Anssi61 documents taggés

Le CESIN mobilise ses membres dans le cadre de NIS2

Lors d’une consultation en trois phases, le CESIN a mobilisé ses membres afin de collecter leurs remarques, avis et propositions dans le cadre de la transposition nationale de NIS2 (Network and Information Systems Directive 2). Cette collaboration avec l’ANSSI vise à participer activement au renfort de la cybersécurité en France, en identifiant les défis et en proposant des solutions adaptées.

Comment remédier à une cyberattaque ? L’Anssi publie sa collection de guides dédiés au sujet

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) publie aujourd’hui trois guides dédiés à la remédiation d’incidents cyber. Cette collection, première du genre et destinée aux acteurs de l’informatique et de la cybersécurité, est le fruit de l’expertise unique de l’agence dans ce domaine. Au travers de ces guides, l’ANSSI partage sa doctrine et ses bonnes pratiques, élaborées à partir des interventions qu’elle mène depuis sa création auprès de victimes d’attaques informatiques.

Hébergement de données de santé, décryptage des évolutions à venir

Plusieurs textes vont prochainement impacter le régime relatif à l'hébergement de données de santé. 

Directive NIS 2 – Tous concernés

Le Club des Responsables de la Sécurité des Systèmes d’Information des établissements de Santé évolue vers une structure juridique à but non lucrative de loi 1901

Le 10 juillet 2023, à l’occasion d’une Assemblée Générale constitutive, Thomas AUBIN, RSSI du GHT Lille Métropole Flandre Intérieure, Béatrice BERARD, OSSI du GHT Val Rhône Centre, Adrien BOURDON, RSSI du GHT Vendée, Jean-Sylvain CHAVANNE, RSSI du GHT de Bretagne Occidentale, Vincent TEMPLIER, RSSI du GHT Est Hérault – Sud Aveyron et Philippe TOURRON, RSSI du GHT des Hôpitaux de Provence, ont confirmé la création de l’Association à but non lucratif de loi 1901 dénommée « Club des Responsable de la Sécurité des Systèmes d’Information de Santé » ou « CLUB RSSI Santé ». L’Association, soutenue par l’Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI), représente et fédère les Responsables de Sécurité des Systèmes d’Information (RSSI) des Groupement Hospitaliers de Territoire (GHT) et établissements publics de santé. Les autorités compétentes en santé, dont le Fonctionnaire de Sécurité des Systèmes d’Information (FSSI) des ministères sociaux, peuvent être sollicitées pour participer aux réunions et aux échanges, autant que de besoin. 

En direct de l’APSSIS – La directive NIS 2 pourrait s’appliquer à l’ensemble des établissements hospitaliers français

La directive NIS 2, qui vise à harmoniser et à renforcer la cybersécurité du marché européen, voit son périmètre élargi par rapport à NIS 1. Tous les établissements de santé de plus de 50 salariés devraient être concernés, a-t-on appris lors du 11e Congrès National de la SSI Santé, organisé du 13 au 15 juin au Mans par l’APSSIS.

#Webinaire DSIH | Jeudi 29/06 «Veille cybersécurité : comment se prémunir contre les menaces actuelles dans le secteur de la santé ?»

PGSSI-S, Ségur du Numérique, ANSSI, HOP'EN, MaturiN-H, les réglementations évoluent depuis peu pour renforcer le cadre sécuritaire des systèmes d’information de santé.

En direct de Santexpo : une offre de cybersécurité publique commune Mipih et SIB

A l’occasion de Santexpo 2023, le Mipih et le SIB ont annoncé la poursuite de la mutualisation de leurs expertises avec le développement d’une offre commune de cybersécurité.

Cybersécurité : mieux vaut prévenir que guérir !

