Vous êtes dans : Accueil > Actualités >

TRIBUNES LIBRES

Un petit quiz pour rester en forme

Cédric Cartau, le lun. 11 janvier 2021 : La formation continue, c’est important. C’est pourquoi, une fois n’est pas coutume, je propose à l’aimable lecteur un petit quiz, sur le thème des SI et de la sécurité des SI, pour se maintenir dans une forme intellectuelle éblouissante en ce début d’année. Une seule bonne réponse par question, on compte les points à la fin.Lire la suite ...

2021 risque d’être encore l’année du rançongiciel chiffrant et exfiltrant

Charles Blanc-Rolin , le ven. 08 janvier 2021 : Cela ne me réjoui pas, mais j’ai bien peur que l’année 2021 soit une fois de plus l’année du rançongiciel chiffrant et exfiltrant.Lire la suite ...

C’est le jour des bonnes résolutions

Cédric Cartau , le lun. 04 janvier 2021 : Traditionnellement, le premier article de janvier est dédié à la fois au bilan des 12 mois écoulés, et aux bonnes résolutions de l’année à venir.Lire la suite ...

Un établissement de santé finlandais attaqué : des patients rançonnés

Charles Blanc-Rolin , le mar. 29 décembre 2020 : L’histoire est ressortie dans la presse récemment [1] : un groupe de 25 cliniques privées spécialisé dans le domaine de la psychiatrie a été victime d’une intrusion dans son système d’information et a reçu une demande de rançon à la fin du mois d’octobre [2].Lire la suite ...

2020, bilan d’une année

Cédric Cartau , le mar. 29 décembre 2020 : C’est l’heure du bilan d’une annus horribilis, à tout point de vue.Lire la suite ...

Une méga-cyberattaque contre les US : de la cyber comme fossoyeur de nos civilisations

Cédric Cartau , le mar. 22 décembre 2020 : Une cyberattaque de cette ampleur n’arrive pas tous les jours. C’est pourtant ce qui vient de se produire – et apparemment elle est toujours en cours, au moins partiellement – contre les US.Lire la suite ...

Ma lettre au père Noël

Cédric Cartau , le mar. 22 décembre 2020 : Cher père Noël, comme tous les ans je t’écris car j’ai été encore hypersage, bien plus que d’habitude. Non, ce n’est pas l’âge, c’est juste la crise sanitaire.Lire la suite ...

Mise à mort de CentOS : coup dur pour la communauté du libre, pour les RSSI et les SI en général

Charles Blanc-Rolin , le mer. 16 décembre 2020 : C’est une véritable bombe qui a été lâchée sur la communauté du libre le 8 décembre dernier ! Le pingouin a pris du plomb dans l’aile. Alors que sa fin de vie avait initialement été annoncée pour le 31/12/2029, CentOS 8 voit sa fin de vie avancée au 31/12/2021 ! [1]  Lire la suite ...

Démarche ISO 27001 : la lettre et l’esprit

Cédric Cartau , le mar. 15 décembre 2020 : Après les dernières attaques cyber touchant le monde de la santé, on ne peut manquer de s’interroger sur les dispositions prises dans les établissements publics ou privés pour sécuriser les accès distants des fournisseurs (celui des agents est un autre sujet). Comptes d’accès jamais clôturés, accès jamais audités, procédures internes aux fournisseurs plus que perfectibles (pour être poli), le moins que l’on puisse dire est qu’il s’agit d’un domaine pour lequel la sécurité des SI est… Comment dirais-je ? Sujette à amélioration (pour être très poli).Lire la suite ...

Ça n’arrive pas qu’aux autres : retour sur quelques incidents de sécurité insolites

Charles Blanc-Rolin , le mar. 08 décembre 2020 : Le but de ce billet n’est absolument pas d’accabler les victimes de ces incidents, ni leurs prestataires, même si l’on pourrait dans certains cas attendre un peu mieux de leur part… mais de nous faire réfléchir sur nos pratiques, nos croyances et les contrôles que nous pourrions mettre en place pour nous assurer que nos prestataires sont à la hauteur de nos espérances.Lire la suite ...

