Un service proposé par APM International
http://www.malta-informatique.fr/actualites/i2Jn4s/innovation-majeure-lancement-de-titan-teleconsultation
https://inovelan.fr/santnetbox/
http://www.computer-engineering.fr
http://engage.nuance.fr/DSI-GHT-reussir-son-projet-reco-vocale?cid=7010W000002C2aSQAS&ls=website&rs=Ticsante&offer=speech_recognition&ot=ebook
08/04/2016   Envoyer par mail Imprimer   Aucun commentaire
Pour commenter cette dépêche Identifiez-vous

Plus de 1.300 attaques informatiques contre des établissements de santé signalées en 2015 (ministère)

LE MANS, 8 avril 2016 (TICsanté) - Plus de 1.300 attaques informatiques contre les établissements de santé ont été signalées en 2015, a indiqué le 5 avril Philippe Loudenot, fonctionnaire de la sécurité des systèmes d'information (FSSI) au ministère des affaires sociales, lors du congrès de l'Association pour la promotion de la sécurité des systèmes d'information en santé au Mans (Apssis).

Ce décompte repose sur les "remontées volontaires" effectuées par les responsables informatiques des établissements de santé au FSSI, grâce à la "chaîne d'alerte" mise en place par le ministère des affaires sociales (voir dépêche du 24 février 2016), et ne constitue donc pas une liste exhaustive des attaques ayant eu lieu, a précisé Philippe Loudenot.

Au moins 18 incidents ont été liés à des "attaques ciblées" guidées par une véritable "volonté de nuisance", 816 ont été qualifiées d'"attaques par opportunisme", profitant de "portes ouvertes" dans les systèmes d'information (SI), et 498 sont liées à des "mésusages" de ces SI, a-t-il détaillé.

Le FSSI a estimé qu'il y avait "un énorme travail à faire" et "des marges de progression très grandes" en matière de sécurisation des systèmes d'information en santé français, qu'il a qualifié de "trop poreux", et en matière de sensibilisation des professionnels de santé.

Il a évoqué "une trop grande dichotomie" entre les différentes composantes du système d'information hospitalier (SIH) liées à la gestion administrative, logistique et médicale, soulignant particulièrement la vulnérabilité des appareils biomédicaux qui restent "trop souvent en dehors du scope des directeurs des systèmes d'information [DSI]".

Philippe Loudenot a aussi déploré le faible nombre, "moins d'une cinquantaine", de responsables de la sécurité des systèmes d'information (RSSI) nommés dans les établissements de santé. "Ce sont encore trop souvent des ingénieurs sécurité ou des DSI qui endossent cette fonction", a-t-il regretté.

Lorsque la fonction RSSI existe, il est nécessaire qu'elle "soit située au plus près de la direction et puisse lui transmettre un bilan de la sécurité des SI au moins deux fois par an", a-t-il ajouté, estimant que ce poste ne devait pas être rattaché directement à une DSI.

ESSOR DES INFECTIONS PAR RANCONGICIELS

Parmi les attaques informatiques visant les établissements de santé, l'infection des SIH par des "rançongiciels" (ramsomware) est en "constante augmentation", a indiqué Philippe Loudenot.

Ces programmes malveillants procèdent au chiffrement des données stockées sur un poste de travail ou un serveur, réclamant une rançon à l'utilisateur pour qu'il puisse à nouveau y avoir accès.

Egalement invité à s'exprimer lors de la quatrième édition du congrès de l'Apssis au Mans, Jimaan Sané, spécialiste du cyber-risque et souscripteur chez l'assureur Beazley, a partagé une analyse des attaques qui ont visé les clients de Beazley entre 2013 et 2015.

Alors que les cyber-extorsions concernaient 20 attaques en 2013, leur nombre est passé à 50 en 2014 et "plus d'une centaine" en 2015. Le secteur de la santé apparaît particulièrement visé par le piratage puisqu'il représente "entre 20% et 30%" des clients de Beazley dans le monde, mais concentre "un peu moins de 70% des incidents".

Jimaan Sané a notamment expliqué ce phénomène par la valeur d'un dossier médical revendu 50 dollars en moyenne sur le "Dark web", contre 5 dollars pour des identifiants et mots de passe d'une boîte mail, et entre 5 et 30 dollars pour des codes de carte bancaire.

Aux Etats-Unis, la menace a pris une telle ampleur que le FBI a publié sur son site web le 25 mars dernier un podcast pour sensibiliser à une meilleure protection contre les rançongiciels.

NOUVELLES DISPOSITIONS LÉGALES

En France, la loi "de modernisation de notre système de santé" promulguée en janvier dernier rend obligatoire, pour "les établissements de santé et les organismes et services exerçant des activités de prévention, de diagnostic ou de soins", le signalement à l'agence régionale de santé (ARS) des "incidents graves de sécurité des systèmes d'information", rappelle-t-on.

Les ARS sont ensuite tenues de transmettre "les incidents de sécurité jugés significatifs" aux autorités compétentes de l'État.

Présente au congrès de l'Apssis, Frédérique Pothier, chargée de mission auprès de la délégation à la stratégie des systèmes d'information de santé (DSSIS), a expliqué qu'un décret d'application de la loi devait préciser la définition d'un "incident grave" et d'un "incident jugé significatif", ainsi que la liste des établissements de santé concernés.

Le décret, qui fera l'objet d'une concertation, doit paraître "courant 2016", a-t-elle assuré, ajoutant que les services du ministère et de la DSSIS "travaillent d'arrache-pied" pour respecter ce délai.

rm/ab/

Partagez cet article

Les dépêches liées à cette information
https://www.groupepsih.com/
http://bit.ly/vmpourtous
http://www.web100t.fr
http://www.ticsante.com/show.php?page=inscription
http://www.vieviewer.com/
http://www.axigate-france.fr/axigate-reflex/
Les offres

Développeur Java (H/F)

Île-de-France



Les offres d'emploi
Agenda
Consumer Electronic Show 2019
Du 08/01/2019 au 11/01/2019
Colloque TIC santé 2019
Du 06/02/2019 au 07/02/2019
Hacking Health Camp 2019
Du 22/03/2019 au 24/03/2019
7ème Congrès national de l'Apssis
Du 02/04/2019 au 04/04/2019
2e Forum Derm@to Connecté
Le 17/05/2019