Le ronronnement des habitudes semble être la norme, jusqu’au moment ou une bonne petite rupture de paradigme vous rattrape par le colback.
C’est bientôt les tongs, le sable entre les doigts de pied et les gamins qui braillent à deux serviettes de la vôtre. Avant cela, il est temps de faire un bilan à mi-course de l’année 2023.
Ne vous posez pas la question de savoir s’il faut des antimalwares sur vos PC. Il en faut (et au demeurant on aura franchi un cap important quand on arrêtera de lire les précos tek de certains éditeurs qui vous expliquent qu’il faut exclure la moitié des répertoires de la protection résidente – authentique !).
J’adore ce genre d’histoire, car non seulement elle constitue un cas d’école très utile aux futurs experts de la cyber (côté gouvernance, mais pas que), mais en plus l’analyse en mille-feuille démontre que le couillon de l’histoire n’est pas celui que l’on pointe du doigt à l’origine.
Impossible d’être passé à côté, l’actualité de cette semaine concerne l’attaque cyber dont a été victime le CHU de Rennes.
Encore méconnues du grand public il y a quelques années, les données de santé et leur sécurisation sont au cœur des préoccupations aujourd’hui. Plus encore, la protection des informations autour du patient et du professionnel de santé est devenue un des moteurs essentiels de la migration vers le cloud ces dernières années.
Imaginez un peu : vous devez emmener toute votre petite famille (conjoint et trois enfants) en voiture, d’Arengosse (dans les Landes) à Vouziers (dans les Ardennes) dans votre Audi A4 (cinq places). OK, le voyage risque d’être un peu long, mais vous allez y arriver (j’ai volontairement choisi un trajet bien compliqué, avec deux villes sans autoroute à proximité, et qui traverse la France dans le sens de la « diagonale du vide » comme disent les géographes).
Dans le cadre du plan France 2030 et de la stratégie nationale pour la cybersécurité, Jean Noël Barrot, ministre délégué chargé de la Transition numérique et des Télécommunications, et Bruno Bonnell, secrétaire général pour l’investissement en charge de France 2030, annoncent la publication d’une nouvelle vague de l’appel à projets visant à soutenir le développement de briques technologiques innovantes et critiques en cybersécurité.
Temps fort de la dernière journée, la conférence de votre serviteur et M° Brac de la Perrière sur le thème de la blockchain en santé, regards croisés RSSI et Avocate pour quels usages. Le sujet est très technique et les deux sous-domaines sont pas mal en friche, cette conférence s’inscrit dans la lignée des veilles technologiques qui font partie de l’ADN de l’APSSIS.
Premier temps fort de la deuxième journée, la conférence de Coralie LEMKE, journaliste chez Sciences et Avenir et auteure de l’ouvrage « Ma santé, mes donnée ». Le sujet est vaste et le balayer en 40mn relève de la gageure, Coralie LEMKE revient au premier essai clinique de l’Histoire qui a pu isoler les causes du scorbut (carences en vitamines C). Etudes isolées, études longitudinales sur le long cours, essais en double aveugle, tous ces sujets sont évoqués et on en arrive immanquablement à l’usage de l’IA pour assister les radiologues dans le dépistage de tumeurs. Bien entendu, les dérives sont évoquées, telles la « vente » de données d’assurées sociaux du NHS à des opérateurs privés dans des conditions contractuelles qui interrogent.
La directive NIS 2, qui vise à harmoniser et à renforcer la cybersécurité du marché européen, voit son périmètre élargi par rapport à NIS 1. Tous les établissements de santé de plus de 50 salariés devraient être concernés, a-t-on appris lors du 11e Congrès National de la SSI Santé, organisé du 13 au 15 juin au Mans par l’APSSIS.
Malgré la menace des rançongiciels qui reste forte, le nombre d’incidents cyber déclarés par les établissements de santé est en baisse sur les deux premiers trimestres de 2023, a-t-on appris lors du 11e Congrès National de la SSI Santé, organisé du 13 au 15 juin au Mans par l’APSSIS.
