Sécurité de l'information de santé et plus...
14.3K views | +8 today
Follow
 
Scooped by GCS e-santé Pays de la Loire
onto Sécurité de l'information de santé et plus...
Scoop.it!

Rentrée d’enfer pour les RSSI : pas le temps de finir de se raconter les vacances que l’on se fait déjà attaquer !

Rentrée d’enfer pour les RSSI : pas le temps de finir de se raconter les vacances que l’on se fait déjà attaquer ! | Sécurité de l'information de santé et plus... | Scoop.it
Les souliers neufs chaussés, le masque haute couture sur le nez et le cartable tendance à peine enfilé qu’il faut déjà commencer à éviter les balles ! Alors que l’on tente de faire un point sur les actualités de l’été à ne pas rater, le CERT-FR de l’ANSSI nous annonce déjà des orages cyber !
No comment yet.
Sécurité de l'information de santé et plus...
Your new post is loading...
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

Sant'escape - Sécurité numérique

Sant'escape - Sécurité numérique | Sécurité de l'information de santé et plus... | Scoop.it

Sensibiliser n'est pas chose aisée, surtout quand il s'agit de sujets perçus comme contraignants voire techniques.... mais avec le jeu, rien d'impossible ! Le GCS e-santé Pays de la Loire s’applique à diversifier les outils de sensibilisation et propose un escape game ciblant la sécurité numérique en santé : Sant'escape Sécurité numérique.

No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

Bulletin d’actualité CERTFR-2020-ACT-008 – CERT-FR

Bulletin d’actualité CERTFR-2020-ACT-008 – CERT-FR | Sécurité de l'information de santé et plus... | Scoop.it
Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’actions lorsqu’elles génèrent des risques sur le système d’information.
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

Cybersécurité: 37% des vulnérabilités détectées posent un risque de divulgation d'informations

Cybersécurité: 37% des vulnérabilités détectées posent un risque de divulgation d'informations | Sécurité de l'information de santé et plus... | Scoop.it
Plus du tiers (37%) des vulnérabilités détectées lors d'audits réalisés par le service cybersurveillance de l'Agence du numérique en santé (ANS, ex-Asip santé) posent un risque de divulgation d'informations patients, a indiqué Cédric Bertrand, expert en cybersécurité de l'ANS, lors d'une conférence en ligne le 5 octobre.
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

Les structures de santé pourront commander des audits de cybersécurité via une interface • HOSPIMEDIA

Les structures de santé pourront commander des audits de cybersécurité via une interface • HOSPIMEDIA | Sécurité de l'information de santé et plus... | Scoop.it
Depuis fin 2018, le service de cybersurveillance de l'Agence du numérique en santé a audité 60 établissements et révélé des failles souvent importantes dans leurs systèmes d'information. En moyenne, 8 vulnérabilités fortes ont été détectées par audit. Le processus de demande et de restitution sera automatisé en 2021 pour être facilement accessible.
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

Le comité de contrôle et de liaison Covid-19 critique le manque d'interopérabilité des SI de traçage de l'épidémie

Le comité de contrôle et de liaison Covid-19 critique le manque d'interopérabilité des SI de traçage de l'épidémie | Sécurité de l'information de santé et plus... | Scoop.it
Le comité de contrôle et de liaison Covid-19 (CCL-Covid) critique le manque d'interopérabilité des systèmes d'information (SI) de traçage de l'épidémie, dans un avis daté du 15 septembre et publié le 16.
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

Orpea victime d'une cyberattaque

Orpea victime d'une cyberattaque | Sécurité de l'information de santé et plus... | Scoop.it
Le groupe de cliniques, d'Ehpad et de services à domicile Orpea a été victime de "l'intrusion d'un logiciel malveillant sur certains de ses serveurs" informatiques "dans la nuit du 17 septembre", a-t-il fait savoir par communiqué le 21 septembre.
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

L'Agence du numérique en santé publie une fiche réflexe pour agir contre les maliciels • HOSPIMEDIA

