Sécurité de l'information de santé et plus...
14.3K views | +8 today
Follow
Sécurité de l'information de santé et plus...
Your new post is loading...
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

La CNIL publie trois référentiels pour le secteur de la santé | CNIL

Les nouveaux référentiels adoptés par la CNIL ont pour objectif d’aider les responsables de traitement concernés dans la gestion des traitements courants des cabinets médicaux et paramédicaux et dans le choix de durées de conservation.
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

Doctolib : les données de 6 218 rendez-vous dans la nature - ZDNet

Doctolib : les données de 6 218 rendez-vous dans la nature - ZDNet | Sécurité de l'information de santé et plus... | Scoop.it
La plateforme Doctolib a annoncé avoir été victime d’un piratage. La société indique qu’un attaquant est parvenu à accéder aux données administratives de 6 218 rendez-vous, mais que la faille de sécurité a depuis été comblée.
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

Comment réaliser une analyse d'impact relative à la protection des données ? • HOSPIMEDIA

Comment réaliser une analyse d'impact relative à la protection des données ? • HOSPIMEDIA | Sécurité de l'information de santé et plus... | Scoop.it
L'analyse d'impact est réalisée en amont d'un traitement qui peut engendrer un risque élevé pour les droits et libertés des personnes concernées. Elle permet d'identifier ces risques et d'y apporter des mesures correctives.
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

[Etats-Unis] Fuite de données personnelles chez un fournisseur de services de santé du Maryland | Accompagnement Cybersécurité des Structures de Santé

Lorien Health Services, un prestataire de services de soins infirmiers et d’assistance aux personnes âgées basé dans le Maryland, a révélé avoir été victime d’une fuite de données impactant environ 47 800 personnes. Le groupe de cybercriminels Netwalker serait à l’origine de cette attaque et aurait publié une partie des informations volées suite à un refus de paiement de rançon.
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

Rapport de l’observatoire des signalements d’incidents de sécurité pour l’année 2019 | Accompagnement Cybersécurité des Structures de Santé

A l’occasion de la publication du rapport de l’observatoire des signalements d’incidents de sécurité pour l’année 2019, Dominique Pon et Laura Letourneau rappellent l’importance du dispositif de signalements, premier maillon de la cybersécurité de notre secteur. Ce dispositif contribue à détecter les signaux faibles d’une activité malveillante visant les acteurs de santé avant qu’elle ne se répande et à renforcer ainsi la capacité de réponse collective.
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

Invalidation du « Privacy shield » : la CNIL et ses homologues analysent actuellement ses conséquences | CNIL

Invalidation du « Privacy shield » : la CNIL et ses homologues analysent actuellement ses conséquences | CNIL | Sécurité de l'information de santé et plus... | Scoop.it
La Cour de justice de l’Union européenne a rendu hier matin un arrêt majeur invalidant le régime de transferts de données entre l’Union européenne et les États-Unis dit « Privacy shield ». La CNIL et ses homologues, réunis au sein du Comité Européen pour la Protection des Données, procèdent à l’analyse de cette décision pour en tirer les conséquences dans les meilleurs délais.
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

Vulnérabilité critique dans Windows DNS Server | Accompagnement Cybersécurité des Structures de Santé

Une vulnérabilité critique a été identifiée dans le service Windows DNS Server. Elle peut permettre à un attaquant de provoquer un déni de service ou une exécution de code arbitraire à distance.

Cette vulnérabilité (CVE-2020-1350 [Score CVSS v3 : 10]) se situe dans le code qui analyse les réponses à des requêtes DNS. Elle peut être exploitée par un attaquant qui aurait le contrôle d'un serveur DNS ayant autorité sur un nom de domaine Internet. En construisant une réponse, dans un format particulier, à une requête légitime émise par un serveur Microsoft DNS Server, l'attaquant peut provoquer un dépassement de tampon (buffer overflow) au niveau du service Microsoft DNS Server.

Un correctif est disponible et il est recommandé de l’installer dans les plus brefs délais.
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

Un arrêté autorise la collecte de données de santé en cas d’"alerte sanitaire"

Un arrêté autorise la collecte de données de santé en cas d’"alerte sanitaire" | Sécurité de l'information de santé et plus... | Scoop.it
Un arrêté publié le 2 juillet au Journal officiel autorise de nombreux organismes et institutions publics à "mettre en oeuvre des traitements de données à caractère personnel dans le domaine de la santé ayant pour seule finalité de répondre, en cas de situation d’urgence, à une alerte sanitaire et d’en gérer les suites".
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

Tiers autorisés : la CNIL publie un guide pratique et un recueil de procédures | CNIL