Dedalus victime d’une attaque cyber

Cédric Cartau , le mar. 08 décembre 2020 : Le mercredi 2 décembre dernier, le groupe Dedalus faisait l’objet d’une attaque informatique dont, du reste, on ne connaît pas grand-chose. Rien que de très banal en termes d’actualité cyber : ce n’est pas la première entreprise à se faire attaquer et ce ne sera malheureusement pas la dernière. Personnellement je me garderais bien de jouer les donneurs de leçons ; qui peut raisonnablement affirmer qu’il ne sera jamais, ô grand jamais, victime d’une attaque ciblée, d’un ransomware, etc. ?Lire la suite ...

Le modèle INFRAM pour évaluer les infrastructures réseaux

Frédéric Aguilar, Extreme Networks, le lun. 07 décembre 2020 : Pour faire face aux changements juridiques, aux demandes des consommateurs et à d'autres facteurs, le secteur de la santé parie, lui aussi, sur la transformation numérique, et de nombreux organismes de santé envisagent d'investir dans des infrastructures informatiques pour soutenir les nouvelles technologies.Lire la suite ...

Zerologon : retour sur l’application du correctif de Microsoft

Charles Blanc-Rolin, le mar. 01 décembre 2020 : Vous avez été plusieurs à m’interpeller concernant le correctif publié en août par Microsoft pour la vulnérabilité CVE-2020-1472 (Zerologon) concernant le protocole d’authentification Netlogon. Pour rappel, plusieurs POCs disponibles publiquement permettent d’exploiter la vulnérabilité [1] et certains attaquants comme ceux derrière le rançongiciel Ryuk ne se privent pas pour l’utiliser et compromettre l’ensemble du SI et chiffrer un maximum de données [2]. Cette information est notamment rappelée dans un rapport publié le 30 novembre par le CERT-FR de l’ANSSI [3].Lire la suite ...

Cadrer les opérations des admins sur les systèmes

Cédric Cartau, le lun. 30 novembre 2020 : Les administrateurs systèmes (adminsys) disposent – par définition – de droits techniques étendus et, de ce fait, peuvent tout voir, tout surveiller, tout modifier : c’est même la raison pour laquelle on les paye. Dans l’immense majorité des cas, il n’en résulte aucune espèce de problème, mais cela dit, sans tomber dans la paranoïa, il ne faut pas pour autant négliger de cadrer leurs prérogatives : la confiance n’exclut pas le contrôle.Lire la suite ...

Chrome, Windows, iOS, sortez la boite de pansements !

Charles Blanc-Rolin, le mer. 18 novembre 2020 : Il est assez rare de voir autant de vulnérabilités zero day corrigées en aussi peu de temps. Google publie des correctifs de sécurité pour Chrome, autant qu’un curé pourrait en bénir, si bien qu’il devient de plus en plus rare qu’il passe plus d’une semaine entre deux patches…Lire la suite ...

De la maturité des organisations à l’aune du critère de priorisation – Volet 3

Cédric Cartau, le mar. 17 novembre 2020 : Dans un premier volet, nous avons abordé la question de la priorisation, ou l’ordonnancement dans le traitement des demandes selon cinq modes. Dans un deuxième volet, nous avons poursuivi l’inventaire de ces modes. Voici maintenant le dernier volet de cette introspection sur les modes de priorisation.Lire la suite ...

Vers la fin de l’obligation de conservation des logs Internet ?

Cédric Cartau, le mar. 17 novembre 2020 : Petite bombe dans le domaine juridique en matière de SSI, la CJUE vient de déclarer illégale la réglementation française qui impose à tous les acteurs de conserver les logs de connexion et de navigation Internet des citoyens/usagers. Un article de Winston Maxwell(1) traite la question. Il est court et vaut vraiment la peine d’être lu en détail.  Lire la suite ...

De la maturité des organisations à l’aune du critère de priorisation – Volet 2

Cédric Cartau, le mar. 10 novembre 2020 : Poursuivons l’inventaire des modes de priorisation entamé au volet précédent (1)Lire la suite ...