Si la question a pu sembler longtemps secondaire, la cybersécurité est désormais devenue une priorité pour les établissements de santé dont la prise de conscience a été accentuée par la multiplication des cyberattaques ces derniers temps. Et si le risque cyber demeure exceptionnel, quand cela arrive, les dégâts sont immenses. Mieux vaut donc prévenir que guérir et anticiper sa stratégie de cybersécurité. Mais pour cela, les établissements de santé ont besoin de moyens, financiers comme humains.

Un guide cybersécurité pour le social et le médico-social

L'Agence du numérique en santé (ANS) a publié ce mercredi 9 novembre un guide à destination des établissements et services sociaux et médico-sociaux (ESSMS). Concret et synthétique, il vise à améliorer le niveau de sécurisation de ces acteurs très peu matures sur le sujet de la cybersécurité.

Ségur numérique : le test d'intrusion devra-t-il être systématiquement réalisé ?

Les exigences de sécurité des systèmes d’information dans le cadre de la vague 2 du Ségur du numérique en santé prévoient la réalisation d'un audit sous forme de test d'intrusion afin d'assurer la mise sur le marché de solutions éprouvées. Mais qu'en est-il pour les solutions ayant déjà réalisé des examens similaires ? La question a été posée lors du 7e Colloque cybersécurité organisé le 9 novembre par l'Agence du numérique en santé.

Actualité SSI : Cnil, Microsoft et protection contre les attaques par mail

Une fin d’octobre chargée, petite revue de presse/d’actualité/de réflexion/de ce que vous voudrez.

La France décroche la troisième place du challenge Europeen de la cybersécurité

Pour sa quatrième participation, la France décroche la troisième place à l’European Cybersecurity Challenge (ECSC), qui s’est tenu les 14 et 15 septembre 2022 à Vienne. Cette compétition européenne a opposé 28 équipes nationales composées de jeunes hackers éthiques. Rendez-vous en 2023 pour la prochaine édition qui aura lieu en Norvège !

Le cloud, une technologie clef pour la sécurité des données de santé

Alors que la cybercriminalité augmente rapidement en France et dans le monde, le cloud permet de répondre facilement et sans investissements massifs aux enjeux de sécurité, de confidentialité et de disponibilité des services et des données de santé. Mathieu Jeandron, Senior Solutions Architect Manager chez Amazon Web Services (AWS), a expliqué à DSIH les atouts de cette technologie.

Solegal et ETIXIS, l’expertise de la conformité RGPD des ESMS

Le cabinet Solegal et la société ETIXIS disposent d’une expertise globale quant à la conformité au RGPD : juridique, technique et organisationnelle. Ils accompagnent une dizaine d’établissements du secteur médico-social situés en Haut-de-France et en Ile-de-France.

Lancement de Mon espace santé

Le nouvel espace numérique individuel « Mon espace santé » a été officiellement inauguré le 3 février 2022 au ministère des Solidarités et de la Santé. Après une phase d’expérimentation sur trois départements, il se déploie sur l’ensemble du territoire national.

Un malware canin a mangé tous mes devoirs

Tout est art, tout peut l’être. Si vous en doutez, relisez la biographie de Marcel Duchamp ou d’Yves Klein. Et si les malwares, tentatives d’arnaque en tout genre sur le Web, nous pourrissent l’existence, on ne peut manquer d’apprécier l’esthétique de la chose, dans certains cas.

Sauvegarde Offline, protection imparfaite

Il est de bon ton d’affirmer que la meilleure protection contre les cryptolockers est et demeure les sauvegardes Offline. Quoi de plus évident en effet : si vos sauvegardes sont physiquement déconnectées, elles ne pourront être chiffrées, et vous pourrez repartir de données saines en cas de sinistre. En fait, c’est moins trivial qu’il n’y paraît, et voici pourquoi.

En direct de l’APSSIS – conférence institutionnelle

Dominique Pon (DNS) rappelle et re-décrit en détail la feuille de route du socle régalien de l’offre numérique en santé... Beaucoup de rappels importants dans le discours de M. Pon, et qui termine sur l’idée que les indicateurs SSI pourraient devenir à terme coercitifs.

