Vous êtes dans : Accueil > Actualités >

TRIBUNES LIBRES

Effacer ses données : les briser menu ou jeter la clé ?

Cédric Cartau, le mar. 27 octobre 2020 : Il y a quelque temps, un de mes disques durs perso tombe en rade : le truc bête, le bruit de la tête du peigne de lecture qui couine dans le boîtier, deux ou trois redémarrages à la sauvage, rien n’y fait, le Mac ne reconnaît plus le disque. Bref, au bout de cinq minutes je savais à quoi m’en tenir : HS et plus rien à en tirer. Bon, ce n’était jamais que mon disque de sauvegarde, celui où je stocke toutes les versions de Blanche-Neige et l’intégrale de Fritz Lang (dans le domaine public, n’allez pas vous imaginer que je télécharge sur des sites illégaux !), mais il fallait tout de même en changer. 150 euros les 3 To à la Fédération nationale d’achat des cadres, mieux que de passer du temps à tenter une réparation hasardeuse, Avant de mettre le disque à la poubelle, dans l’éventualité où un malfaisant viendrait me chiper mes fichiers, ni une ni deux, je décide de procéder à un effacement définitif des données. Et c’est là que les choses se compliquent singulièrement.Lire la suite ...

Les Assises 2020 : Guillaume Poupard positif, mais pas naïf

Charles Blanc-Rolin, le lun. 26 octobre 2020 : Les Assises de la sécurité, rendez-vous incontournable des acteurs du domaine de la sécurité numérique fondé par Gérard Rio, fêtaient leur 20e anniversaire cette année ! Malgré le contexte, les bougies ont pu être soufflées « en vrai » !Lire la suite ...

Comment associer économie, performance et sécurité dans les achats IT ?

ITLAW Avocats & PRAGMA 9, le lun. 26 octobre 2020 : La crise sanitaire a accéléré les achats IT dans le secteur de la santé en soulignant l’important du lien entre digitalisation et performance des offres de soins. Lire la suite ...

Au secours, je ne sais pas quoi faire de mon DPO !

Cédric Cartau, le mar. 20 octobre 2020 : Je suis tombé à plusieurs reprises sur des discussions ou des remarques qui laissent à penser que certains décideurs – responsables métiers, directions générales, etc. – à qui le RGPD a mis un DPO dans les mains ne savent pas trop quoi faire de ce dernier. Des formations aux directions MOA internes ? Un recensement exhaustif des fichiers Excel qui se baladent sur les postes de travail ? De la paperasse avec la Cnil ? Rien de tout cela en fait : les attributions du DPO sont tout autres ; il est utile à beaucoup mieux.Lire la suite ...

Quand la justice américaine définit la Politique de Sécurité des SI d’un assureur santé

Charles Blanc-Rolin, le lun. 12 octobre 2020 : Si le nom de l’assureur santé Anthem ne vous dit rien, vous vous souvenez peut-être de cette énorme fuite de données de santé qui concernait près de 79 millions d’assurés. Rappelez-vous, en 2017, Anthem avait été condamné à verser 115 millions de dollars de dommages et intérêts aux victimes ayant participé au recours collectifs à l’encontre de l’assureur. L’an passé, le Ministère de la justice américain publiait un acte d’accusation à l’encontre de deux ressortissant Chinois accusés d’avoir participé à l’intrusion dans le SI d’Anthem et l’exfiltration des données des assurés entre 2014 et 2015 [1].Lire la suite ...

En direct de l’Apssis 2020

Cédric Cartau, le jeu. 01 octobre 2020 :    Lire la suite ...

Faut-il chiffrer les données de son DPI ? Volet 3 (fin)

Cédric Cartau, le mar. 29 septembre 2020 : Dans le premier volet, nous avons examiné la question du chiffrement des données du DPI en reposant les fondamentaux : la différence entre le moyen et le besoin, et surtout la notion de chiffrement et de couche technique. Dans le deuxième volet, nous avons abordé les conséquences de la première loi selon laquelle le chiffrement ne protège que des attaques sur les couches inférieures, et surtout les conséquences de cette loi concernant le chiffrement des données contre les accès des informaticiens.Lire la suite ...