La C.A.I.H. (Centrale d’Achat de l’Informatique Hospitalière) et UniHA (Union des Hôpitaux pour les Achats) ont signé un « pacte de confiance numérique » avec le Club des RSSI pour améliorer la prise en compte des risques numériques et des normes afférentes dès la phase d’achat de solutions, logiciels, services ou matériels de santé.
Vincent Genot, RSSI du GHT de Dordogne, a présenté lors du 11e Congrès National de la SSI Santé, organisé du 13 au 15 juin au Mans par l’APSSIS, un retour d’expérience relatif à une cyberattaque subie par le centre hospitalier de Bergerac. Débrancher les routeurs, tenir une liste de contacts, prioriser le rétablissement des logiciels métiers… David Henocq, RSSI d’Okantis, a donné ses conseils.
Et c’est parti pour la 11ème édition du congrès de l’APSSIS.
En dehors de la question de savoir si la cyber est assurable ou pas (vaste débat), si elle va le rester, si le Cloud (qui consiste à mettre toutes ses gonades mâles dans le même panier) est fondamentalement antinomique avec l’assurabilité cyber (qui suppose une répartition des risques), bref, en dehors de tous ces sujets de fond, il en est un qui paraît bête a priori : cela veut dire quoi s’assurer contre le risque cyber ?
Passer son temps à beugler avec le troupeau, c’est certes reposant, mais à la longue les neurones s’atrophient. C’est tellement plus drôle de poser les questions mêmes que tout le monde pense classées, archivées, réglées… et qui au final ne le sont pas forcément, ou pas totalement. En philo, c’est ce qu’on appelle une expérience de pensée. Personnellement j’adore, il faut juste ne pas avoir peur de sortir des âneries – mais c’est bien connu, les Gaulois n’ont peur que d’une seule chose, c’est que le ciel leur tombe sur la tête. Essayons un coup pour voir.
Quel est le point commun entre l’affaire Orpea, la fraude fiscale ou sociale et l’Éducation nationale avant 2012 ?
Une nouvelle vulnérabilité a été récemment découverte dans le gestionnaire de mots de passe KeePass. Elle permet d’extraire de la mémoire d’un ordinateur, le mot de passe (en grande partie tout du moins) maître d’une base KeePass.
Vous ne connaissez certainement pas Pieter Wynants. Il organisa pourtant un important dîner chez lui le dimanche 1er février. Dîner au cours duquel étaient présents, parmi de nombreux invités de la ville, non seulement son cousin, mais aussi Geertruyt Schoudt, une riche veuve, ainsi que Jacob De Block, un teinturier.
La plateforme de RDV médicaux Doctolib a perdu des données médicales[1], en l’occurrence des milliers de données sensibles. Dans un mail envoyé aux professionnels de santé le 3 mai dernier, la plateforme fait mention d’un “incident technique” ayant conduit à l’effacement de certaines observations de suivi, comme les motifs de visite, les comptes-rendus d’examen et les conclusions effectués entre le mercredi 26 avril à 17h40 et le jeudi 27 avril 11h40.
À chaque fois que j’écris un billet sur l’IA et ChatGPT, je me dis que c’est le dernier, que le sujet est bouclé, mais en fait non.
Yuno, la solution de veille en cybersécurité de l’éditeur XMCO, permet à ses utilisateurs de bénéficier d’un suivi personnalisé des vulné rabilités de leurs équipements. Stéphane Duchesne, RSSI du CHU de La Réunion, nous présente les avantages de la solution.
« En 2023, les mesures de protection cyber ont considérablement évolué pour répondre aux menaces en constante évolution. Les professionnels de la cybersécurité ont mis en place des mesures de protection plus avancées pour protéger les systèmes informatiques et les données sensibles contre les cyberattaques.