Tiers autorisés : la CNIL publie un guide pratique et un recueil de procédures | CNIL | Sécurité de l'information de santé et plus... | Scoop.it
Certaines autorités ont le pouvoir d’exiger des organismes la transmission de documents ou de renseignements pouvant comprendre des données personnelles : ce sont des « tiers autorisés ». Afin d’aider les professionnels visés par ce type de demande, la CNIL publie un guide pratique et un recueil des procédures les plus courantes.
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

Une fois piratée, une montre connectée pour seniors pouvait mener à la surdose médicamenteuse

Une fois piratée, une montre connectée pour seniors pouvait mener à la surdose médicamenteuse | Sécurité de l'information de santé et plus... | Scoop.it
Une société de sécurité informatique britannique a montré les défaillances d’une montre connectée pour seniors, afin d’alerter son fabricant.
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

Selon un rapport de Sophos, 70 % des entreprises sont victimes d'incidents de cybersécurité dans le Cloud public

Selon un rapport de Sophos, 70 % des entreprises sont victimes d'incidents de cybersécurité dans le Cloud public | Sécurité de l'information de santé et plus... | Scoop.it
Selon le rapport international The State of Cloud Security 2020 rédigé par Sophos, près de trois quarts (70 %) des entreprises ont subi un incident de sécurité dans le Cloud public l’an passé : attaque par ransomware ou autre malware (50 %), fuite de données (29 %), piratage de compte (25 %) cryptojacking (17 %). Les entreprises exploitant des environnements multicloud courent 50 % plus de risques d’être victimes d’un tel incident qu’en présence d’un Cloud unique.
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

CVE-2020-5902 ou comment s’immiscer au cœur du SI via une brèche dans les solutions F5 BIG-IP

CVE-2020-5902 ou comment s’immiscer au cœur du SI via une brèche dans les solutions F5 BIG-IP | Sécurité de l'information de santé et plus... | Scoop.it
Celles et ceux qui ne se sont pas déconnectés ce week-end, auront probablement été interpellés par les Tweets du CERT-FR de l’ANSSI. En effet, il n’est pas courant que le CERT-FR publie des alertes le dimanche ! Premier Tweet à 12H26 pour annoncer la publication de l’alerte [1] sur le site du CERT, puis rappel à l’ordre à 23H34, autant dire que ça chauffe un peu…
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

L’ANSSI identifie des indicateurs de compromission liés au rançongiciel SODINOKIBI | Accompagnement Cybersécurité des Structures de Santé

Suite à l’accompagnement de victimes du rançongiciel SODINOKIBI, également connu sous le nom REvil,  en mai et juin 2020, l’ANSSI a identifié des indicateurs de compromission liés à cette activité malveillante.
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

Mise en conformité avec le RGPD : un « kit » est lancé par l’Anap

L'Agence nationale d'appui à la performance des établissements de santé et médico-sociaux (Anap) vient de publier un kit à destination de l’ensemble des structures sanitaires et médico-sociales, rassemblant les ressources utiles pour leur permettre une mise en conformité avec le règlement général sur la protection des données (RGPD). 
No comment yet.
Rescooped by GCS e-santé Pays de la Loire from Veille #Cybersécurité #Manifone
Scoop.it!

Cette nouvelle cyberattaque cible les chargeurs rapides pour enflammer les appareils en charge

Cette nouvelle cyberattaque cible les chargeurs rapides pour enflammer les appareils en charge | Sécurité de l'information de santé et plus... | Scoop.it
BadPower, une nouvelle attaque découverte par des chercheurs de Tencent, permet de faire brûler ou fondre les composants électroniques des appareils branchés à des chargeurs rapides.

Via Didier Caradec CEH/DPO/RSSI
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

La cour de justice européenne invalide le transfert de données vers les États-Unis • HOSPIMEDIA

La cour de justice européenne invalide le transfert de données vers les États-Unis • HOSPIMEDIA | Sécurité de l'information de santé et plus... | Scoop.it
Le transfert des données à caractère personnel de l'Europe vers les États-Unis est remis en question par la CJUE. La Cnil analyse l'arrêt. L'hébergement du Health data hub actuellement par Microsoft fera l'objet d'un appel d'offres.
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

Point sur les incidents de sécurité des SI de santé signalés en 2019

Point sur les incidents de sécurité des SI de santé signalés en 2019 | Sécurité de l'information de santé et plus... | Scoop.it
Pour rappel, la déclaration de tout incident de sécurité sur un SI de santé ayant des conséquences potentielles ou avérées sur la sécurité des soins, la disponibilité, l’intégrité ou la confidentialité des données de santé ou encore sur le fonctionnement normal de l’établissement est obligatoire depuis le 1er octobre 2017 [1].
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

Application « StopCovid » : la CNIL tire les conséquences de ses contrôles | CNIL

