Sécurité de l'information de santé et plus...
16.2K views | +0 today
Follow
 
Scooped by GCS e-santé Pays de la Loire
onto Sécurité de l'information de santé et plus...
Scoop.it!

Panorama sur l’offre du marché de l’assurance cyber risque : les exclusions – CRI4DATA

Panorama sur l’offre du marché de l’assurance cyber risque : les exclusions – CRI4DATA | Sécurité de l'information de santé et plus... | Scoop.it
Les exclusions les plus fréquentes ne relèvent pas directement du risque cyber mais plutôt y sont connexes. On retrouve comme source d’exclusion les actes criminels, frauduleux ou malhonnêtes, les erreurs ou les omissions, une violation intentionnelle d’une loi, toute enquête ou procédure pénale en cours, le paiement d’amendes, des pénalités …
No comment yet.
Sécurité de l'information de santé et plus...
Your new post is loading...
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

Sant'escape - Sécurité numérique

Sant'escape - Sécurité numérique | Sécurité de l'information de santé et plus... | Scoop.it

Sensibiliser n'est pas chose aisée, surtout quand il s'agit de sujets perçus comme contraignants voire techniques.... mais avec le jeu, rien d'impossible ! Le GCS e-santé Pays de la Loire s’applique à diversifier les outils de sensibilisation et propose un escape game ciblant la sécurité numérique en santé : Sant'escape Sécurité numérique.

No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

Le CERT Santé rappelle les bonnes pratiques liées à la mise œuvre à distance de la télé-maintenance | Accompagnement Cybersécurité des Structures de Santé

Depuis Avril 2021, plusieurs incidents de sécurité en lien avec des outils de prise en main à distance installés par des prestataires ou des structures de santé (teamviewer, logmein, ....) ont été déclarés au CERT Santé.

Ces outils sont installés pour faciliter les tâches d’administration et ne font pas toujours l’objet d’une supervision adaptée. Ils sont parfois configurés pour rester ouvert en permanence et avec la possibilité d'ouvrir une session sans accord préalable de l’utilisateur.
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

L'hôpital de Périgueux porte plainte après une cyberattaque

L'hôpital de Périgueux porte plainte après une cyberattaque | Sécurité de l'information de santé et plus... | Scoop.it
L'hôpital de Périgueux a été victime d'une cyberattaque la semaine du 14 juillet mais les dégâts sont limitées assure la communication de l'établissement. La prise en charge des patients n'est pas perturbée.
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

[MaJ] Vulnérabilité dans Microsoft Windows – CERT-FR

[MaJ] Vulnérabilité dans Microsoft Windows – CERT-FR | Sécurité de l'information de santé et plus... | Scoop.it
Cette alerte annule et remplace l’alerte CERT-FR CERTFR-2021-ALE-013.

Le 29 juin 2021, deux chercheurs ont présenté une façon d’exploiter une vulnérabilité affectant le spouleur d’impression (print spooler) et permettant une exécution de code à distance, entraînant une élévation de privilèges avec les droits SYSTEM.

Le 1er juillet 2021, Microsoft a publié un avis de sécurité indiquant que cette vulnérabilité « jour zéro » (zero day) est différente de la vulnérabilité CVE-2021-1675 initialement corrigée lors du Patch Tuesday du 09 juin 2021.

Cette nouvelle vulnérabilité, CVE-2021-34527, affecte le spouleur d’impression (print spooler) qui est un composant du système d’exploitation Windows activé par défaut. Elle permet à un attaquant d’exécuter du code arbitraire à distance avec les droits SYSTEM.
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

Sécurité informatique: "empêcher les attaques" plutôt qu’"éteindre les incendies" (DG de l'Anssi)

Sécurité informatique: "empêcher les attaques" plutôt qu’"éteindre les incendies" (DG de l'Anssi) | Sécurité de l'information de santé et plus... | Scoop.it
En matière de sécurité informatique des établissements de santé, il faut "se placer en amont et empêcher les attaques" plutôt qu’"éteindre les incendies", a estimé le directeur général de l'Agence nationale de la sécurité des systèmes d'information (Anssi), Guillaume Poupard, lors d'une conférence de presse mi-juin.
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

Cybersécurité des dispositifs médicaux : quelles mesures devraient être mises en place ?