L'Agence du numérique en santé publie une fiche réflexe pour agir contre les maliciels • HOSPIMEDIA | Sécurité de l'information de santé et plus... | Scoop.it
L'année 2019 a été marquée par une recrudescence des cyberattaques à l'encontre des structures de santé, avec pour principale menace les logiciels malveillants (ou maliciels) tels que les rançongiciels. Dans ce contexte, l'Agence du numérique en santé (ANS) publie une fiche réflexe, Agir contre un maliciel, destinée aux responsables de la sécurité des systèmes d'information des établissements de santé (à télécharger ci-dessous).
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

Orpéa victime d’un logiciel malveillant, Actualité des sociétés - Investir-Les Echos Bourse

Orpéa victime d’un logiciel malveillant, Actualité des sociétés - Investir-Les Echos Bourse | Sécurité de l'information de santé et plus... | Scoop.it
Le gestionnaire de maisons de retraite a dû fermer certains de ses serveurs. L’ensemble des sauvegardes sont intactes et aucune donnée n’a été détruite ou transférée, assure le groupe.
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

Bulletin d’actualité CERTFR-2020-ACT-006 – CERT-FR

Bulletin d’actualité CERTFR-2020-ACT-006 – CERT-FR | Sécurité de l'information de santé et plus... | Scoop.it
Les menaces d’attaques en déni de services distribué associées à des demandes de rançon (RDDoS) auxquelles des entreprises françaises sont confrontées depuis août 2020 semblent s’inscrire dans une campagne d’extorsion ayant débuté aux alentours d’octobre 2019. La visée lucrative de cette campagne est indéniable, bien qu’un objectif secondaire de déstabilisation puisse être envisagé, au vu par exemple du ciblage d’infrastructures de marché dont la continuité d’activité est critique.
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

En Allemagne, une attaque informatique contre une clinique provoque une mort

En Allemagne, une attaque informatique contre une clinique provoque une mort | Sécurité de l'information de santé et plus... | Scoop.it
Une patiente en situation critique n’a pas pu être opérée, en raison d’une attaque au rançongiciel qui a paralysé la clinique universitaire de Düsseldorf.
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

Bulletin d’actualité CERTFR-2020-ACT-005 – CERT-FR

Bulletin d’actualité CERTFR-2020-ACT-005 – CERT-FR | Sécurité de l'information de santé et plus... | Scoop.it
Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’actions lorsqu’elles génèrent des risques sur le système d’information.
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

Des cyberpirates ont tenté de rançonner un hôpital militaire français

Des cyberpirates ont tenté de rançonner un hôpital militaire français | Sécurité de l'information de santé et plus... | Scoop.it
La ministre des Armées, Florence Parly, a révélé qu'une attaque informatique, digne de la série « Le Bureau des légendes », a ciblé Sainte-Anne, à Toulon.
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

Rentrée d’enfer pour les RSSI : pas le temps de finir de se raconter les vacances que l’on se fait déjà attaquer !

Rentrée d’enfer pour les RSSI : pas le temps de finir de se raconter les vacances que l’on se fait déjà attaquer ! | Sécurité de l'information de santé et plus... | Scoop.it
Les souliers neufs chaussés, le masque haute couture sur le nez et le cartable tendance à peine enfilé qu’il faut déjà commencer à éviter les balles ! Alors que l’on tente de faire un point sur les actualités de l’été à ne pas rater, le CERT-FR de l’ANSSI nous annonce déjà des orages cyber !
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

L'ANS au Congrès national de la sécurité des systèmes d’informations de santé de l’APSSIS | esante.gouv.fr

L'ANS au Congrès national de la sécurité des systèmes d’informations de santé de l’APSSIS | esante.gouv.fr | Sécurité de l'information de santé et plus... | Scoop.it
Les 29, 30 septembre et 1er octobre 2020 s’est tenu le traditionnel Congrès national de la sécurité
des systèmes d’informations de santé de l’APSSIS au Mans.