Stop Covid : une appli en quête de sauvetage

Me Omar Yahia , le mar. 29 septembre 2020 : Dans un avis rendu le 15 septembre dernier, le comité de contrôle et de liaison Covid-19 (CCL-Covid) a comparé la France à l’Allemagne, s’agissant du nombre de téléchargements d’une application de traçage numérique et le résultat est édifiant : « En Allemagne, une application de traçage numérique, bien que partiellement dépendante d’Apple ou de Google, a été téléchargée 18 millions de fois ». Lire la suite ...

Un rançongiciel tue une patiente, Emotet, Zerologon encore et toujours… XP s’évapore...

Charles Blanc-Rolin, le dim. 27 septembre 2020 : Un hôpital allemand victime d’un rançongiciel : une patiente décédéeLire la suite ...

Faut-il chiffrer les données de son DPI ? – Volet 2

Cédric Cartau, le mar. 22 septembre 2020 : Dans le premier volet, nous avons examiné la question du chiffrement des données du DPI en reposant les fondamentaux : la différence entre le moyen et le besoin, et surtout la notion de chiffrement et de couche technique.Lire la suite ...

Zerologon : est-il vraiment urgent de patcher ses contrôleurs AD ?

Charles Blanc-Rolin, le mar. 22 septembre 2020 : Si vous étiez en congés, ou tout simplement déconnecté, la semaine dernière, le CERT-FR de l’ANSSI a publié deux alertes en lien avec la vulnérabilité CVE-2020-1472, également baptisée « Zerologon » [1]. Si vous êtes attentif aux vulnérabilités critiques corrigées dans le fameux « patch tuesday » de Microsoft, vous vous rappelez certainement de cette vulnérabilité affectant l’implémentation du protocole d’authentification Netlogon Remote Protocol (MS-NRPC) dans les contrôleur de domaine Windows, corrigée au mois d’août [2].Lire la suite ...

Faut-il chiffrer les données de son DPI – Volet1

Cédric Cartau, le mar. 15 septembre 2020 : Il est de ces sujets qui reviennent périodiquement, on ne sait trop pourquoi, comme ces modes vestimentaires étranges. La question du chiffrement des données des progiciels métier – ici, le Dossier Patient Informatisé – en fait partie. Ce n’est pas que la question soit ou non pertinente ou d’actualité, c’est juste que, posée telle quelle, elle n’a pas de sens. Voici pourquoi.Lire la suite ...

Emotet : qui est ce démon qui vient hanter les nuits des RSSI ?

Charles Blanc-Rolin, le mar. 15 septembre 2020 : Depuis une semaine, suite à l’alerte lancée par le CERT-FR de l’ANSSI [1], il est la star de tous les magazines people de l’IT ! Mais qui est Emotet ?Lire la suite ...

Adista lance Oppidom Drive&Share, un Framework collaboratif autour des données de santé

Sébastien DEON, Adista , le ven. 11 septembre 2020 : Par Sébastien DEON, Directeur des Offres e-Santé chez Adista Lire la suite ...

Rentrée d’enfer pour les RSSI : pas le temps de finir de se raconter les vacances que l’on se fait déjà attaquer !

Charles Blanc-Rolin, le mar. 08 septembre 2020 : Les souliers neufs chaussés, le masque haute couture sur le nez et le cartable tendance à peine enfilé qu’il faut déjà commencer à éviter les balles ! Alors que l’on tente de faire un point sur les actualités de l’été à ne pas rater, le CERT-FR de l’ANSSI nous annonce déjà des orages cyber !Lire la suite ...

La sécurité des SI n’existe pas

Cédric Cartau, le mar. 08 septembre 2020 : L’Histoire – avec un grand H – n’existe pas.Lire la suite ...

Télémédecine : un cadre assoupli

Mme Laora Tilman, le lun. 07 septembre 2020 : Dans le cadre de la lutte contre l’épidémie de Covid-19, le gouvernement avait décidé d’assouplir de manière temporaire les conditions d’exercice des téléconsultations, afin de limiter les déplacements au sein des cabinets médicaux (décret n° 2020-227 du 9 mars 2020 « adaptant les conditions du bénéfice des prestations en espèces d’assurance maladie et de prise en charge des actes de télémédecine pour les personnes exposées au Covid-19 », décret n° 2020-277 du 19 mars 2020 « modifiant le décret n° 2020-73 du 31 janvier 2020 portant adoption de conditions adaptées pour le bénéfice des prestations en espèces pour les personnes exposées au coronavirus », et arrêté du 23 mars 2020 « prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de Covid-19 dans le cadre de l’état d’urgence sanitaire »).Lire la suite ...

