https://vieviewer.com/
https://www.sham.fr/vos-donnees?utm_source=site_web&utm_medium=banner&utm_campaign=banniere_gif_ticsante_octobre&utm_term=&utm_content=

Systèmes d'information

Cybersécurité: 37% des vulnérabilités détectées posent un risque de divulgation d'informations

0 273

PARIS (TICsanté) - Plus du tiers (37%) des vulnérabilités détectées lors d'audits réalisés par le service cybersurveillance de l'Agence du numérique en santé (ANS, ex-Asip santé) posent un risque de divulgation d'informations patients, a indiqué Cédric Bertrand, expert en cybersécurité de l'ANS, lors d'une conférence en ligne le 5 octobre.

Le service cybersurveillance de l'ANS réalise des audits externes de cybersécurité des établissements de santé à distance, à leur demande, a-t-il expliqué.

Depuis sa création il y a 18 mois, il a audité "une soixantaine de structures, en particulier des groupements hospitaliers de territoire" (GHT).

Il est doté d'une plateforme qui permet de réaliser automatiquement ces audits. A la différence des audits réalisés par des sociétés privées, l'analyse "se concentre sur les applications médicales", a souligné Cédric Bertrand.

Elle utilise notamment les signalements d'incidents à la cellule d'accompagnement cybersécurité des structures de santé (ACSS) de l'ANS.

Depuis le 1er octobre 2017, les structures de santé sont tenues de relayer aux agences régionales de santé (ARS) les incidents de sécurité informatique jugés "graves" et "significatifs", et l'ANS est chargée d'apporter un appui au traitement des incidents au travers de la cellule ACSS, rappelle-t-on.

Concrètement, la plateforme du service cybersurveillance analyse les sous-domaines de l'établissement afin de détecter d'éventuelles failles de sécurité, notamment des accès ou des données non protégées.

Les sous-domaines sont des extensions qui précèdent le nom de domaine principal, qui permettent d'accéder à des sections du site web ou des applications. Par exemple, dans l'adresse "etablissements.fhf.fr", "etablissements" est un sous-domaine du domaine du "fhf.fr".

Les structures auditées possédaient en moyenne 103 domaines. "Cela peut paraître énorme, mais c'est dû au fait que nous auditons principalement des GHT qui se composent d'un CHU et de plusieurs petits CH qui ont chacun leurs domaines", a expliqué Cédric Bertrand.

"Certains grands CHU ont jusqu'à 400 ou 500 domaines", qui représentent autant de portes d'entrée potentielles pour un attaquant, a-t-il ajouté.

Outre le risque de divulgation d'informations, les autres vulnérabilités les plus répandues concernent l'implémentation de la cryptographie (23%), la gestion des correctifs (18%), la gestion de la configuration logicielle (11%) et le défaut de contrôle d'accès (10%).

En moyenne, 27 vulnérabilités par structure auditée ont été repérées. Parmi celles-ci, 8 étaient qualifiées de "fortes", 12 de "moyennes" et 7 de "faibles" par l'ANS.

Les vulnérabilités les plus graves détectées sont: un système d'exploitation qui n'est pas à jour (37% des cas), la possibilité d'attaque par force brute ou dictionnaire sur les mots de passe (37%), la présence d'un composant obsolète (37%), des injections de code possibles au sein d'une application (21%) et des serveurs de développement accessibles (21%).

Ces deux dernières sont le plus souvent dues à de "mauvaises pratiques de développement", a indiqué Cédric Bertrand.

Dans 80% des établissements, une vulnérabilité répandue "permettait de prendre le contrôle d'au moins un serveur ou d'accéder à des données confidentielles".

De plus, 35% des vulnérabilités les plus critiques ont été repérées sur des systèmes d'information (SI) infogérés, c'est-à-dire gérés par des prestataires assurant le fonctionnement du logiciel et du serveur associé.

Dans les petites structures, qui possèdent moins de 10 domaines, les vulnérabilités les plus graves détectées sont la présence d'un composant obsolète (60%), un système d'exploitation qui n'est pas à jour (20%) et des serveurs de développement accessibles (20%).

Dans les grandes structures, il s'agit de la possibilité d'attaque par force brute ou dictionnaire sur les mots de passe (50%) et d'un système d'exploitation qui n'est pas à jour (53%).

Viennent ensuite les injections de code possibles au sein d'applications (29%), la présence d'un composant obsolète (29%) et un système d'exploitation obsolète (21%).

Victime d'une cyberattaque en octobre 2019, le centre hospitalier de La Bassée (CHLB), qui a fonctionné en mode dégradé pendant plusieurs semaines, utilisait plusieurs machines utilisant un système d'exploitation obsolète, note-t-on.

La moitié des structures n'avaient jamais réalisé d'audit de sécurité

Par ailleurs, 50% des structures auditées n'avaient jamais réalisé d'audit de sécurité et 40% n'avaient aucun mécanisme de protection en place, a déploré Cédric Bertrand.

Dans 40% des établissements, des serveurs à l'abandon ou non répertoriés ont été découverts, "parce que le poste du responsable de la sécurité des systèmes d'information [RSSI] vient d'être créé, ou qu'ils ont été créés sans prévenir la direction des systèmes d'information [DSI] ou le RSSI", a-t-il ajouté.

Une "interface de commande d'audits" va être mise en place début 2021, afin de permettre aux RSSI, "en particulier de GHT", de demander et d'obtenir plus rapidement des audits sur les périmètres et aux dates qu'ils auront définis, a fait savoir Cédric Bertrand. Une "restitution automatisée" sera envoyée aux établissements.

LĂ©o Caravagna
leo.caravagna@apmnews.com

http://www.computer-engineering.fr/

Systèmes d'information

Feuille de route numérique: six nouveaux chapitres de la doctrine technique publiés et soumis à concertation

PARIS (TICsanté) - L'Agence des systèmes d'information partagés de santé (Asip santé), a publié le 6 novembre six nouveaux chapitres de la doctrine et a appelé aux contributions et réactions des acteurs de l’écosystème dans le cadre de la concertation.

0 1000

Systèmes d'information

L'Anap publie un kit sur l'informatique pour les directeurs du médico-social

PARIS (TICsanté) - L'Agence nationale d'appui à la performance des établissements de santé et médico-sociaux (Anap) a mis en ligne le 11 octobre un kit comprenant plusieurs documents sur "les fondamentaux du système d'information" (SI) à destination des directeurs de structures médico-sociales.

0 948

Vos réactions

Anti-spam : Veuillez saisir le résultat de ce calcul S.V.P
6 + 8 =
http://www.canyon.fr/
https://openbi.org/

Les offres APMjob.com

https://www.dedalus-france.fr/

TICpharma.com

Découvrez le site de référence sur la transformation numérique des industries de santé

DĂ©couvrir le site

événements

  • HDI Day

    Le 18/11/2020

  • SantExpo Live (ex-Paris Healthcare Week)

    Du 15/12/2020 au 17/12/2020

  • Consumer Electronics Show (CES) 2021

    Du 11/01/2021 au 14/01/2021

  • 6e JournĂ©es des start-up innovantes du dispositif mĂ©dical

    Le 13/04/2021