Pour la 8ème année consécutive, l’Agence du Numérique en Santé était invitée pour présenter l’offre de sécurité opérationnelle portée en lien avec la Délégation au Numérique en Santé et les services du HFDS/FSSI (Ministère des Solidarités et de la Santé) au profit de l’ensemble des structures sanitaires et médico-sociales.
Un rendez-vous essentiel pour échanger avec les acteurs de terrain de la cybersécurité. Car la sécurité des systèmes d’information reste la première condition de la confiance, comme le rappelle la feuille de route du numérique en santé qui fait de la sécurité un de ces services socles.
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

Organiser un exercice de gestion de crise cyber | Agence nationale de la sécurité des systèmes d'information

Organiser un exercice de gestion de crise cyber | Agence nationale de la sécurité des systèmes d'information | Sécurité de l'information de santé et plus... | Scoop.it
Ce guide vise à accompagner, pas à pas, les organisations dans la mise en place d’un exercice de gestion de crise d’origine cyber1 vraisemblable et formateur, pour les joueurs comme pour les organisateurs.
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

La CNIL lance une consultation publique sur un projet de référentiel dans le secteur social | CNIL

La CNIL lance une consultation publique sur un projet de référentiel dans le secteur social | CNIL | Sécurité de l'information de santé et plus... | Scoop.it
Le RGPD permet à la CNIL d’élaborer des cadres de référence afin de guider les organismes dans la mise en conformité de leurs traitements. La présente consultation publique porte sur un projet de référentiel relatif aux traitements de données personnelles mis en œuvre dans le cadre de l’accueil, l’hébergement et l’accompagnement social et médico-social des personnes âgées, en situation de handicap et en difficulté.
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

Partage d’un retour d'expérience d'une attaque par cryptovirus sur une structure de santé en mai 2020 | Accompagnement Cybersécurité des Structures de Santé

Une structure de santé a été victime du cryptovirus Snake en mai 2020. L’attaquant s’est introduit dans le système d’information en utilisant les identifiants d’un compte VPN compromis et a pu propager le cryptovirus à travers tout le réseau via une GPO. 

Ce retour d’expérience présente le scénario de l’attaque, les actions d’investigation et les mesures de remédiation mises en œuvre par l’établissement.
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

Comment le Grand Est veut pérenniser le boom de l'e-santé grâce à la sécurité et au partage des données (Pulsy)

Comment le Grand Est veut pérenniser le boom de l'e-santé grâce à la sécurité et au partage des données (Pulsy) | Sécurité de l'information de santé et plus... | Scoop.it
Fortement touchée par l'épidémie de Covid-19, la région Grand Est s'est appuyée sur les outils numériques pour garantir un accès aux soins à sa population et faciliter le travail des professionnels de santé, ont témoigné plusieurs acteurs territoriaux de santé le 22 septembre lors de la journée du Pulsy, appelant à travailler sur la sécurité des données pour "pérenniser" le développement de l'e-santé.
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

Traçage de l'épidémie: les systèmes d'information "respectueux des données personnelles" (Cnil)

Traçage de l'épidémie: les systèmes d'information "respectueux des données personnelles" (Cnil) | Sécurité de l'information de santé et plus... | Scoop.it
La Commission nationale de l'informatique et des libertés (Cnil) a estimé que les systèmes d'information (SI) Sidep, Contact Covid et StopCovid, mis en place afin de lutter contre l'épidémie de Covid-19, "sont, pour l'essentiel, respectueux des données personnelles", dans une délibération datée du 10 septembre et publiée le 14.
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

Le secteur médico-social est encore vulnérable face aux cyberattaques • HOSPIMEDIA

Le secteur médico-social est encore vulnérable face aux cyberattaques • HOSPIMEDIA | Sécurité de l'information de santé et plus... | Scoop.it
Moins mature sur le volet numérique, le secteur médico-social est aussi moins protégé face aux cyberattaques. Les établissements et services sont d'ailleurs de plus en plus touchés, en particulier par des rançongiciels. Le futur plan ESMS numérique devrait permettre aux structures de rattraper leur retard en la matière.
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

[ANS] Publication d’une nouvelle fiche réflexe sur les maliciels | Accompagnement Cybersécurité des Structures de Santé

Les maliciels, tels que les rançongiciels, représentent la principale menace pour la sécurité des systèmes informatiques des structures de santé. Ils peuvent conduire à des arrêts de service pouvant durer plusieurs jours et à la perte de données irréversible. 

