10ème congrès de l’APSSIS - Les RSSI en action

Le rendez-vous annuel des responsables sécurité des systèmes d’information de santé, organisé par l’APSSIS, a tenu ses promesses. Des interventions institutionnelles aux retours d’expérience en passant par les études de cas et ateliers proposés par les industriels, ce 10ème congrès a offert de nombreuses pistes d’action et de réflexion à tous les acteurs de l’écosystème.

Sécurité et efficacité opérationnelle des équipements de santé connectés - ARMIS

Ces derniers mois ont montré le dénuement de nos installations informatiques en matière de sécurisation des actifs connectés dans les établissements de santé. Les attaques des Hôpitaux de Rouen, de Paris et maintenant celle du GHT Cœur Grand Est auraient-elles pu être évitées ? Jean-Michel Tavernier, Country manager France du groupe Armis, unique société de cybersécurité à fournir une visibilité et une intelligence unifiées de tous les actifs connectés (IoT, IoMT, IIOT, etc.), propose une réflexion sur l’urgence d’une protection de nos hôpitaux (privés et publics).

RAPPORT MENACES ET INCIDENTS DU CERT-FR

Dans ce panorama de la menace informatique, l’ANSSI revient sur les grandes tendances ayant marqué le paysage cyber sur l’année 2020-2021 et en propose des perspectives d’évolution à court terme.

Ces tendances s’inscrivent dans une hausse continue du niveau de menace. Ainsi, l’ANSSI a eu connaissance de 1082 intrusions avérées dans
des systèmes d’information en 2021, pour 786 en 2020. Cela représente une hausse de 37% des intrusions avérée dans l’année. Cette hausse s’explique par l’évolution et l’amélioration constante des capacités des acteurs malveillants dont les principales intentions restent le gain financier, l’espionnage et la déstabilisation.

Ces acteurs ont su saisir une multitude d’opportunités offertes par la généralisation d’usages numériques souvent mal maîtrisés. Une vigilance particulière est par conséquent nécessaire dans le cadre d’évènements majeurs en France tels que la présidence française de l’Union européenne, les élections présidentielles et législatives en 2022 et les Jeux Olympiques de Paris 2024 qui sont autant d’opportunités contextuelles à exploiter pour des attaquants.

Ce panorama contient des recommandations organisationnelles et techniques de SSI relatives aux menaces observées.

Parcours Expert Sécurité des SI 2022 (SANTEXPO) : les inscriptions sont ouvertes !

4 conférences, 4 stands, 4 intervenants : une après-midi pour se former et s’informer !

Pour sa 8ème édition, le parcours Expert Sécurité des SI 2022 « Cybersécurité en santé » proposera le mardi 17 mai 2022, un circuit de 4 visites de 30 minutes chacune, chez 4 acteurs présents sur le domaine de la cybersécurité en santé. Animé par l’APSSIS et conduit par Cédric CARTAU, Vice-Président de l’Association, le parcours conduira ses participants à assister à 4 mini-conférences qui seront suivies d’un temps d’échange. Le Parcours prendra fin vers 17h30 autour d’un apéritif networking.

Cybermalveillance.gouv.fr dévoile son rapport d’activité 2021

Quelles ont été les grandes tendances de la menace observées en 2021 sur la plateforme Cybermalveillance.gouv.fr ? Quelles furent les répartitions des cyberattaques chez les particuliers et les professionnels ? Hameçonnage, piratage de compte, faux support technique, rançongiciels, violation de données… quelles ont été les principales causes de recherche d’assistance en cybersécurité ? Enfin, quels outils et services ont été déployés pour répondre efficacement aux demandes d’assistance des victimes d’actes de cybermalveillance ? Le dispositif Cybermalveillance.gouv.fr répond à l’ensemble de ces questions dans son rapport d’activité annuel, qu’il publie aujourd’hui sur son site Internet.

CNSSIS 2022 : Dans les coulisses du CTF

Le Congrès de l’APSSIS reste toujours un moment très attendu par les acteurs de la SSI santé ! Cette grande réunion de famille n’est, après le temps travail (les conférences), jamais vécue de la même façon par ses congressistes. Il y a les raisonnables qui vont se coucher tôt, les passionnés qui aiment discuter un moment avec les copains devant leur hôtel, les fêtards qui aiment prolonger la soirée, et pour cette dixième édition, il y avait aussi les studieux, pressés de retrouver leur chambre d’hôtel et leur ordinateur pour résoudre les énigmes et marquer des points !

Vos données sont-elles pseudonymisées ou anonymisées ?

A l’ère de l'analyse des “big data”, l’utilisation de données personnelles et son cadre légal sont au cœur des questionnements des organisations de santé et du champ d’actions des DPO et RSSI chargés de la sécurisation des données. Quelles techniques utiliser pour préserver la confidentialité dûe aux individus ? Quelle différence entre anonymisation et pseudonymisation ? Quels objectifs pour quels usages ?

Anonymisation et pseudonymisation font partie des mesures de sécurité et de dés-identification recommandées par le RGPD pour limiter les risques liés au traitement des données personnelles.  En pratique, on constate que ces deux notions sont souvent confondues et employées comme synonymes. Ces deux notions n’ont pourtant rien à voir tant dans leur principe que dans leurs conséquences pratiques et légales.

Au premier abord, le terme « anonymisation » évoque la notion de masque, de dissimulation. On s’imagine alors que le principe d’anonymisation revient à masquer les attributs directement identifiants d’un individu (nom, prénom, numéro de sécu). Ce raccourci constitue justement le piège à éviter ! En effet, le masquage de ces paramètres constitue plutôt une pseudonymisation.

Où s’arrête la cybersécurité ?

La « cybersécurité », puisqu’il faut l’appeler ainsi désormais, afin de « faire rêver » les décideurs, même si dans le fond nous savons tous qu’il s’agit bien de sécurité numérique ou de SSI, comme l’a souligné Guillaume POUPARD lors des dernières Assises de la sécurité, est un sujet extrêmement vaste ! Si bien qu’on se demande où elle s’arrête, et parfois même, où elle commence…

?>