De la maturité des organisations à l’aune du critère de priorisation – Volet 1

Cédric Cartau, le mar. 03 novembre 2020 : Depuis qu’il y a quelques années je suis tombé, je ne sais même plus comment, sur Les Décisions absurdes de Christian Morel, l’observation du fonctionnement des organisations, de leurs travers et de leurs dérives est devenue un dada inépuisable. Je suppose qu’un entomologiste doit ressentir à peu près la même chose en examinant une colonie d’insectes captivés par le prochain bout de bois à déplacer, le prochain morceau de sucre à acheminer jusqu’à la colonie, sans parler de la reine dont il faut satisfaire les moindres besoins.  Lire la suite ...

Ryuk le retour : après UHS et Sopra Steria, le secteur de la santé en ligne de mire

Charles Blanc-Rolin, le lun. 02 novembre 2020 : Après un retour fracassant en compromettant fin septembre le système d’information d’UHS (Universal Health Services) [1], une chaîne de 400 établissements de santé et le SI du géant de l’IT français, Sopra Steria le 20 octobre [2], le rançongiciel Ryuk ciblerait à nouveau le secteur de la santé d’après une alerte émise conjointement par le CISA (« l’ANSSI américaine »), le FBI et le HHS (« Ministère américain de la santé ») [3].Lire la suite ...

Effacer ses données : les briser menu ou jeter la clé ?

Cédric Cartau, le mar. 27 octobre 2020 : Il y a quelque temps, un de mes disques durs perso tombe en rade : le truc bête, le bruit de la tête du peigne de lecture qui couine dans le boîtier, deux ou trois redémarrages à la sauvage, rien n’y fait, le Mac ne reconnaît plus le disque. Bref, au bout de cinq minutes je savais à quoi m’en tenir : HS et plus rien à en tirer. Bon, ce n’était jamais que mon disque de sauvegarde, celui où je stocke toutes les versions de Blanche-Neige et l’intégrale de Fritz Lang (dans le domaine public, n’allez pas vous imaginer que je télécharge sur des sites illégaux !), mais il fallait tout de même en changer. 150 euros les 3 To à la Fédération nationale d’achat des cadres, mieux que de passer du temps à tenter une réparation hasardeuse, Avant de mettre le disque à la poubelle, dans l’éventualité où un malfaisant viendrait me chiper mes fichiers, ni une ni deux, je décide de procéder à un effacement définitif des données. Et c’est là que les choses se compliquent singulièrement.Lire la suite ...

Les Assises 2020 : Guillaume Poupard positif, mais pas naïf

Charles Blanc-Rolin, le lun. 26 octobre 2020 : Les Assises de la sécurité, rendez-vous incontournable des acteurs du domaine de la sécurité numérique fondé par Gérard Rio, fêtaient leur 20e anniversaire cette année ! Malgré le contexte, les bougies ont pu être soufflées « en vrai » !Lire la suite ...

Comment associer économie, performance et sécurité dans les achats IT ?

ITLAW Avocats & PRAGMA 9, le lun. 26 octobre 2020 : La crise sanitaire a accéléré les achats IT dans le secteur de la santé en soulignant l’important du lien entre digitalisation et performance des offres de soins. Lire la suite ...

Au secours, je ne sais pas quoi faire de mon DPO !

Cédric Cartau, le mar. 20 octobre 2020 : Je suis tombé à plusieurs reprises sur des discussions ou des remarques qui laissent à penser que certains décideurs – responsables métiers, directions générales, etc. – à qui le RGPD a mis un DPO dans les mains ne savent pas trop quoi faire de ce dernier. Des formations aux directions MOA internes ? Un recensement exhaustif des fichiers Excel qui se baladent sur les postes de travail ? De la paperasse avec la Cnil ? Rien de tout cela en fait : les attributions du DPO sont tout autres ; il est utile à beaucoup mieux.Lire la suite ...