Application « StopCovid » : la CNIL tire les conséquences de ses contrôles | CNIL | Sécurité de l'information de santé et plus... | Scoop.it
À la suite des contrôles diligentés par sa Présidente, la CNIL estime que la nouvelle version de l’application StopCovid respecte pour l’essentiel le RGPD et la loi Informatique et Libertés. Elle a cependant relevé plusieurs irrégularités et a mis le ministère des Solidarités et de la Santé en demeure d’y remédier.
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

Réforme du système de soins : la cybersécurité comme nouvel ADN

Le Gouvernement, au travers du Ministère des Solidarités et de la Santé, s’est donné jusqu’à mi-juillet pour revoir le système de soins dans son ensemble. Il a été appelé par différents acteurs à faire du numérique le pilier d’une nouvelle stratégie de transformation. La pandémie a prouvé l’utilité des services numériques et a accéléré le développement du "tout connecté". En parallèle, les évènements récents démontrent que les hôpitaux restent la cible d’actions malveillantes de plus en plus sophistiquées. L’accompagnement de l’essor du numérique dans le monde de la santé ne pourra se faire que sur un socle de cybersécurité avec une robustesse évaluée.
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

Vulnérabilité dans Microsoft Domain Name System (DNS) Server – CERT-FR

Vulnérabilité dans Microsoft Domain Name System (DNS) Server – CERT-FR | Sécurité de l'information de santé et plus... | Scoop.it
[mise à jour du 17 juillet 2020]

Une première preuve de concept permettant de provoquer un déni de service a été publiée le 16 juillet 2020.

Le CERT-FR rappelle qu'il est urgent d'appliquer le correctif publié par l'éditeur sans délai.

[version initiale]

Une vulnérabilité a été découverte dans le service Microsoft Domain Name System (DNS) Server. Cette vulnérabilité se situe dans le code qui analyse les réponses à des requêtes DNS. Elle peut être exploitée par un attaquant qui aurait le contrôle d'un serveur DNS ayant autorité sur un nom de domaine Internet. En construisant une réponse, dans un format particulier, à une requête légitime émise par un serveur Microsoft DNS Server, l'attaquant peut provoquer un dépassement de tampon (buffer overflow) au niveau du service Microsoft DNS Server.

L'exploitation de cette vulnérabilité peut résulter en une exécution de code arbitraire avec les privilèges SYSTEM.

Le service Microsoft DNS Server étant généralement activé sur les contrôleurs de domaines Active Directory, l'attaquant est alors capable de compromettre les contrôleurs de domaines Active Directory du système d'information.
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

La clinique d'Orthez a repris ses activités après une panne informatique

La clinique d'Orthez a repris ses activités après une panne informatique | Sécurité de l'information de santé et plus... | Scoop.it
La clinique d'Orthez a repris ses activités après une panne informatique le 30 juin après une dizaine de jours d'arrêt, a indiqué son directeur, Claude Bernard, à APMnews (site du groupe APM International dont fait partie TICsanté) le 1er juillet.
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

Responsable de traitement et sous-traitant : 6 bonnes pratiques pour respecter les données personnelles | CNIL

Responsable de traitement et sous-traitant : 6 bonnes pratiques pour respecter les données personnelles | CNIL | Sécurité de l'information de santé et plus... | Scoop.it
Le sous-traitant et le responsable de traitement sont tenus à un certain nombre de nouvelles obligations en application du RGPD. La CNIL, qui a réalisé des vérifications auprès de 15 fournisseurs de services et solutions informatiques en ligne, rappelle quelques bonnes pratiques à adopter.
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

Un décrypteur gratuit pour les victimes du ransomware ThiefQuest - ZDNet

Un décrypteur gratuit pour les victimes du ransomware ThiefQuest - ZDNet | Sécurité de l'information de santé et plus... | Scoop.it
Les victimes du ransomware ThiefQuest (précédemment nommé EvilQuest) peuvent désormais récupérer leurs fichiers cryptés gratuitement, sans avoir à payer la rançon.
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

1er Guide cyber-résilience : les mots de passe

1er Guide cyber-résilience : les mots de passe | Sécurité de l'information de santé et plus... | Scoop.it
L’APSSIS a le plaisir d’annoncer la première publication d’une série de plusieurs Guides à destination des professionnels du secteur.
No comment yet.
Scooped by GCS e-santé Pays de la Loire
Scoop.it!

Confidentialité des données médicales et Covid

Dans une récente interview[1], l’éditeur Daqsan[2], spécialisé dans les analyses des accès anormaux aux données, fait part dans certains cas d’un pic de 1 000 % des détections des accès en anomalie aux dossiers des patients (DP). Selon l’éditeur, si les accès en anomalie aux données médicales des VIP ou des voisins de palier sont restés stables, ce sont surtout les accès aux DP des collègues qui ont explosé.    
No comment yet.