Actualités de la sécurité des Systèmes d'information Santé

Les temps forts du CNSSIS 2021 – Partie 2

La deuxième journée a commencé avec une vision très intéressante de la sécurité, à laquelle je m’intéresse depuis longtemps, celle du biomédicale ! L’AFIB était représentée par Valérie MORENO (CHU de Bordeaux) et Sandrine ROUSSEL (CHU de Besançon), deux alliées de choix des RSSI santé, bien plus préoccupées par la sécurité numérique que certains DSI et professionnels du numérique.
Leur culture du risque et leur rigueur dans la traçabilité réglementaire n’y sont sûrement pas pour rien ! Nous avons des choses à apprendre sur ces sujets dans le domaine de l’IT !
Philippe LOUDENOT et Cédric CARTAU s’accordent à dire « NON » à la question que tout le monde se pose, le biomédical ne doit pas être intégré à la DSI, les enjeux et les processus métiers ne sont tout simplement pas les mêmes.

Les temps forts du CNSSIS 2021 – Partie 1

Le congrès national de la sécurité des si de santé organisé par l’APSSIS est LE rendez-vous des RSSI du secteur. Unique en Europe, comme l’a souligné fièrement Philippe LOUDENOT pour sa première participation non plus en tant que FSSI du Ministère des solidarités et de la santé, mais en tant que délégué Cyber Sécurité pour la région Pays de la Loire.

Pour cette neuvième édition, Vincent TRELY a eu le plaisir d’accueillir Jean-Jacques COIPLET, Directeur Général de l’ARS Pays de la Loire (première ARS adhérente à l’APSSIS) et son enthousiasme sur les sujets de la sécurité numérique en santé pour ouvrir le bal !

Vulnérabilité Windows PrintNightmare : tentons de comprendre ce qu’il en est vraiment

Difficile de passer à côté, depuis le 29 juin cette vulnérabilité affectant le spouleur d’impression Windows n’en finit pas de remplir des pixels sur les écrans de la communauté sécu, vu que plus personne n’ose imprimer de peur de se faire poncer. Le 30 juin, le CERT-FR de l’ANSSI publie une alerte concernant cette vulnérabilité¹. Le vendredi 2 juillet, l’ANSSI publie une nouvelle alerte sur le sujet² annonçant que la vulnérabilité initialement identifiée comme 0 day, la CVE-2021-1675 a été correctement corrigée dans le patch tuesday de juin et qu’une nouvelle vulnérabilité, la CVE-2021-34527, quant à elle, est en attente de correctif. S’en suit une révision de l’alerte côté CERT Santé³, l’info est diffusée aux ARS qui relaient aux établissements de santé dans la foulée en fin d’après-midi, de quoi faire passer à l’ensemble des destinataires un excellent week-end ! Trêve de plaisanterie, saluons cette communication rapide.

Lancement de la campagne nationale de sensibilisation et d’information sur la cybersécurité en santé : TOUS CYBERVIGILANTS ! (CP)

Le mercredi 9 juin, à l’occasion de son discours de clôture du Congrès de SOS Médecins, le ministre des solidarités et de la santé Olivier Véran avait annoncé le lancement de la campagne nationale 2021 de sensibilisation et d’information sur les risques numériques en santé, avec un seul mot d’ordre : TOUS CYBERVIGILANTS !

Interview exclusive de Charlotte DRAPEAU - Cheffe du Bureau Santé et Société de l’ANSSI

Vous êtes Cheffe du Bureau Santé et Société. Quel est votre rôle au sein de l’ANSSI ?

Charlotte DRAPEAU : Au sein de la sous-direction Stratégie et de la division de la coordination sectorielle, j’ai en charge le pilotage des dossiers et le management des coordinateurs sectoriels. Le bureau Santé et Société coordonne les activités de l’ANSSI sur les secteurs d’activités santé, alimentation et culture avec les ministères de tutelle. Il représente l’ANSSI auprès de ces ministères et des entités publiques et privées de l’écosystème afin de les accompagner sur les enjeux de cybersécurité.

Webinaire DSIH « Interopérabilité et cybersécurité : deux enjeux majeurs pour les dispositifs médicaux !»