La Cnil publie trois nouveaux référentiels sur la conservation des données de santé

Me Noémie Mandin-Lafond, le mar. 01 septembre 2020 : Trois nouveaux référentiels sur la conservation des données de santé ont été mis en ligne sur le site de la Commission nationale de l’informatique et des libertés (Cnil) le 28 juillet dernier. Leur objectif est d’aider les responsables de traitement concernés dans la gestion des traitements courants des cabinets médicaux et paramédicaux ainsi que dans le choix de la durée de conservation des données.  Lire la suite ...

La nécessaire culture du risque

Cédric Cartau, le mar. 01 septembre 2020 : L’affaire du Covid n’est pas encore terminée – nous sommes à la veille de la rentrée scolaire, et tout le monde se demande bien comment le mois de septembre va tourner, en bien ou en mal –, mais il y a au moins un élément indiscutable : il est possible d’analyser la situation sanitaire exceptionnelle selon différents angles, qui ne sont d’ailleurs pas forcément incompatibles.Lire la suite ...

Été 2020, une rentrée à fond à fond à fond

Cédric Cartau, le mer. 26 août 2020 : Ça y est, l’été est fini et bien fini, il est temps de remettre les mocassins, les costumes et les cravates pour reprendre le cours « normal » de nos activités.Lire la suite ...

La rentrée se prépare : ChopChop pourrait bien enrichir le cartable du RSSI

Charles Blanc-Rolin, le mer. 19 août 2020 : La fin des vacances approche, l’heure est à l’achat des dernières fournitures scolaires, alors s’il  reste un peu de place entre la trousse et les cahiers dans votre cartable, je vous propose de l’enrichir avec ChopChop [1], un outil libre récemment partagé par le groupe Michelin sous licence Apache 2.0.Lire la suite ...

2020, bilan à mi-parcours

Cédric Cartau, le mar. 11 août 2020 : L’année 2020 aura été bizarre, confinement oblige. Ce n’est pas pour autant qu’il ne s’est rien passé, et ce n’est pas pour autant que les gendarmes et les voleurs (comprendre RSSI et hackers) se sont tournés les pouces – surtout pour les seconds. Bilan de la première moitié de l’année.Lire la suite ...

Cahier de vacances : navigateurs Web et nouveautés, comment bien préparer la rentrée ?

Charles Blanc-Rolin, le jeu. 30 juillet 2020 : Les RSSI ne s’arrêtant jamais vraiment, je vous propose un cahier de vacances sur le thème des nouveautés à connaître qui sont et vont être implémentées dans les navigateurs Web et ce sur quoi il va falloir se pencher à la rentrée si ce n’est pas déjà fait...Lire la suite ...

Mise en conformité avec le RGPD : un « kit » est lancé par l’Anap

Me Noémie Mandin-Lafond, le mar. 28 juillet 2020 : L'Agence nationale d'appui à la performance des établissements de santé et médico-sociaux (Anap) vient de publier un kit à destination de l’ensemble des structures sanitaires et médico-sociales, rassemblant les ressources utiles pour leur permettre une mise en conformité avec le règlement général sur la protection des données (RGPD). Lire la suite ...

Incident IT à La Poste

Cédric Cartau, le lun. 27 juillet 2020 : Pendant 48h, le site www.laposte.fr (et tous ses avatars) ont été totalement inaccessibles. Quels que soient le navigateur, l’OS, rien, nada : toujours la même page d’erreur d’accès au site. En cause : un problème de révocation de certificat (le détail se trouve ici[1]), manifestement une révocation faite par erreur.    Lire la suite ...

