En accès libre, retrouvez le dossier cybersécurité en santé de DSIH Magazine !

Les autorités et les directions ont-elles tiré les leçons des cyberattaques qui ont touché plusieurs hôpitaux ces dernières années ? Le programme CaRE, dont l’enveloppe budgétaire est inédite, semble le montrer. Sa mise en place fera partie des grands rendez-vous de 2024, avec la préparation des JO et l’application de la directive NIS 2. Plus que jamais, la cybersécurité est au cœur de l’actualité. En donnant la parole aux acteurs nationaux, régionaux et locaux, on voit se dessiner l’organisation qui va piloter l’installation progressive de routines devant conduire à un management proactif et efficient de la sécurité numérique et à un plus haut niveau de résilience.

Le dossier spécial sur la sécurité des SI de santé a été coordonné par Vincent Trély, président de l’Apssis. Ce dossier est extrait du dernier numéro de DSIH (N°41 – Février 2024).

RSSI cherche Maîtrise d’ouvrage désespérément !

2024 sera sans nul doute une année exceptionnelle pour la dynamique cybersécurité du système de santé. Le Programme CaRE[1], aboutissement d’une année de travail et de concertation, est à la hauteur des enjeux et corrélé aux diagnostics partagés depuis plus de 5 ans. 750 millions d’euros vont être consacrés à la sécurisation des SI de santé, distribués sur 4 ans, pour répondre à 20 objectifs déclinant 4 axes : gouvernance et résilience, ressources et mutualisation, sensibilisation à tous les niveaux et sécurité opérationnelle.

Protéger son SIH, pas de formule magique, juste un retour aux fondamentaux

Tous les DSI et RSSI ont cette question en tête : « Comment se protéger de la menace cyber ? ».

Et si, pour y parvenir, il suffisait de revenir aux fondamentaux ? C’est le choix fait par le CH Henri Laborit (86) depuis des années et les résultats sont là : lors du dernier pentest, les consultants n’ont pas réussi à compromettre l’AD. Ils n’ont d’ailleurs pas réussi à faire grand-chose, pourtant ce n’est pas faute d’avoir essayé ! Un miracle ? Pas du tout ! Merlin l’Enchanteur et Harry Potter n’ont qu’à bien se tenir ! Ici, pas de formule magique, simplement un retour aux fondamentaux.

Cybersécurité : A quoi doit s’attendre le secteur de la santé en 2024

D’ici quelques mois 2023 touchera à sa fin. Cette année, les établissements de santé sont restés l’une des cibles privilégiées des hackers. Des brèches majeures ont impacté plusieurs d’entre eux : l’AP-HP, le CHU de Rennes, les hôpitaux de Vittel et Neufchâteau, pour ne citer qu’eux. Afin de mieux protéger leur organisation face à l’évolution constante des menaces, les professionnels IT et sécurité des établissements de soins doivent absolument tirer les leçons des attaques subies. Voici les cinq prédictions d’Armis pour la cybersécurité du secteur de la santé en 2024.

Supply chain attacks : a-t-on exploré toutes les conséquences de notre dépendance aux prestataires ?

Le terme « supply chain attacks » raisonne vraiment dans le petit monde de la cyber depuis bientôt trois ans, faisant suite à l’affaire « SolarWinds »1. Souvenez-vous, le 8 décembre 2020, avant de devenir Mandiant et se faire re-racheter par Google, la société américaine FireEye, annonçait avoir été victime d’une intrusion dans son système d’information via le code malveillant baptisé « SunBurst » et d’une exfiltration de ses outils utilisés par ses équipes offensives. Évidemment, une importante entreprise de cybersécurité qui annonce s’être fait compromettre, ça a fait beaucoup rire dans le secteur à l’époque. Mais pas longtemps.

Health Threat Landscape - ENISA

L'Agence de l'Union européenne pour la cybersécurité (ENISA) publie sa première analyse du paysage des cybermenaces du secteur de la santé dans l'UE. Le rapport vise à apporter de nouvelles informations sur la réalité du secteur de la santé en cartographiant et en étudiant les cyberincidents de janvier 2021 à mars 2023. Il identifie les principales menaces, acteurs, impacts et tendances en se basant sur l'analyse des cyberattaques ciblant les organisations de santé sur une période de plus de 2 ans.