Un webinaire de 75 minutes, le 17 juin à 11h00 avec le retour d’expérience de l’AP-HP et des Hôpitaux Universitaires de Strasbourg, interrogés par l’APSSIS

Quel cadre pour les systèmes d’IA dans le secteur de la santé ?

^{Marguerite Brac de La Perrière - Avocate associée, spécialisée en santé numérique - Cabinet LERINS}

« En matière d’intelligence artificielle, la confiance n’est pas un luxe mais une nécessité absolue »¹.

Face à la rapidité des avancées technologiques dans le domaine de l’intelligence artificielle (IA), et aux risques associés en matière de sécurité et de droits fondamentaux, la Commission a proposé un cadre juridique très attendu² sous la forme d’un projet de règlement (Artificial Intelligence Act), lequel sera donc d’effet direct dès son adoption (probablement sous 2 ans) avec une entrée en application sous 2 ans, associé à un plan coordonné d’actions³.

WEBINAR : Cybersécurité dans le domaine de la Santé : la place de l'IGA (CP)

Venez découvrir comment la Gestion et la Gouvernance des identités en mode SaaS devient l’un des piliers de la stratégie Zero Trust pour les établissements de Santé avec le témoignage de Mauro Israël, expert en cybersécurité, jeudi 17 juin à 11h.

Pourquoi le secteur de la santé reste une cible privilégiée pour les cybercriminels ?

Depuis plusieurs années déjà, le secteur de la santé est confronté aux cybermenaces. L’importante quantité de données précieuses et sensibles, le besoin souvent impératif de service ininterrompu et l’utilisation de systèmes parfois obsolètes ou contraints en maintenance (ex biomédical) font de ce secteur une cible attractive pour les cybercriminels.

Les organisations publiques dans le secteur de la santé sont également dans le viseur des cybercriminels. Preuves à l’appui, après l'Assistance Publique Hôpitaux de Paris, c’est au tour des établissements de Dax (Landes), de Villefranche-sur-Saône, Tarare et Trévoux (Auvergne-Rhône-Alpes) d'être victimes d'une cyberattaque, amenant Emmanuel Macron à annoncer un plan de lutte contre la cybercriminalité d’un milliard d’euros appliqué d’ici 2025. Bref, c’est tout un secteur qui se retrouve fragilisé, sur l’ensemble du territoire.

Partez à la chasse aux fantômes dans vos annuaires Active Directory

Ce n’est un secret pour aucun RSSI, l’annuaire Active Directory est une cible de choix pour tous les attaquants qui voudraient devenir maître des clés et prendre le contrôle total d’un système d’information.

Chaque RSSI, en tant que bon cerbère de la porte se doit d’apporter une attention particulière à la sécurisation de l’AD. S’il est plus facile de faire appel à des professionnels ou des solutions commerciales pour auditer son annuaire, l’excellent outil Ping Castle généreusement partagé par son auteur Vincent LE TOUX qui continue d’évoluer régulièrement et pour lequel toute participation est la bienvenue, vous permettra déjà d’élever fortement les remparts de la forteresse. S’il permet d’identifier rapidement les problèmes de configuration et vous guide dans leur résolution, il s’avère un peu moins pratique dans la recherche et l’extraction d’objets précis, tâche qui fait également partie de l’assainissement de l’annuaire.

Guide messagerie sécurisée de santé : une obligation légale facilitée par notre offre répondant à tous les cas d’usage (CP)

Aujourd’hui, plusieurs questionnements subsistent autour des messageries sécurisées de santé : Pourquoi devenir opérateur MSSanté ? Messagerie On Premise ou en mode SaaS ? Différents types de boîtes aux lettres : que choisir ? Comment échanger avec des non professionnels de santé ? Que dit la législation ?

[Webinar] Acteurs de la Santé : Comment optimiser votre stratégie de cybersécurité et prévenir les attaques ?

Depuis le début de l’année, chaque semaine une cyberattaque touche le secteur de la Santé venant perturber la continuité de service. Pour faire face, le Gouvernement a présenté le 22 février une stratégie cyber et des moyens pour renforcer la cybersécurité des établissements sanitaires et médicaux-sociaux. Comment protéger les patients, leurs données, et les systèmes de santé ?