Invalidation du Privacy Shield – ça va piquer un peu

Cédric Cartau, le mar. 21 juillet 2020 : Certains admirent les acteurs de cinéma célèbres, les pilotes de chasse, les baroudeurs ou les artistes rock. OK, OK, je respecte, chacun son truc. Moi, ce que j’adore, ce sont les teignes. Le genre qui fiche le bazar partout où il passe, le style de Détritus dans La Zizanie(je vous conseille de lire ou de relire les premières pages, c’est énorme) ou de Jacques Brel dans L’Emmerdeur.Lire la suite ...

Privacy Shield invalidé, EARN IT Act, LAED Act… : say goodbye aux hébergeurs américains ?

Charles Blanc-Rolin, le lun. 20 juillet 2020 : Je ne sais pas si les projets de lois ubuesques imaginés par une poignées de sénateurs américains ont fait pencher la balance, mais la Cour de Justice de l’Union Européenne a invalidé jeudi 16 juillet, le « Privacy Shield », cet accord permettant de transférer les données à caractère personnel des ressortissants européens vers les États-Unis [1].Lire la suite ...

Point sur les incidents de sécurité des SI de santé signalés en 2019

Charles Blanc-Rolin, le mer. 15 juillet 2020 : Pour rappel, la déclaration de tout incident de sécurité sur un SI de santé ayant des conséquences potentielles ou avérées sur la sécurité des soins, la disponibilité, l’intégrité ou la confidentialité des données de santé ou encore sur le fonctionnement normal de l’établissement est obligatoire depuis le 1er octobre 2017 [1].Lire la suite ...

Réflexions métaphysico-virales

Cédric Cartau, le mer. 15 juillet 2020 : Entre deux cornets de glace, coup de soleil estival et irritation due à mes tongs toutes neuves, il reste un moment pour des réflexions de fond sur des sujets variés.Lire la suite ...

Crise du Covid-19 : L’élargissement de la télésurveillance du diabète et l’ouverture de la télémédecine aux pharmaciens d'officine

Me Noémie Mandin-Lafond, le mar. 07 juillet 2020 : Nous le savons, dans le contexte exceptionnel de la lutte contre l’épidémie de Covid-19, les autorités sanitaires ont publié, depuis fin janvier 2020, une série de décrets visant à faciliter l’accès à la télémédecine et aux outils numériques de suivi.Lire la suite ...

Confidentialité des données médicales et Covid

Cédric Cartau, le mar. 07 juillet 2020 : Dans une récente interview[1], l’éditeur Daqsan[2], spécialisé dans les analyses des accès anormaux aux données, fait part dans certains cas d’un pic de 1 000 % des détections des accès en anomalie aux dossiers des patients (DP). Selon l’éditeur, si les accès en anomalie aux données médicales des VIP ou des voisins de palier sont restés stables, ce sont surtout les accès aux DP des collègues qui ont explosé.    Lire la suite ...

Retour sur le phishing : l’article qui pique les yeux

Cédric Cartau, le mar. 30 juin 2020 : Dans un article récent(1) , Charles Blanc-Rolin entamait une classification des tentatives de phishing qui sévissent sur l’Internet. L’article classe en sept catégories ces cochonneries dont nous sommes inondés couramment : arnaque au faux support informatique, vente de masques FFP2 en ligne, etc. L’article regorge de copies d’écran et d’exemples de terrain ; sa lecture est indispensable pour tout informaticien qui se respecte.Lire la suite ...

Exchange de plus en plus ciblé : les serveurs de messagerie restent une porte d’entrée privilégiée pour les attaquants

Charles Blanc-Rolin, le mar. 30 juin 2020 : Les serveurs de messagerie sont toujours une cible de choix des attaquants. Déni de service, accès compromis au Webmail, diffusion de courriels malveillants, mais aussi et surtout, porte d’entrée dans le système d’information.Lire la suite ...

Comparatif des enjeux d’externalisation – partie 2

Cédric Cartau, le mar. 23 juin 2020 : Dans le volet précédent, nous avons examiné les raisons qui pourraient conduire à externaliser tel ou tel processus métier, bien entendu avec l’IT en tête. Déroulons maintenant les éléments qu’il faut instruire avant de s’engager dans un tel projet. Toute décision d’externalisation devrait être évaluée à l’aune de sept critères.Lire la suite ...