Quand le brillant RSSI et DPO Cédric Cartau et moi-même décrochons notre téléphone en pleine journée pour nous appeler, c’est qu’un « serpent de mer » technico-juridique nous travaille. Le dernier en date : les droits d’habilitation au Dossier Patient Informatisé (DPI), et ce, dans le contexte d’un article de presse[1] annonçant les mesures prises par l’APHP « la mise en œuvre d’un système de surveillance du mode « bris de glace » afin de contrôler et d’identifier les accès illégitimes ». Dans un premier volet, la vision technique et opérationnelle a donc été présentée[2]. Ce deuxième volet vise à présenter le cadre juridique. Que disent les textes ?
La news a été diffusée par plusieurs médias spécialisés : le dossier patient (DP) de Pierre Palmade à l’AP-HP a été consulté à de multiples reprises par des personnels n’ayant rien à voir avec la prise en charge médicale de l’humoriste… voire travaillant dans l’un des établissements de l’AP-HP où il n’était pas hospitalisé. Il s’agit d’un accès indu au DP (ou de curiosité malsaine en langage courant). C’est illégal et c’est puni par la loi. Cela étant, le sujet est très complexe. Décryptage.
Les séries TV fleuves vous ennuient ? Les histoires avec le méchant JR et le gentil Bobby Ewing vous font bâiller à vous en décrocher la mâchoire ? Essayez ChatGPT.
Depuis quelques jours, je vois beaucoup d’engouement sur les réseaux sociaux autour du blocage des scanners qui, comme le très connu Shodan ou son challengeur français Onyphe [1], référencent les ports, services, applications et vulnérabilités qui les affectent de toutes les machines exposées sur Internet.
Ça y est, c’est le printemps, il est largement temps de se changer les idées avec un petit quiz pas du tout orienté ni poil à gratter – pas mon genre. Une seule bonne réponse par question, on compte les points à la fin.
Impossible d’être passé au travers tant l’info a fait le tour de l’actualité cyber : jeudi dernier le CHU de Brest était la victime d’une attaque cyber. Soyons clair : à ce stade, même si la communauté des RSSI hospitaliers dispose de plusieurs éléments techniques, impossible de divulguer quoi que ce soit dans un média ouvert sur ladite attaque pour des raisons évidentes de protection des SIH.
Soyons clairs : toutes les méthodes de modélisation du comportement humain ne sont jamais que des outils, des grilles de lecture. Parfois elles fonctionnent et tombent même remarquablement juste, mais parfois non. Pyramide de Maslow, sociodynamique, rosace 360° : il ne faut pas les tordre ni leur faire dire ce pour quoi elles ne sont pas prévues.
Une des qualités premières pour prétendre à une carrière de RSSI, c’est de garder ses yeux d’enfant. C’est ce que l’on se disait récemment, mes 52 printemps et moi-même. Illustration.
Villefranche-sur-Saône, Dax, Oloron-Sainte-Marie, Albertville, Arles, Castelluccio, Saint-Dizier, Vitry-le-François, Mâcon, Paris, Corbeil-Essonnes, Versailles… Et ceci n’est qu’une courte liste des différents établissements de santé publics et privés visés par des cyberattaques ces dernières années. En pleine ouverture et mutation numérique, le secteur hospitalier a dû faire face à de multiples vagues successives de cyberattaques bloquant tout ou partie de leur activité et forçant certains à revenir à l’ère du crayon à papier. Aider les établissements de santé à maitriser le risque cyber nécessite toutefois d’adopter une approche résolument proactive en prenant en compte les contraintes propres au secteur. La protection du réseau – et les technologies adaptées – sont indispensables pour prémunir les structures concernées.
Récemment, une discussion entre amis a doucement dérivé vers les théories complotistes.
Les attaquants derrière le cheval de Troie Qbot (aussi connu sous le nom de Quakbot) utilisent depuis longtemps des fichiers Word ou Excel avec des macros servant à télécharger et exécuter la charge malveillante.
On pourra toujours se rassurer – Coué, Coué, Coué – en lisant dans les derniers rapports de l’Anssi qu’il y aurait eu moins d’attaques en 2022 qu’en 2021, il n’empêche, de mémoire de vieux croûton, je n’ai jamais connu un tel début d’année.