Quand la justice américaine définit la Politique de Sécurité des SI d’un assureur santé

Charles Blanc-Rolin, le lun. 12 octobre 2020 : Si le nom de l’assureur santé Anthem ne vous dit rien, vous vous souvenez peut-être de cette énorme fuite de données de santé qui concernait près de 79 millions d’assurés. Rappelez-vous, en 2017, Anthem avait été condamné à verser 115 millions de dollars de dommages et intérêts aux victimes ayant participé au recours collectifs à l’encontre de l’assureur. L’an passé, le Ministère de la justice américain publiait un acte d’accusation à l’encontre de deux ressortissant Chinois accusés d’avoir participé à l’intrusion dans le SI d’Anthem et l’exfiltration des données des assurés entre 2014 et 2015 [1].Lire la suite ...

En direct de l’Apssis 2020

Cédric Cartau, le jeu. 01 octobre 2020 :    Lire la suite ...

Faut-il chiffrer les données de son DPI ? Volet 3 (fin)

Cédric Cartau, le mar. 29 septembre 2020 : Dans le premier volet, nous avons examiné la question du chiffrement des données du DPI en reposant les fondamentaux : la différence entre le moyen et le besoin, et surtout la notion de chiffrement et de couche technique. Dans le deuxième volet, nous avons abordé les conséquences de la première loi selon laquelle le chiffrement ne protège que des attaques sur les couches inférieures, et surtout les conséquences de cette loi concernant le chiffrement des données contre les accès des informaticiens.Lire la suite ...

Stop Covid : une appli en quête de sauvetage

Me Omar Yahia , le mar. 29 septembre 2020 : Dans un avis rendu le 15 septembre dernier, le comité de contrôle et de liaison Covid-19 (CCL-Covid) a comparé la France à l’Allemagne, s’agissant du nombre de téléchargements d’une application de traçage numérique et le résultat est édifiant : « En Allemagne, une application de traçage numérique, bien que partiellement dépendante d’Apple ou de Google, a été téléchargée 18 millions de fois ». Lire la suite ...

Un rançongiciel tue une patiente, Emotet, Zerologon encore et toujours… XP s’évapore...

Charles Blanc-Rolin, le dim. 27 septembre 2020 : Un hôpital allemand victime d’un rançongiciel : une patiente décédéeLire la suite ...

Faut-il chiffrer les données de son DPI ? – Volet 2

Cédric Cartau, le mar. 22 septembre 2020 : Dans le premier volet, nous avons examiné la question du chiffrement des données du DPI en reposant les fondamentaux : la différence entre le moyen et le besoin, et surtout la notion de chiffrement et de couche technique.Lire la suite ...

Zerologon : est-il vraiment urgent de patcher ses contrôleurs AD ?

Charles Blanc-Rolin, le mar. 22 septembre 2020 : Si vous étiez en congés, ou tout simplement déconnecté, la semaine dernière, le CERT-FR de l’ANSSI a publié deux alertes en lien avec la vulnérabilité CVE-2020-1472, également baptisée « Zerologon » [1]. Si vous êtes attentif aux vulnérabilités critiques corrigées dans le fameux « patch tuesday » de Microsoft, vous vous rappelez certainement de cette vulnérabilité affectant l’implémentation du protocole d’authentification Netlogon Remote Protocol (MS-NRPC) dans les contrôleur de domaine Windows, corrigée au mois d’août [2].Lire la suite ...

Faut-il chiffrer les données de son DPI – Volet1

Cédric Cartau, le mar. 15 septembre 2020 : Il est de ces sujets qui reviennent périodiquement, on ne sait trop pourquoi, comme ces modes vestimentaires étranges. La question du chiffrement des données des progiciels métier – ici, le Dossier Patient Informatisé – en fait partie. Ce n’est pas que la question soit ou non pertinente ou d’actualité, c’est juste que, posée telle quelle, elle n’a pas de sens. Voici pourquoi.Lire la suite ...

Emotet : qui est ce démon qui vient hanter les nuits des RSSI ?