Cybermenaces dans le secteur santé : comprendre pour protéger

Alors que les hôpitaux d’Oloron-Sainte-Marie, de Dax et de Villefranche-sur-Saône tentent de retrouver leur rythme normal après une vague de cyberattaques, les menaces en ligne suscitent toujours une grande inquiétude pour le secteur de la santé. Vendredi dernier, l’hôpital de Pontarlier est devenu la nouvelle victime des menaces en ligne. Selon Cédric O, les hôpitaux français ont été victimes de 27 cyberattaques majeures en 2020. Par ailleurs, la Cnil a lancé une enquête pour découvrir les causes de la fuite de données médicales touchant environ 500 000 personnes en France.

Système de santé 4.0 : quid des données et de leur protection ?

Si la transformation digitale du secteur de la santé est passée dans une autre dimension durant la crise sanitaire, la récente actualité en fait désormais une préoccupation majeure au niveau national. À la suite des récentes cyberattaques subies par des hôpitaux, le gouvernement vient d’annoncer une aide d'un milliard d'euros destinée à soutenir le développement de la filière cybersécurité et ses capacités d'innovation, soulignant par la même occasion leur retard sur le sujet. En effet, si le recours aux technologies par les acteurs de la santé n’est pas nouveau, il est surtout de plus en plus fréquent pour pratiquer et améliorer le service aux patients, soulevant également la question de la cybersécurité. 

Une stratégie renforcée contre les ransomwares

Face à l’augmentation des cyberattaques par ransomware, le gouvernement intensifie sa stratégie et ajoute une enveloppe d’un milliard d’euros, notamment pour réaliser des audits dans les établissements de santé.

Attaques crypto : quel niveau d’information pour les décideurs ?

Les deux attaques de février (Dax et Villefranche) sont encore en cours, et il apparaît que le niveau d’information et d’échange des professionnels de l’IT (adminsys, RSSI, DSI, etc.) est fortement décorrélé de celui des décideurs ou du grand public : compréhension pas évidente de ce qu’est un cryptolocker, difficulté à envisager son impact pour un hôpital. Petite synthèse.

Transformation numérique et système d’information hospitalier : un webinaire au cœur d’une actualité brûlante sur la sécurité

Rendez-vous le 25 février 2021 de 11h00 à 12h00 sur www.dsih.fr pour un webinaire de 60 minutes animé par Xavier Vallin avec l’appui d’Aïssa Khelifa.

Vers une politique publique de la donnée, des algorithmes et des codes sources

Le 23 décembre, Éric Bothorel, député des Côtes-d’Armor, a remis au Premier ministre son rapport sur la politique publique de la donnée, des algorithmes et des codes sources.

Les cinq recommandations de l’Afib en matière de sécurité numérique des équipements biomédicaux

L’Association française des ingénieurs biomédicaux a présenté ses recommandations pour améliorer la sécurité numérique des équipements biomédicaux lors d’un webinaire le 15 décembre dernier.

Le groupement hospitalier de territoire du Centre Bretagne fait appel à LockSelf pour sécuriser les échanges de fichiers avec ses parties prenantes

Le GHT du Centre Bretagne, composé des centres hospitaliers du Centre Bretagne et de Guémené-sur-Scorff ainsi que de la maison d’accueil spécialisée de Guémené-sur-Scorff, a fait le choix de LockTransfer, solution de chiffrement de l’éditeur français LockSelf, pour sécuriser le partage de données avec les acteurs non éligibles aux messageries sécurisées de santé participant aux parcours de soins des patients et des résidents.

Télétravail : échanger en gardant le contrôle de ses données

La situation sans précédent que nous vivons a clairement fait augmenter nos besoins en matière de télétravail et d’échanges numériques. De nombreuses organisations n’étaient pas prêtes, ou pas dans une telle mesure en tout cas. Accès Internet, VPN ou solution de bastion, partage de fichiers, vidéo-conférences etc... Quelle DSI peut prétendre avoir tout anticipé et permis à l’ensemble des employés de « télétravailler » en toute sécurité ?