Cybersécurité des dispositifs médicaux : quelles mesures devraient être mises en place ? | Sécurité de l'information de santé et plus... | Scoop.it
Cybersécurité des dispositifs médicaux : quelles mesures devraient être mises en place ?
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

Informatique hospitalière: le futur référentiel Maturin-H "a l'ambition de réduire la complexité" (DGOS)

Informatique hospitalière: le futur référentiel Maturin-H "a l'ambition de réduire la complexité" (DGOS) | Sécurité de l'information de santé et plus... | Scoop.it
Le futur référentiel Maturin-H (Maturité numérique des établissements hospitaliers) "a l'ambition de réduire la complexité et rapprocher les exigences" des différents référentiels relatifs aux systèmes d'information hospitaliers (SIH), a déclaré Michel Raux, adjoint à la cheffe du bureau des SI de la direction générale de l'offre de soins (DGOS), le 23 juin lors du congrès de l'Association pour la sécurité des systèmes d'information de santé (Apssis) au Mans
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

Sécurité informatique des établissements de santé: les pouvoirs publics font le constat d'une "opportunité" historique

Sécurité informatique des établissements de santé: les pouvoirs publics font le constat d'une "opportunité" historique | Sécurité de l'information de santé et plus... | Scoop.it
Des représentants des pouvoirs publics ont partagé le constat qu'une "opportunité" historique est à saisir pour améliorer la sécurité informatique des établissements de santé, le 22 juin lors du congrès de l'Association pour la sécurité des systèmes d'information de santé (Apssis), qui se tient au Mans jusqu'au 24 juin.
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

[Nouvelle-Zélande] Plusieurs établissements de santé victimes d’une cyberattaque | Accompagnement Cybersécurité des Structures de Santé

Le conseil sanitaire de Waikato (DHB) est victime d’une attaque informatique de grande ampleur depuis trois semaines. Cette structure gère cinq sites hospitaliers à Hamilton, au sud d'Auckland, et dessert plus de 425 000 personnes. Actuellement les établissements travaillent toujours de façon manuscrite, les ordinateurs et les lignes téléphoniques restant hors service.
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

Bulletin d’actualité CERTFR-2021-ACT-023 – CERT-FR

Bulletin d’actualité CERTFR-2021-ACT-023 – CERT-FR | Sécurité de l'information de santé et plus... | Scoop.it
Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

VULNÉRABILITÉS SIGNIFICATIVES DE LA SEMAINE 21
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

Recommandations relatives à l’administration sécurisée des systèmes d’information | Agence nationale de la sécurité des systèmes d'information

Recommandations relatives à l’administration sécurisée des systèmes d’information | Agence nationale de la sécurité des systèmes d'information | Sécurité de l'information de santé et plus... | Scoop.it
Dans le cadre de ses missions, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) souhaite décrire dans ce guide technique les objectifs de sécurité et les principes d’architecture permettant l’élaboration d’une architecture technique d’administration. Ce document n’a pas vocation à être exhaustif ni à couvrir l’ensemble des cas d’usage.
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

Bulletin d’actualité CERTFR-2021-ACT-021 – CERT-FR

Bulletin d’actualité CERTFR-2021-ACT-021 – CERT-FR | Sécurité de l'information de santé et plus... | Scoop.it
Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

VULNÉRABILITÉS SIGNIFICATIVES DE LA SEMAINE 20
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

L'inscription au RPPS ou au Finess obligatoire pour bénéficier des moyens d'identification électronique (ordonnance)

L'inscription au RPPS ou au Finess obligatoire pour bénéficier des moyens d'identification électronique (ordonnance) | Sécurité de l'information de santé et plus... | Scoop.it
La mise à disposition des moyens d'identification électronique (MIE), dont l'application e-CPS, est "subordonnée à l’enregistrement préalable" des professionnels et des personnes morales dans les répertoires sectoriels de référence, dispose une ordonnance publiée le 13 mai au Journal officiel.
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

Bulletin d’actualité CERTFR-2021-ACT-033 – CERT-FR

Bulletin d’actualité CERTFR-2021-ACT-033 – CERT-FR | Sécurité de l'information de santé et plus... | Scoop.it
Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