Plan blanc numérique – Etablissements de santé – Guide d’aide à la préparation

Le 30 juin2023, le ministère de la Santé et de la Prévention et la DGOS ont publié au Bulletin officiel Santé-Protection sociale-Solidarité un guide d’aide à la préparation au volet numérique du plan blanc.

Les incidents numériques et notamment les cyberattaques se sont multipliés et touchent les établissements de santé. Dans le secteur de la santé, les signalements de ces incidents ont doublé en 2021 par rapport à 2019 et 2020. La sécurité des systèmes d’information et le traitement des incidents sont devenus une priorité pour les pouvoirs publics dans la mesure où ces attaques peuvent directement menacer non seulement la sécurité du système d’information de l’établissement, mais également la sécurité des patients pris en charge.

Il est donc nécessaire d’élaborer un volet numérique dans le plan de gestion des tensions hospitalières et des situations sanitaires exceptionnelles qui décrit les mesures activables en fonction de la nature, de l’ampleur et de la cinétique de l’incident numérique (panne, cyberattaque…). Ce volet numérique vise également à identifier les mesures à mettre en œuvre en amont pour adopter des stratégies de défense en adéquation avec le paysage actuel des menaces. Ce guide d’aide à la préparation du risque numérique vise à fournir un cadre méthodologique et pratique pour prévenir le risque numérique et adopter une conduite collective visant à gérer et sortir au mieux d’une crise numérique en se reposant sur la réglementation et en faisant référence aux outils techniques existants.

Ce guide d’aide à la préparation du risque numérique est composé de trois parties.

Il est possible de géolocaliser n’importe quel utilisateur Teams (et plus encore...) : quels sont les risques et comment se protéger ?

Depuis la crise sanitaire ayant débuté en 2020, l’application Teams de Microsoft est totalement rentrée dans les mœurs. Échanges avec les proches pendant les périodes de confinement, démocratisation du télétravail, multiplication des réunions en distanciel, les cas d’usages ne manquent pas. L’utilisation de Teams dans le cadre de téléconsultations a même été « tolérée » en France au début de la pandémie. Même si Microsoft dispose d’une certification HDS, lui permettant de proposer à ses clients français du secteur de la santé, un service d’hébergement de données de santé, le service Teams ne rentre pas dans cette case.

Par Charles BLANC - ROLIN - Chef de projet sécurité numérique - GRADES Pays de la Loire et Vice-Président de l'APSSIS & Maître Omar YAHIA - Avocat et Vice-Président de l'APSSIS

Parcours Expert Sécurité des SI 2023 (SANTEXPO) : les inscriptions sont ouvertes !

Pour sa 9ème édition, le parcours Expert Sécurité des SI 2023 proposera le mardi 23 mai 2023, un circuit de 5 visites de 20 minutes chacune, chez 5 acteurs présents sur le domaine de la cybersécurité en santé. Animé par l’APSSIS et conduit par Charles Blanc-Rolin, Vice-Président de l’Association, l’objectif du Parcours Sécurité des SI est d’offrir l’opportunité aux acteurs engagés dans la cybersécurité (directeurs, ingénieurs, RSSI, experts…) de bénéficier de focus coordonnés sur les thématiques d’actualité !

CATALOGUE DE SOLUTIONS ET DE SERVICES HEXATRUST 2023

Les offres et solutions Hexatrust répondent toutes à des exigences techniques de maturité et d’excellence. Elles sont reconnues en Europe et à l’international par les plus grandes organisations et s’inscrivent dans des logiques de certification et de souveraineté.

Les sociétés membres d’Hexatrust œuvrent ensemble pour promouvoir et construire la confiance dans le Cloud et l’excellence en matière de Cybersécurité, et contribuent ainsi au rayonnement numérique européen.

?>