L’Apssis publie deux séquences originales

« Le coronavirus, une aubaine pour les cybercriminels » (L’Express du 22 mars), « L’ampleur de l’épidémie de Covid-19 accroît les risques d’attaques informatiques » (Les Échos du 23 mars), « Le télétravail est une aubaine pour les pirates informatiques » (Le Point du 27 mars) : les titres de journaux, mais aussi les #ransomware et les #cyberpirates foisonnent sur Internet et sur les réseaux sociaux.

La Poste cultive son Identité Numérique

Depuis le 20 janvier 2020, l’Identité Numérique La Poste est la première identité numérique déclarée conforme par l’agence nationale de la sécurité des systèmes d’information (Anssi) au niveau de garantie substantiel, selon les exigences du règlement européen eIDAS. 

50 nuances de RSSI : partageons pour avancer

La fonction de RSSI peut être occupée par des personnes aux profils très différents, et c’est sûrement encore plus le cas dans le secteur de la santé, tout particulièrement pour les établissements publics. Entre l’ingénieur qualité de formation qui ne sait pas ce qu’est un annuaire Active Directory et l’administrateur système qui limite son appréciation des risques au périmètre de son infrastructure technique, il y existe un « Pantone » de RSSI. Nous pourrions débattre pendant des jours entiers des qualités nécessaires pour être un bon gestionnaire de risques, mais ce n’est pas le sujet de cet article.

Les Assises de la sécurité : l’actu de l’Anssi

L’Anssi ouvre le code source de son système Clip OS

La news est tombée mercredi dans la soirée, même si le communiqué de presse [1] est daté du 20 septembre, soit deux jours plus tard. L’ Agence nationale de la sécurité des systèmes d’information a officiellement annoncé l’ouverture du code source de son système d’exploitation Clip OS dont on entend parler depuis pas mal d’années !

Singapour : l’infection d’un ordinateur permet le vol des données d’1,5 million de patients

Dans un communiqué publié vendredi [1], le Ministère de la santé de Singapour a révélé une fuite de données massive au sein du groupement d’établissements de santé publics / privés SingHealth qui a permis l’exfiltration de données à caractère personnel d’1,5 million de patients, soit le quart de la population du pays !

Directive NIS, la fin de l’innocence

Si pas mal de monde avait les yeux rivés sur le RGPD le 24 mai au soir, et au-delà, on a beaucoup moins entendu parler du décret n° 2018-384, qui a pourtant été publié le 23 mai dernier, et qui concerne les obligations des futurs opérateurs de services essentiels (OSE), pendant de la LPM (loi de programmation militaire) pour les OIV (opérateurs d’importance vitale).

Kaspersky VS le reste du monde

Que se passe-t-il en ce moment avec l’éditeur d’antivirus Kaspersky ?On dirait que la planète entière est en train de lui tourner le dos. Sans que cela n’ait réellement été prouvé, on entend depuis plusieurs années que l’éditeur d’antivirus Kaspersky pourrait être lié au gouvernement Russe et pourrait opérer pour son compte dans des opération d’espionnage.Un scénario qui n’est pas improbable, mais qui, sans preuve tangible, reste une rumeur.À moins que l’on ne nous dise pas tout.Alors quelle position doit-on adopter ?

RGPD, et alors ? Une synthèse positive et non alarmiste à l’usage des établissements de santé

Depuis quelques mois, le sujet « RGPD » sature la bande passante des canaux d’information des DSI et des RSSI de santé. Son application en mai 2018 (c’est bientôt), ses 99 articles et 173 considérants (c’est épais), les montants des amendes pour non-conformité (élevés) et l’ampleur du travail estimé (important) font partie des sources d’angoisse générées.

