On dirait que la planète entière est en train de lui tourner le dos. Sans que cela n’ait réellement été prouvé, on entend depuis plusieurs années que l’éditeur d’antivirus Kaspersky pourrait être lié au gouvernement Russe et pourrait opérer pour son compte dans des opération d’espionnage.Un scénario qui n’est pas improbable, mais qui, sans preuve tangible, reste une rumeur.À moins que l’on ne nous dise pas tout.Alors quelle position doit-on adopter ?
Depuis quelques mois, le sujet « RGPD » sature la bande passante des canaux d’information des DSI et des RSSI de santé. Son application en mai 2018 (c’est bientôt), ses 99 articles et 173 considérants (c’est épais), les montants des amendes pour non-conformité (élevés) et l’ampleur du travail estimé (important) font partie des sources d’angoisse générées.
Le 7 décembre prochain, l’Agence Régionale de Santé des Pays de la Loire, en collaboration avec le GCS esanté, organise une journée dédiée à la « Sécurité du Numérique en Santé » à Nantes. Cet événement qui souhaite allier information, pragmatisme et proximité accueillera des intervenants de l'Agence Nationale de la Sécurité des SI (ANSSI), du Ministère des Solidarités et de la Santé, de l'ASIP Santé ainsi que des acteurs régionaux.
Les exemples de découvertes de vulnérabilités sur les dispositifs médicaux ne manquent pas et l’actualité nous le rappelle de plus en plus régulièrement. Pacemakers, autoclaves, moniteurs patients, imagerie médicale, pompes à perfusion… [1] ont fait la une de l’actualité SSI depuis le début de l’année.
Pour les vacances, ou plutôt pour ceux qui ont la chance d’en avoir… Mais aussi pour les autres (il n’y a pas de raisons), je vous propose un petit tour d’horizon des sujets d’actualité que j’ai trouvé intéressants en ce premier mois d’été.
Près de 50 000 applications santé sont actuellement disponibles et de nouvelles apparaissent chaque jour. Certaines proposent des conseils individualisés, recueillent des données personnelles (poids, tension, fréquence cardiaque,…), ou délivrent des informations médicales. Leur développement se fait toutefois sans cadre prédéfini, ce qui soulève de nombreuses questions concernant leur fiabilité, la réutilisation des données collectées ou le respect de la confidentialité notamment. C’est pourquoi la HAS publie aujourd’hui un référentiel de 101 bonnes pratiques pour favoriser le développement d’applications et objets connectés sûrs, fiables et de qualité.
Depuis le 1er juillet, les opérateurs d’importance vitale (OIV) doivent respecter de nouvelles règles de sécurité pour protéger leurs systèmes d’information. Les principales dispositions organisationnelles et techniques en vigueur.
L’année 2015 a été marquée sous le signe du vol de données dans le secteur de la santé. Comme le montre l’analyste du Gartner - Jack Santos, d’importants incidents de sécurité sont survenus l’année passée - plus de 110 millions de données ont été exposées. (Source Gartner)
L’ASIP Santé publie deux nouveaux documents constitutifs du corpus documentaire de la Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI-S).
A force de parler de sécurité du SI, il semble que nous n'avons jamais tenté le moindre recensement des outils les plus utiles au quotidien, aussi bien pour le RSSI que pour l'usager lambda du SI (sans que ce terme soit péjoratif). Pour le dernier filet de la l'année, petit florilège sans prétention.
Guillaume POUPARD, Directeur général de l’ANSSI, Agence nationale de la sécurité des systèmes d’information a remis à l’APICEM le Label France CYBER SECURITY représentée par le Docteur Alain CARON pour le développement du système de messagerie médicale sécurisée APICRYPT 2, le 16 octobre à la Maison de la Chimie
Etre né de la génération de l’informatique ou à peu après.
Amis informaticiens, RSSI et décideurs de tout poil, si comme moi vous avez été pris depuis une quinzaine de jours dans le maelström des alertes virales issues du ministère ou des confrères, vous ne pouvez que vous demander comment tout cela va bien finir.
Les plus lus