Ripple 20 : cataclysme réseau dans l’IOT

Charles Blanc-Rolin, le ven. 19 juin 2020 : Annoncée publiquement le 16/06/2020 par les chercheurs du laboratoire JSOF [1], Ripple 20 est une collection de 19 vulnérabilités impactant l’implémentation de la pile TCP/IP dans la librairie proposée par Treck [2]. Une présentation complète de ces travaux de recherche est prévue à la conférence Black Hat USA qui se tiendra au mois d’août [3]. Cette librairie est utilisée dans de très nombreux appareils de type IOT et notamment des dispositifs médicaux.Lire la suite ...

Masques FFP2 et SI : comparatif des enjeux d’externalisation - partie 1

Cédric Cartau, le mar. 16 juin 2020 : Une des plus importantes polémiques générées par la crise du Covid 19 est sans aucun doute la question de l’externalisation de la production des masques (FFP2, etc.), en l’occurrence en Chine, et qui a mené à la pénurie que l’on sait. Il est très facile, après coup, de jouer les donneurs de leçons sur ce sujet : comme le fait très justement remarquer Olivier Sibony (voir à ce sujet son excellente conférence ), si la question avait été aussi triviale nous n’aurions pas constaté un consensus quasi-général, à la fois national et international.Lire la suite ...

Equipements biomédicaux : La certification des appareils peut-elle garantir un haut niveau de sécurité ?

Par Renaud Bidou, Trend Micro, le lun. 15 juin 2020 : La pandémie de COVID-19 a placé les établissements de santé au cœur de l’actualité. Semaine après semaine, leurs forces vives se sont mobilisées quotidiennement pour sauver des vies. Or le caractère inédit de cette situation sanitaire et la vulnérabilité du secteur ont naturellement incité certains hackers non-éthiques à mener des cyberattaques spécifiques à l’encontre des établissements hospitaliers. Lire la suite ...

SMBGhost revient hanter les systèmes Windows 1903 et 1909

Charles Blanc-Rolin, le jeu. 11 juin 2020 : La vulnérabilité CVE-2020-0796 [1] baptisée SMBGhost n’a pas finie de faire parler d’elle et de faire passer des nuits blanches aux RSSI.Lire la suite ...

Informatique de santé, entropie et tueur en série

Cédric Cartau, le mar. 09 juin 2020 : L’entropie, c’est la mesure du désordre. Une des lois fondamentales de la thermodynamique énonce que l’entropie d’un système fermé à une tendance inexorable à augmenter. C’est pourquoi au début de l’Univers, tout était beau et bien rangé dans une boule minuscule contenant toute la matière existante, et qu’après le Grand Boum (oui d’accord, on dit le Big Bang) la matière est tout en désordre, un foutoir sans nom, les planètes par ci, les soleils par là, la gravité qui te courbe l’espace, et tout le tralala.Lire la suite ...

StopCovid : une analyse tout ce qu’il y a d’impartial

Cédric Cartau, le mar. 02 juin 2020 : Sincèrement, je pensais qu’après les ratés en série dès l’annonce de StopCovid – annonce faite sans vérifier les possibilités techniques du Bluetooth sur les iPhone entre autres – on verrait ce machin tomber lentement mais sûrement dans les oubliettes. Mais non : on va y avoir droit (force est de constater que l’on ne pourra pas reprocher un manque de constance). Petits rappels.Lire la suite ...

Sécurité versus continuité de la sécurité

Cédric Cartau, le mar. 26 mai 2020 : Il est un sujet commun à toutes les organisations (santé, armée, business, etc.) : il s’agit bien entendu de la sécurité du SI.Lire la suite ...

Ragnar Locker : des attaquants puissants et novateurs

Charles Blanc-Rolin, le mar. 26 mai 2020 : Même si j’avais déjà vu passer ce nom dans certains articles ces derniers mois, il a vraiment attiré mon attention depuis quelques semaines, après avoir ciblé un très grand groupe du secteur de l’énergie et après s’être illustré dans un billet de l’équipe sécurité de Microsoft sur le thème des rançongiciels ciblant le secteur de la santé et les services critiques [1].Lire la suite ...