Charles Blanc-Rolin, le mar. 15 septembre 2020 : Depuis une semaine, suite à l’alerte lancée par le CERT-FR de l’ANSSI [1], il est la star de tous les magazines people de l’IT ! Mais qui est Emotet ?Lire la suite ...

Adista lance Oppidom Drive&Share, un Framework collaboratif autour des données de santé

Sébastien DEON, Adista , le ven. 11 septembre 2020 : Par Sébastien DEON, Directeur des Offres e-Santé chez Adista Lire la suite ...

Rentrée d’enfer pour les RSSI : pas le temps de finir de se raconter les vacances que l’on se fait déjà attaquer !

Charles Blanc-Rolin, le mar. 08 septembre 2020 : Les souliers neufs chaussés, le masque haute couture sur le nez et le cartable tendance à peine enfilé qu’il faut déjà commencer à éviter les balles ! Alors que l’on tente de faire un point sur les actualités de l’été à ne pas rater, le CERT-FR de l’ANSSI nous annonce déjà des orages cyber !Lire la suite ...

La sécurité des SI n’existe pas

Cédric Cartau, le mar. 08 septembre 2020 : L’Histoire – avec un grand H – n’existe pas.Lire la suite ...

Télémédecine : un cadre assoupli

Mme Laora Tilman, le lun. 07 septembre 2020 : Dans le cadre de la lutte contre l’épidémie de Covid-19, le gouvernement avait décidé d’assouplir de manière temporaire les conditions d’exercice des téléconsultations, afin de limiter les déplacements au sein des cabinets médicaux (décret n° 2020-227 du 9 mars 2020 « adaptant les conditions du bénéfice des prestations en espèces d’assurance maladie et de prise en charge des actes de télémédecine pour les personnes exposées au Covid-19 », décret n° 2020-277 du 19 mars 2020 « modifiant le décret n° 2020-73 du 31 janvier 2020 portant adoption de conditions adaptées pour le bénéfice des prestations en espèces pour les personnes exposées au coronavirus », et arrêté du 23 mars 2020 « prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de Covid-19 dans le cadre de l’état d’urgence sanitaire »).Lire la suite ...

La Cnil publie trois nouveaux référentiels sur la conservation des données de santé

Me Noémie Mandin-Lafond, le mar. 01 septembre 2020 : Trois nouveaux référentiels sur la conservation des données de santé ont été mis en ligne sur le site de la Commission nationale de l’informatique et des libertés (Cnil) le 28 juillet dernier. Leur objectif est d’aider les responsables de traitement concernés dans la gestion des traitements courants des cabinets médicaux et paramédicaux ainsi que dans le choix de la durée de conservation des données.  Lire la suite ...

La nécessaire culture du risque

Cédric Cartau, le mar. 01 septembre 2020 : L’affaire du Covid n’est pas encore terminée – nous sommes à la veille de la rentrée scolaire, et tout le monde se demande bien comment le mois de septembre va tourner, en bien ou en mal –, mais il y a au moins un élément indiscutable : il est possible d’analyser la situation sanitaire exceptionnelle selon différents angles, qui ne sont d’ailleurs pas forcément incompatibles.Lire la suite ...

Été 2020, une rentrée à fond à fond à fond

Cédric Cartau, le mer. 26 août 2020 : Ça y est, l’été est fini et bien fini, il est temps de remettre les mocassins, les costumes et les cravates pour reprendre le cours « normal » de nos activités.Lire la suite ...

La rentrée se prépare : ChopChop pourrait bien enrichir le cartable du RSSI

Charles Blanc-Rolin, le mer. 19 août 2020 : La fin des vacances approche, l’heure est à l’achat des dernières fournitures scolaires, alors s’il  reste un peu de place entre la trousse et les cahiers dans votre cartable, je vous propose de l’enrichir avec ChopChop [1], un outil libre récemment partagé par le groupe Michelin sous licence Apache 2.0.Lire la suite ...