Journée régionale « Sécurité numérique en santé », le 7 décembre à Nantes

Le 7 décembre prochain, l’Agence Régionale de Santé des Pays de la Loire, en collaboration avec le GCS esanté, organise une journée dédiée à la « Sécurité du Numérique en Santé » à Nantes. Cet événement qui souhaite allier information, pragmatisme et proximité accueillera des intervenants de l'Agence Nationale de la Sécurité des SI (ANSSI), du Ministère des Solidarités et de la Santé, de l'ASIP Santé ainsi que des acteurs régionaux.

La sécurité des dispositifs médicaux au centre des préoccupations

Les exemples de découvertes de vulnérabilités sur les dispositifs médicaux ne manquent pas et l’actualité nous le rappelle de plus en plus régulièrement. Pacemakers, autoclaves, moniteurs patients, imagerie médicale, pompes à perfusion… [1] ont fait la une de l’actualité SSI depuis le début de l’année.

Cahier de vacances du RSSI

Pour les vacances, ou plutôt pour ceux qui ont la chance d’en avoir… Mais aussi pour les autres (il n’y a pas de raisons), je vous propose un petit tour d’horizon des sujets d’actualité que j’ai trouvé intéressants en ce premier mois d’été.

Une semaine après les premières grosses attaques, quelles conséquences ? Quelles leçons en tirer ? Que faut-il craindre maintenant ?

Propagation mondiale du rançongiciel WCRY : des nouvelles du front

Applis santé : la HAS établit 101 règles de bonne pratique

Près de 50 000 applications santé sont actuellement disponibles et de nouvelles apparaissent chaque jour. Certaines proposent des conseils individualisés, recueillent des données personnelles (poids, tension, fréquence cardiaque,…), ou délivrent des informations médicales. Leur développement se fait toutefois sans cadre prédéfini, ce qui soulève de nombreuses questions concernant leur fiabilité, la réutilisation des données collectées ou le respect de la confidentialité notamment. C’est pourquoi la HAS publie aujourd’hui un référentiel de 101 bonnes pratiques pour favoriser le développement d’applications et objets connectés sûrs, fiables et de qualité.

SI : de nouvelles règles de sécurité pour les produits de santé

Depuis le 1er juillet, les opérateurs d’importance vitale (OIV) doivent respecter de nouvelles règles de sécurité pour protéger leurs systèmes d’information. Les principales dispositions organisationnelles et techniques en vigueur.

« L’enjeu pour la sécurité des systèmes d’information de santé »

L’année 2015 a été marquée sous le signe du vol de données dans le secteur de la santé. Comme le montre l’analyste du Gartner - Jack Santos, d’importants incidents de sécurité sont survenus l’année passée - plus de 110 millions de données ont été exposées. (Source Gartner)

Publication de deux guides pratiques : "Plan de Continuité Informatique" et "Règles pour la mise en place d’un accès web au SIS pour des tiers"

L’ASIP Santé publie deux nouveaux documents constitutifs du corpus documentaire de la Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI-S).

Le couteau suisse de la sécurité au quotidien

A force de parler de sécurité du SI, il semble que nous n'avons jamais tenté le moindre recensement des outils les plus utiles au quotidien, aussi bien pour le RSSI que pour l'usager lambda du SI (sans que ce terme soit péjoratif). Pour le dernier filet de la l'année, petit florilège sans prétention.

APICRYPT 2 labélisé France CYBER SECURITY

Guillaume POUPARD, Directeur général de l’ANSSI, Agence nationale de la sécurité des systèmes d’information a remis à l’APICEM le Label France CYBER SECURITY représentée par le Docteur Alain CARON pour le développement du système de messagerie médicale sécurisée APICRYPT 2, le 16 octobre à la Maison de la Chimie

Portrait presque générique d'un RSSI

Etre né de la génération de l’informatique ou à peu après.

Protection virale : rendez-moi mon Minitel !

Amis informaticiens, RSSI et décideurs de tout poil, si comme moi vous avez été pris depuis une quinzaine de jours dans le maelström des alertes virales issues du ministère ou des confrères, vous ne pouvez que vous demander comment tout cela va bien finir.