VULNÉRABILITÉS SIGNIFICATIVES DE LA SEMAINE 30
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

Bulletin d’actualité CERTFR-2021-ACT-030 – CERT-FR

Bulletin d’actualité CERTFR-2021-ACT-030 – CERT-FR | Sécurité de l'information de santé et plus... | Scoop.it
Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

VULNÉRABILITÉS SIGNIFICATIVES DE LA SEMAINE 28
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

Campagne d’attaque du mode opératoire APT31 ciblant la France – CERT-FR

Campagne d’attaque du mode opératoire APT31 ciblant la France – CERT-FR | Sécurité de l'information de santé et plus... | Scoop.it
L’ANSSI traite actuellement une vaste campagne de compromission touchant de nombreuses entités françaises. Cette dernière, toujours en cours et particulièrement virulente, est conduite par le mode opératoire APT31.

Les investigations montrent que ce mode opératoire compromet des routeurs pour les utiliser comme relais d’anonymisation, préalablement à la conduite d’actions de reconnaissance et d’attaques. Ainsi, des marqueurs, issus des routeurs compromis par l’attaquant, sont fournis pour permettre de rechercher des compromissions (depuis le début de l’année 2021) et de les mettre en détection.
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

Bulletin d’actualité CERTFR-2021-ACT-028 – CERT-FR

Bulletin d’actualité CERTFR-2021-ACT-028 – CERT-FR | Sécurité de l'information de santé et plus... | Scoop.it
Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

VULNÉRABILITÉS SIGNIFICATIVES DE LA SEMAINE 26
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

Sécurité informatique: une instruction sur la répartition des rôles entre GHT, ARS et Grades "début juillet" (FSSI)

Sécurité informatique: une instruction sur la répartition des rôles entre GHT, ARS et Grades "début juillet" (FSSI) | Sécurité de l'information de santé et plus... | Scoop.it
Une instruction sur la répartition des rôles dans la sécurité des systèmes d'information (SSI) entre les groupements hospitaliers de territoire (GHT), les agences régionales de santé (ARS) et les groupements régionaux d'appui au développement de l'e-santé (Grades) va être envoyée "début juillet", a appris TICsanté auprès du fonctionnaire de sécurité des systèmes d'information (FSSI) des ministères sociaux, Jean-François Parguet.
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

V.Trely (APSSIS) : "Les SI hospitaliers sont beaucoup plus fragiles que ceux de Dassault ou de la Société Générale" - Magazine Decideurs

V.Trely (APSSIS) : "Les SI hospitaliers sont beaucoup plus fragiles que ceux de Dassault ou de la Société Générale" - Magazine Decideurs | Sécurité de l'information de santé et plus... | Scoop.it

Décideurs. Vous avez déclaré dans le magazine Hospimédia que la santé était presque parvenue au niveau de sécurité auquel elle devrait être. Pourtant, en 2020, 27 hôpitaux français ont été la cible de pirates informatiques … 

 

No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

Sécurité informatique: les établissements de santé désignés OSE ont une double obligation de signalement des incidents (Anssi)

Sécurité informatique: les établissements de santé désignés OSE ont une double obligation de signalement des incidents (Anssi) | Sécurité de l'information de santé et plus... | Scoop.it
Les établissements de santé qui ont été désignés opérateurs de services essentiels (OSE) ont une double obligation de signalement des incidents de sécurité informatique, a fait savoir la cheffe du bureau santé et société de l'Agence nationale de la sécurité des systèmes d'information (Anssi), Charlotte Drapeau, le 22 juin au congrès de l'Association pour la sécurité des systèmes d'information de santé (Apssis), qui s'est tenu au Mans du 22 au 24 juin.
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

L'ANS soumet le référentiel Pro Santé Connect à concertation

L'ANS soumet le référentiel Pro Santé Connect à concertation | Sécurité de l'information de santé et plus... | Scoop.it
L'Agence du numérique en santé (ANS) a soumis le référentiel Pro Santé Connect à concertation, a-t-elle fait savoir sur son site internet le 31 mai.