La Sciences Po Cybersecurity Association a organisé le 8 février une conférence sur le thème « Le secteur de la santé face aux cyberattaques ». Les participants sont notamment revenus sur le sensible sujet des rançons payées et sur les prétentions « éthiques » de certains pirates.
Si cela semble en surprendre certains, le fait que les attaquants s’intéressent de près aux hyperviseurs VMWare ESXi n’est pas vraiment quelque chose de nouveau. Souvenez-vous l’été 2021, de nombreux opérateurs de rançongiciels s’en prenaient déjà aux serveurs VMWare [1], dans un but bien précis, gagner du temps en chiffrant « à la source » les serveurs virtuels des systèmes d’informations de leurs victimes. En 2022, le groupe derrière le rançongiciel LockBit avait d’ailleurs procédé ainsi lors de l’attaque ayant ciblé le CH Sud Francilien.
Dans un récent et excellent article de La Tribune[1], Marc Sztulman, conseiller régional d’Occitanie et délégué au Numérique pour tous, s’interroge sur ce que sont ou ne sont pas la souveraineté et la confiance, en particulier autour des notions de Cloud. À titre personnel, je n’avais même pas connaissance de la différence entre ces deux idées (confiance versus souveraineté) car – selon moi – elles se recouvrent totalement. Il semble tout de même important de revenir sur quelques concepts.
« La Formation RSSI / SSI Santé - Version 3 - Porter la SSI et la conformité numérique : technicité et savoir-faire » est une formation spécialement conçue par l’APSSIS pour les professionnels de santé en charge de la sécurité des SI. Dispensée sur 3 jours par Vincent TRELY, Président de l’Association, son contenu est inédit, régulièrement actualisé et propose un 360° sur la SSI Santé.
La semaine dernière, l’ANSSI publiait son panorama de la cybermenace 2022 [1]. Quels enseignements tirer pour nos SI de santé, des attaques observées en France l’an passé ?
La routine, vraiment la routine.
L’APSSIS a le plaisir d’annoncer la publication du 6ème opus des Guides Cyber-résilience à destination des professionnels du secteur. Conçus et élaborés par Cédric Cartau, RSSI et DPO - CHU de Nantes - du GHT 44 et Vice-président de l’APSSIS, ces guides se veulent à la fois accessibles, techniques et pratiques.
Incroyable, le nombre de vidéos qui fleurissent sur les réseaux sociaux – même BFM TV titre dessus pour vous expliquer que Google a quelques soucis à se faire, c’est dire. Passé les premières séances de jeu avec l’interface où l’on se prend à poser les questions les plus bizarres sur les sujets les plus divers. Il y a ce que ChatGPT fait, ce qu’il ne fait pas, ce qu’il peut faire et ce qu’il ne fera jamais, en tout cas dans sa version actuelle.
Bon, apparemment, tout le monde se marre entre la poire et le fromage en posant les questions les plus diverses à ChatGPT. Tout le monde sauf moi, et cela ne peut pas durer. J’ai donc décidé, moi aussi, de tester la bête, mais attention, pas n’importe comment : un test rigoureux, pas du tout orienté, basé sur un corpus de questions sélectionnées par un comité représentatif de moi-même, bref que du lourd. Allons-y.
Le groupe FIN7 est un groupe cybercriminel Russophone connu depuis 10 ans déjà, pour de nombreuses attaques, via le cheval de Troie bancaire Carbanak, qui lui a permis de dérober plusieurs millions de dollars à des banques, puis il a sévi dans le domaine de l’espionnage industriel et gouvernemental avant de se lancer dans le rançongiciel avec Darkside et collaborer avec d’autres acteurs bien connus du monde du rançongiciel tels que LockBit, Maze ou encore Revil.
Philosophons un peu en ce début de semaine.
Pour cette nouvelle année, nous pouvons nous souhaiter santé, joie, rires, réussite, amour, plaisir, argent… Ce dont certains groupes d’attaquants disposent déjà ! Alors commençons peut-être par nous souhaiter une bonne santé pour…. Nos systèmes d’informations de santé !
Les plus lus