https://vieviewer.com/
https://www.sham.fr/vos-donnees?utm_source=site_web&utm_medium=banner&utm_campaign=banniere_gif_ticsante_octobre&utm_term=&utm_content=

Systèmes d'information

Cybersécurité: 37% des vulnérabilités détectées posent un risque de divulgation d'informations

0 450

PARIS (TICsanté) - Plus du tiers (37%) des vulnérabilités détectées lors d'audits réalisés par le service cybersurveillance de l'Agence du numérique en santé (ANS, ex-Asip santé) posent un risque de divulgation d'informations patients, a indiqué Cédric Bertrand, expert en cybersécurité de l'ANS, lors d'une conférence en ligne le 5 octobre.

Le service cybersurveillance de l'ANS réalise des audits externes de cybersécurité des établissements de santé à distance, à leur demande, a-t-il expliqué.

Depuis sa création il y a 18 mois, il a audité "une soixantaine de structures, en particulier des groupements hospitaliers de territoire" (GHT).

Il est doté d'une plateforme qui permet de réaliser automatiquement ces audits. A la différence des audits réalisés par des sociétés privées, l'analyse "se concentre sur les applications médicales", a souligné Cédric Bertrand.

Elle utilise notamment les signalements d'incidents à la cellule d'accompagnement cybersécurité des structures de santé (ACSS) de l'ANS.

Depuis le 1er octobre 2017, les structures de santé sont tenues de relayer aux agences régionales de santé (ARS) les incidents de sécurité informatique jugés "graves" et "significatifs", et l'ANS est chargée d'apporter un appui au traitement des incidents au travers de la cellule ACSS, rappelle-t-on.

Concrètement, la plateforme du service cybersurveillance analyse les sous-domaines de l'établissement afin de détecter d'éventuelles failles de sécurité, notamment des accès ou des données non protégées.

Les sous-domaines sont des extensions qui précèdent le nom de domaine principal, qui permettent d'accéder à des sections du site web ou des applications. Par exemple, dans l'adresse "etablissements.fhf.fr", "etablissements" est un sous-domaine du domaine du "fhf.fr".

Les structures auditées possédaient en moyenne 103 domaines. "Cela peut paraître énorme, mais c'est dû au fait que nous auditons principalement des GHT qui se composent d'un CHU et de plusieurs petits CH qui ont chacun leurs domaines", a expliqué Cédric Bertrand.

"Certains grands CHU ont jusqu'à 400 ou 500 domaines", qui représentent autant de portes d'entrée potentielles pour un attaquant, a-t-il ajouté.

Outre le risque de divulgation d'informations, les autres vulnérabilités les plus répandues concernent l'implémentation de la cryptographie (23%), la gestion des correctifs (18%), la gestion de la configuration logicielle (11%) et le défaut de contrôle d'accès (10%).

En moyenne, 27 vulnérabilités par structure auditée ont été repérées. Parmi celles-ci, 8 étaient qualifiées de "fortes", 12 de "moyennes" et 7 de "faibles" par l'ANS.

Les vulnérabilités les plus graves détectées sont: un système d'exploitation qui n'est pas à jour (37% des cas), la possibilité d'attaque par force brute ou dictionnaire sur les mots de passe (37%), la présence d'un composant obsolète (37%), des injections de code possibles au sein d'une application (21%) et des serveurs de développement accessibles (21%).

Ces deux dernières sont le plus souvent dues à de "mauvaises pratiques de développement", a indiqué Cédric Bertrand.

Dans 80% des établissements, une vulnérabilité répandue "permettait de prendre le contrôle d'au moins un serveur ou d'accéder à des données confidentielles".

De plus, 35% des vulnérabilités les plus critiques ont été repérées sur des systèmes d'information (SI) infogérés, c'est-à-dire gérés par des prestataires assurant le fonctionnement du logiciel et du serveur associé.

Dans les petites structures, qui possèdent moins de 10 domaines, les vulnérabilités les plus graves détectées sont la présence d'un composant obsolète (60%), un système d'exploitation qui n'est pas à jour (20%) et des serveurs de développement accessibles (20%).

Dans les grandes structures, il s'agit de la possibilité d'attaque par force brute ou dictionnaire sur les mots de passe (50%) et d'un système d'exploitation qui n'est pas à jour (53%).

Viennent ensuite les injections de code possibles au sein d'applications (29%), la présence d'un composant obsolète (29%) et un système d'exploitation obsolète (21%).

Victime d'une cyberattaque en octobre 2019, le centre hospitalier de La Bassée (CHLB), qui a fonctionné en mode dégradé pendant plusieurs semaines, utilisait plusieurs machines utilisant un système d'exploitation obsolète, note-t-on.

La moitié des structures n'avaient jamais réalisé d'audit de sécurité

Par ailleurs, 50% des structures auditées n'avaient jamais réalisé d'audit de sécurité et 40% n'avaient aucun mécanisme de protection en place, a déploré Cédric Bertrand.

Dans 40% des établissements, des serveurs à l'abandon ou non répertoriés ont été découverts, "parce que le poste du responsable de la sécurité des systèmes d'information [RSSI] vient d'être créé, ou qu'ils ont été créés sans prévenir la direction des systèmes d'information [DSI] ou le RSSI", a-t-il ajouté.

Une "interface de commande d'audits" va être mise en place début 2021, afin de permettre aux RSSI, "en particulier de GHT", de demander et d'obtenir plus rapidement des audits sur les périmètres et aux dates qu'ils auront définis, a fait savoir Cédric Bertrand. Une "restitution automatisée" sera envoyée aux établissements.

LĂ©o Caravagna
leo.caravagna@apmnews.com

http://www.computer-engineering.fr/

Systèmes d'information

Dedalus formule une offre de rachat de la division informatique du groupe Agfa

FLORENCE, PARIS (TICsanté) - L'éditeur de logiciels Dedalus (ex-Medasys) a déposé une "offre ferme" et entamé des "négociations exclusives" en vue de l’acquisition d’une partie de l'activité logiciels de santé du groupe Agfa-Gevaert, ont annoncé le 2 décembre les deux parties, dans deux communiqués distincts.

0 771

Systèmes d'information

Cybersécurité: 693 incidents déclarés par les structures de santé depuis deux ans

PARIS (TICsanté) - L'Agence des systèmes d'information partagés de santé (Asip santé) a recensé 693 incidents déclarés par les structures sanitaires depuis la mise en place d'un nouveau dispositif de signalement, en octobre 2017, a-t-elle indiqué le 2 décembre à TICsanté.

0 715

Vos réactions

Anti-spam : Veuillez saisir le résultat de ce calcul S.V.P
5 + 8 =
http://www.canyon.fr/
https://openbi.org/
https://mipih.fr/votre-projet-mipih/piloter-la-performance/desionnel2.html

Les offres APMjob.com

TICpharma.com

Découvrez le site de référence sur la transformation numérique des industries de santé

DĂ©couvrir le site

événements

  • Consumer Electronics Show (CES) 2021

    Du 11/01/2021 au 14/01/2021

  • SantExpo Live (Ex-Paris Healthcare Week)

    Du 09/03/2021 au 11/03/2021

  • 6e JournĂ©es des start-up innovantes du dispositif mĂ©dical

    Le 13/04/2021