"Ce référentiel, à destination des industriels, permet de définir les exigences à suivre concernant l'intégration de Pro Santé Connect à leurs solutions", a expliqué l'ANS. Il "pose un premier cadre pour initier et faciliter les communications entre son système d’information et le fédérateur de fournisseurs d'identité Pro Santé Connect".
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

Protection de l’enfance : la CNIL lance une consultation sur un projet de référentiel | CNIL

Protection de l’enfance : la CNIL lance une consultation sur un projet de référentiel | CNIL | Sécurité de l'information de santé et plus... | Scoop.it
Les traitements relatifs à l’accompagnement social et médico-social des mineurs et des jeunes majeurs doivent respecter le RGPD et la loi Informatique et Libertés. Afin d’accompagner les professionnels concernés et de clarifier le cadre applicable à la protection de l’enfance, la CNIL publie une consultation sur un projet de référentiel jusqu’au 31 juillet 2021.
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

Retour d’expérience sur les campagnes de signalement de vulnérabilités – CERT-FR

Retour d’expérience sur les campagnes de signalement de vulnérabilités – CERT-FR | Sécurité de l'information de santé et plus... | Scoop.it
L’ANSSI, autorité nationale en matière de sécurité et de défense des systèmes d’information, effectue régulièrement des campagnes de signalement auprès des entités exposant un équipement vulnérable sur Internet dans le but de les aider à se prémunir d’une possible exploitation par un attaquant.

Ces campagnes sont lancées lorsqu’une vulnérabilité est considérée comme critique, lorsqu’elle affecte un produit particulièrement répandu ou encore lorsqu’une exploitation est imminente voire déjà en cours.
Afin d’identifier les équipements vulnérables sur son périmètre, l’ANSSI peut s’appuyer sur ses partenaires ainsi que sur des informations communiquées par des chercheurs en sécurité, grâce notamment aux dispositions de l’article 47 de la loi pour une république numérique n°2016-1321 du 7 octobre 2016 [1].

L’Agence dispose également d’une infrastructure de « scan réseau » lui permettant d’effectuer une recherche active par ses propres moyens [2]. Ces « scans » sont exécutés ponctuellement et dans le but d’identifier des équipements potentiellement vulnérables. En conséquence, certaines entités peuvent occasionnellement recevoir un signalement bien que leurs équipements ne soient pas vulnérables. L’inquiétude inutile générée par ce type de signalement est regrettable, mais ses conséquences sont bien moins importantes qu’un incident de sécurité faute de signalement.
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

Une cyberattaque paralyse le système de santé publique irlandais | Accompagnement Cybersécurité des Structures de Santé

Dans la nuit du 14 Mai 2020, le Health Service Executive (HSE), l’organisation publique de la santé en Irlande a subi une attaque informatique de grande ampleur. Plus de 40 établissements de santé irlandais, dont une majorité d'hôpitaux, ont été impactés.

Cette attaque a été découverte par un employé. Alors que son ordinateur ne fonctionnait pas correctement, la personne a reçu sur son poste de travail une invitation à demander de l’aide au travers d’un message. Après être entré en contact avec un interlocuteur qui se révèle être
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

Collecte de données par Iqvia: la Cnil annonce des contrôles après une enquête de France 2

Collecte de données par Iqvia: la Cnil annonce des contrôles après une enquête de France 2 | Sécurité de l'information de santé et plus... | Scoop.it
La Commission nationale de l'informatique et des libertés (Cnil) a fait savoir le 17 mai qu'elle "diligentera des contrôles" après la diffusion d'une enquête de France 2 révélant que de nombreux officinaux transmettant des données de délivrance à l'entreprise Iqvia ne respectent pas leur obligation d'information individuelle des patients.
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

Les données volées des patients irlandais apparaissent en ligne

Les données volées des patients irlandais apparaissent en ligne | Sécurité de l'information de santé et plus... | Scoop.it
Des informations médicales et personnelles sur des patients irlandais volés par des pirates informatiques la semaine dernière sont maintenant partagées en ligne, des captures d’écran et des fichiers consultés par le Financial Times.

Les dossiers proposés en ligne par les pirates pour répondre à leurs demandes de rançon de près de 20 millions de dollars comprennent également des fichiers internes des services de santé, tels que les procès-verbaux de réunions, les détails d’achat d’équipement et la correspondance avec les patients.
No comment yet.