SI-DEP, la schizophrénie guette le RSSI/DPO

Cédric Cartau, le lun. 18 mai 2020 : J’ai toujours adoré les curiosités de l’esprit : si vous avez une heure à perdre, je vous suggère d’aller faire un tour sur ce site[1]qui explique la diagonale de Cantor, astuce géniale avec laquelle le mathématicien allemand a démontré qu’il existait plusieurs catégories d’infini (authentique). Bon, en même temps, ne vous penchez pas trop au-dessus du précipice, le bonhomme a terminé ses jours dans un asile. Récemment, je suis tombé sur une autre curiosité avec un ouvrage de Jean-Paul Delahaye : la trompette de Torricelli, qui a la particularité d’avoir une surface infinie, mais un volume intérieur fini. On ne peut donc pas la peindre, mais on peut la remplir d’eau. Mais la remplir d’eau revient à peindre sa surface intérieure, non ?  Lire la suite ...

SI-DEP, le contact tracing n’est pas si neutre

Cédric Cartau, le mer. 13 mai 2020 : La mise en place du contact traçing est l’actualité brûlante : les hôpitaux doivent mettre en production les interfaces avec l’application nationale, le décret publié hier, la CNIL saisie qui donne son avis , le Conseil Constitutionnel qui retoque une des mesures du dispositif (en l’occurrence le fait que les données soient accessible à certains acteurs du dispositif).  Lire la suite ...

Covid-19 : quand viendra le temps du bilan sur le volet SI

Cédric Cartau, le mar. 12 mai 2020 : Le temps viendra du bilan sur la crise Covid que nous traversons tous : bilan politique, bilan sur le système de santé, bilan sur les organisations, etc. À ce sujet, lire d’ailleurs l’excellente série publiée dans le journal Le Monde sur la stratégie des différentes mandatures entre les années 2005 et 2020. On y apprend entre autres que, fin mars, la France continuait de brûler des millions de masques, en pleine pénurie.Lire la suite ...

Thunderspy : confinez vos ordinateurs portables…

Charles Blanc-Rolin, le mar. 12 mai 2020 : En cette première semaine de déconfinement, un mot encore inconnu jusque-là par nos correcteurs orthographiques, je me suis dit que nous avions bien le droit de nous « détendre » un peu en faisant une pause sur les sujets a trait au Covid-19. Parlons matériel, puisque le numérique repose dessus malgré tout, et que nous avons parfois tendance à l’oublier avec la virtualisation omniprésente aujourd’hui, ou encore le cloud, qui n’est pas un nuage, mais bien l’ordinateur de quelqu’un d’autre.Lire la suite ...

StopCovid : cas d’école de la gestion de projet défaillante

Cédric Cartau, le mar. 05 mai 2020 : Rarement une application ou un logiciel développé par la puissance publique aura connu autant de turbulences : même Parcoursup et APB n’en avaient pas pris autant dans la figure, c’est dire. Revenons-en aux fondamentaux de la gestion de projet pour une analyse objective, étant entendu qu’il ne s’agit pas de porter un jugement sur l’efficacité médicale (ce qui fait intervenir de multiples paramètres et sujet sur lequel je n’ai aucune compétence, donc aucun avis pertinent), mais sur le processus général.Lire la suite ...

Télétravail : échanger en gardant le contrôle de ses données

Charles Blanc-Rolin & Cybercercle, le mar. 05 mai 2020 : La situation sans précédent que nous vivons a clairement fait augmenter nos besoins en matière de télétravail et d’échanges numériques. De nombreuses organisations n’étaient pas prêtes, ou pas dans une telle mesure en tout cas. Accès Internet, VPN ou solution de bastion, partage de fichiers, vidéo-conférences etc... Quelle DSI peut prétendre avoir tout anticipé et permis à l’ensemble des employés de « télétravailler » en toute sécurité ?Lire la suite ...

Covid-19 : le prétexte pour se relâcher en matière de protection des données ?

Charles Blanc-Rolin & Me Omar Yahia , le mar. 28 avril 2020 : En cette période de crise et de peur généralisée, alors que certains révèlent leurs plus bas instincts en menaçant des professionnels de santé, en vandalisant leurs voitures et en allant même jusqu’à cambrioler certains cabinets dans le but de leur dérober leurs équipements de protection, comme le rappelle Le Quotidien du médecin [1],« plus je connais les hommes, plus j’aime mon chien », selon la formule de Pierre Desproges. Lire la suite ...