Pour répondre à cette problématique, l’ANS publie aujourd’hui une fiche réflexe “Agir contre un maliciel” destinée aux personnes ayant en charge la cybersécurité dans les établissements de santé. En cas d’attaque ou infection avérée, elle rappelle les différentes mesures devant ou pouvant être prises durant les 4 grandes étapes de la lutte contre le maliciel :
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

Recommandations pour les architectures des systèmes d’information sensibles ou Diffusion Restreinte | Agence nationale de la sécurité des systèmes d'information

Recommandations pour les architectures des systèmes d’information sensibles ou Diffusion Restreinte | Agence nationale de la sécurité des systèmes d'information | Sécurité de l'information de santé et plus... | Scoop.it
L'instruction interministérielle n° 901/SGDSN/ANSSI (II 901) du 28 janvier 2015 définit les objectifs et les mesures de sécurité minimales relatifs à la protection des informations sensibles, notamment celles relevant du niveau Diffusion Restreinte (DR). Le présent guide donne des recommandations pour la conception de l'architecture des systèmes d'information (SI) qui hébergent des informations sensibles ou DR. De manière générale, il apporte des conseils techniques pour la mise en pratique de l'II 901.
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

Vulnérabilité dans Microsoft Netlogon – CERT-FR

Vulnérabilité dans Microsoft Netlogon – CERT-FR | Sécurité de l'information de santé et plus... | Scoop.it
Le 11 août 2020, Microsoft a publié un avis de sécurité concernant la correction d'une vulnérabilité affectant le protocole Netlogon Remote Protocol.

Le CERT-FR a émis un avis le 12 août 2020 ainsi que des bulletins informant de la situation. Cette vulnérabilité, jugée critique (score CVSS3 de 9 sur 10), concerne les différentes versions de Mircosoft Windows Server où le rôle ADDS (Active Directory Domain Services) est installé et où le serveur joue le rôle de contrôleur de domaine. Cette vulnérabilité peut aisément être exploitée par un acteur mal intentionné ayant un accès aux ports TCP ouverts par le service Netlogon.

L'exploitation de cette vulnérabilité peut entraîner une élévation de privilèges sur les contrôleurs de domaine ayant pour conséquence l'accès à l'ensemble des ressources gérées par les domaines Active Directory. La mise à jour de cette vulnérabilité doit être complétée par plusieurs modifications du système détaillées dans un article publié par Microsoft [1].
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

Le détail des données accessibles via le Health Data Hub (projet de décret)

Le détail des données accessibles via le Health Data Hub (projet de décret) | Sécurité de l'information de santé et plus... | Scoop.it
PARIS (TICpharma) - Un projet de décret d'application de la loi du 24 juillet 2019 relative à l'organisation et à la transformation du système de santé, dite "Ma santé 2022", qu'APMnews/TICpharma a pu consulter, détaille les données qui seront accessibles via le Health Data Hub.
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

Alerte de la cellule ACSS sur la diffusion du logiciel malveillant Emotet

Alerte de la cellule ACSS sur la diffusion du logiciel malveillant Emotet | Sécurité de l'information de santé et plus... | Scoop.it
La cellule d'accompagnement cybersécurité des structures de santé (ACSS) a diffusé le 8 septembre une alerte sur une campagne de messages malveillants visant à diffuser le maliciel Emotet.
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

Des fuites de données médicales personnelles dues à des erreurs de configuration sur GitHub | Accompagnement Cybersécurité des Structures de Santé

Le mois dernier, un chercheur en cybersécurité néerlandais, Jelle Ursem, a découvert sur GitHub plusieurs fichiers contenant des données de santé à caractère personnel ainsi que des informations de connexion vers des plateformes telles que Gmail ou Office 365. Ces fichiers provenaient de 9 entreprises médicales américaines (Xybion, MedPro Billing, Texas Physician House Calls, VirMedica, MaineCare, Waystar, Shields Health Care Group, AccQData et une autre entreprise dont le nom n’est pas cité) et contenaient les données d’environ 200 000 patients. Potentiellement, beaucoup plus de patients auraient pu être touchés par cette fuite de données car les identifiants trouvés n’ont pas tous été testés et les bases de données accédées n’ont pas été fouillées méticuleusement.
No comment yet.