https://inovelan.fr/santnetbox/

Systèmes d'information

Plus de 1.300 attaques informatiques contre des établissements de santé signalées en 2015 (ministère)

0 62

LE MANS, 8 avril 2016 (TICsanté) - Plus de 1.300 attaques informatiques contre les établissements de santé ont été signalées en 2015, a indiqué le 5 avril Philippe Loudenot, fonctionnaire de la sécurité des systèmes d'information (FSSI) au ministère des affaires sociales, lors du congrès de l'Association pour la promotion de la sécurité des systèmes d'information en santé au Mans (Apssis).

Ce décompte repose sur les "remontées volontaires" effectuées par les responsables informatiques des établissements de santé au FSSI, grâce à la "chaîne d'alerte" mise en place par le ministère des affaires sociales (voir dépêche du 24 février 2016), et ne constitue donc pas une liste exhaustive des attaques ayant eu lieu, a précisé Philippe Loudenot.

Au moins 18 incidents ont été liés à des "attaques ciblées" guidées par une véritable "volonté de nuisance", 816 ont été qualifiées d'"attaques par opportunisme", profitant de "portes ouvertes" dans les systèmes d'information (SI), et 498 sont liées à des "mésusages" de ces SI, a-t-il détaillé.

Le FSSI a estimé qu'il y avait "un énorme travail à faire" et "des marges de progression très grandes" en matière de sécurisation des systèmes d'information en santé français, qu'il a qualifié de "trop poreux", et en matière de sensibilisation des professionnels de santé.

Il a évoqué "une trop grande dichotomie" entre les différentes composantes du système d'information hospitalier (SIH) liées à la gestion administrative, logistique et médicale, soulignant particulièrement la vulnérabilité des appareils biomédicaux qui restent "trop souvent en dehors du scope des directeurs des systèmes d'information [DSI]".

Philippe Loudenot a aussi déploré le faible nombre, "moins d'une cinquantaine", de responsables de la sécurité des systèmes d'information (RSSI) nommés dans les établissements de santé. "Ce sont encore trop souvent des ingénieurs sécurité ou des DSI qui endossent cette fonction", a-t-il regretté.

Lorsque la fonction RSSI existe, il est nécessaire qu'elle "soit située au plus près de la direction et puisse lui transmettre un bilan de la sécurité des SI au moins deux fois par an", a-t-il ajouté, estimant que ce poste ne devait pas être rattaché directement à une DSI.

ESSOR DES INFECTIONS PAR RANCONGICIELS

Parmi les attaques informatiques visant les établissements de santé, l'infection des SIH par des "rançongiciels" (ramsomware) est en "constante augmentation", a indiqué Philippe Loudenot.

Ces programmes malveillants procèdent au chiffrement des données stockées sur un poste de travail ou un serveur, réclamant une rançon à l'utilisateur pour qu'il puisse à nouveau y avoir accès.

Egalement invité à s'exprimer lors de la quatrième édition du congrès de l'Apssis au Mans, Jimaan Sané, spécialiste du cyber-risque et souscripteur chez l'assureur Beazley, a partagé une analyse des attaques qui ont visé les clients de Beazley entre 2013 et 2015.

Alors que les cyber-extorsions concernaient 20 attaques en 2013, leur nombre est passé à 50 en 2014 et "plus d'une centaine" en 2015. Le secteur de la santé apparaît particulièrement visé par le piratage puisqu'il représente "entre 20% et 30%" des clients de Beazley dans le monde, mais concentre "un peu moins de 70% des incidents".

Jimaan Sané a notamment expliqué ce phénomène par la valeur d'un dossier médical revendu 50 dollars en moyenne sur le "Dark web", contre 5 dollars pour des identifiants et mots de passe d'une boîte mail, et entre 5 et 30 dollars pour des codes de carte bancaire.

Aux Etats-Unis, la menace a pris une telle ampleur que le FBI a publié sur son site web le 25 mars dernier un podcast pour sensibiliser à une meilleure protection contre les rançongiciels.

NOUVELLES DISPOSITIONS LÉGALES

En France, la loi "de modernisation de notre système de santé" promulguée en janvier dernier rend obligatoire, pour "les établissements de santé et les organismes et services exerçant des activités de prévention, de diagnostic ou de soins", le signalement à l'agence régionale de santé (ARS) des "incidents graves de sécurité des systèmes d'information", rappelle-t-on.

Les ARS sont ensuite tenues de transmettre "les incidents de sécurité jugés significatifs" aux autorités compétentes de l'État.

Présente au congrès de l'Apssis, Frédérique Pothier, chargée de mission auprès de la délégation à la stratégie des systèmes d'information de santé (DSSIS), a expliqué qu'un décret d'application de la loi devait préciser la définition d'un "incident grave" et d'un "incident jugé significatif", ainsi que la liste des établissements de santé concernés.

Le décret, qui fera l'objet d'une concertation, doit paraître "courant 2016", a-t-elle assuré, ajoutant que les services du ministère et de la DSSIS "travaillent d'arrache-pied" pour respecter ce délai.

rm/ab/

La Rédaction
redaction@ticsante.com

http://www.computer-engineering.fr/

Systèmes d'information

Sécurité informatique: plus de 140 incidents déclarés par des structures de santé avec le nouveau dispositif de signalement

(Par Raphaël MOREAUX, au 6ème congrès national de l'Apssis)

LE MANS, 6 avril 2018 (TICsanté) - Plus de 140 incidents informatiques ont été déclarés par les structures de santé depuis la mise en place du nouveau dispositif de signalement des incidents en octobre 2017, a déclaré le 3 avril Philippe Loudenot, fonctionnaire en charge de la sécurité des systèmes d'information (FSSI) du ministère des solidarités et de la santé.

0 133

E-santé

La suite du programme Hôpital numérique soutiendra l'ouverture des établissements vers la ville (DGOS)

(Par Raphaël MOREAUX, au 6ème congrès de l'Apssis)

LE MANS, 5 avril 2018 (TICsanté) - Le programme Hop'EN, qui doit prendre en 2018 le relais du programme Hôpital numérique, devrait comporter de nouveaux prérequis en matière d'échange et de partage d'informations entre les établissements, les acteurs de santé de ville et le patient, a indiqué mardi Michel Raux, chargé de mission au bureau systèmes d'information de la direction générale de l'offre de soins (DGOS).

0 172

Vos réactions

Anti-spam : Veuillez saisir le résultat de ce calcul S.V.P
8 + 2 =
http://www.canyon.fr/
https://www.groupepsih.com/
http://www.corwin.eu/logiciel-sante.html?utm_source=ticsante&utm_medium=banniere&utm_campaign=fevrier2019

TICpharma.com

Découvrez le site de référence sur la transformation numérique des industries de santé

Découvrir le site

événements

  • Hacking Health Camp 2019

    Du 22/03/2019 au 24/03/2019

  • 7ème Congrès national de l'Apssis

    Du 02/04/2019 au 04/04/2019

  • Congrès Pro Digital Health

    Du 04/04/2019 au 05/04/2019

  • 2e Forum Derm@to Connecté

    Le 17/05/2019

  • Paris Healthcare Week 2019

    Du 21/05/2019 au 23/05/2019

  • 59èmes Journées d'études et de formation de l'IHF

    Du 05/06/2019 au 07/06/2019