2020, bilan à mi-parcours

Cédric Cartau, le mar. 11 août 2020 : L’année 2020 aura été bizarre, confinement oblige. Ce n’est pas pour autant qu’il ne s’est rien passé, et ce n’est pas pour autant que les gendarmes et les voleurs (comprendre RSSI et hackers) se sont tournés les pouces – surtout pour les seconds. Bilan de la première moitié de l’année.Lire la suite ...

Cahier de vacances : navigateurs Web et nouveautés, comment bien préparer la rentrée ?

Charles Blanc-Rolin, le jeu. 30 juillet 2020 : Les RSSI ne s’arrêtant jamais vraiment, je vous propose un cahier de vacances sur le thème des nouveautés à connaître qui sont et vont être implémentées dans les navigateurs Web et ce sur quoi il va falloir se pencher à la rentrée si ce n’est pas déjà fait...Lire la suite ...

Mise en conformité avec le RGPD : un « kit » est lancé par l’Anap

Me Noémie Mandin-Lafond, le mar. 28 juillet 2020 : L'Agence nationale d'appui à la performance des établissements de santé et médico-sociaux (Anap) vient de publier un kit à destination de l’ensemble des structures sanitaires et médico-sociales, rassemblant les ressources utiles pour leur permettre une mise en conformité avec le règlement général sur la protection des données (RGPD). Lire la suite ...

Incident IT à La Poste

Cédric Cartau, le lun. 27 juillet 2020 : Pendant 48h, le site www.laposte.fr (et tous ses avatars) ont été totalement inaccessibles. Quels que soient le navigateur, l’OS, rien, nada : toujours la même page d’erreur d’accès au site. En cause : un problème de révocation de certificat (le détail se trouve ici[1]), manifestement une révocation faite par erreur.    Lire la suite ...

Invalidation du Privacy Shield – ça va piquer un peu

Cédric Cartau, le mar. 21 juillet 2020 : Certains admirent les acteurs de cinéma célèbres, les pilotes de chasse, les baroudeurs ou les artistes rock. OK, OK, je respecte, chacun son truc. Moi, ce que j’adore, ce sont les teignes. Le genre qui fiche le bazar partout où il passe, le style de Détritus dans La Zizanie(je vous conseille de lire ou de relire les premières pages, c’est énorme) ou de Jacques Brel dans L’Emmerdeur.Lire la suite ...

Privacy Shield invalidé, EARN IT Act, LAED Act… : say goodbye aux hébergeurs américains ?

Charles Blanc-Rolin, le lun. 20 juillet 2020 : Je ne sais pas si les projets de lois ubuesques imaginés par une poignées de sénateurs américains ont fait pencher la balance, mais la Cour de Justice de l’Union Européenne a invalidé jeudi 16 juillet, le « Privacy Shield », cet accord permettant de transférer les données à caractère personnel des ressortissants européens vers les États-Unis [1].Lire la suite ...

Point sur les incidents de sécurité des SI de santé signalés en 2019

Charles Blanc-Rolin, le mer. 15 juillet 2020 : Pour rappel, la déclaration de tout incident de sécurité sur un SI de santé ayant des conséquences potentielles ou avérées sur la sécurité des soins, la disponibilité, l’intégrité ou la confidentialité des données de santé ou encore sur le fonctionnement normal de l’établissement est obligatoire depuis le 1er octobre 2017 [1].Lire la suite ...

Réflexions métaphysico-virales

Cédric Cartau, le mer. 15 juillet 2020 : Entre deux cornets de glace, coup de soleil estival et irritation due à mes tongs toutes neuves, il reste un moment pour des réflexions de fond sur des sujets variés.Lire la suite ...

Crise du Covid-19 : L’élargissement de la télésurveillance du diabète et l’ouverture de la télémédecine aux pharmaciens d'officine

Me Noémie Mandin-Lafond, le mar. 07 juillet 2020 : Nous le savons, dans le contexte exceptionnel de la lutte contre l’épidémie de Covid-19, les autorités sanitaires ont publié, depuis fin janvier 2020, une série de décrets visant à faciliter l’accès à la télémédecine et aux outils numériques de suivi.Lire la suite ...