Le Système d’information de Santé vu par un RSSI

3
778

forum-sih-ban

Le terme sécurité dans le monde informatique évoque souvent de très amers souvenir d’attaques de hackers, de perte voir de vols de données, ou encore de la prise de contrôle non programmée d’une centrale nucléaire a des fin malhonnêtes.
Bien que ces épisodes très présents de nos jours fassent souvent la une des journaux, ils n’en demeurent pas moi que l’apex de l’iceberg.
En effet lorsque les RSSI parlent de sécurité ils entendent par-là la protection des systèmes contre des usages frauduleux, la sécurisation des logiciels et autres automates remplissant des taches importantes, mais aussi le traçage et la correction d’usage non règlementaire pas les cibles métiers, les ingénieurs systèmes et même les utilisateurs « absent de la liste d’invités – les hackers ».

L’actualité en ce début d’année est très riche en terme de sécurité des systèmes d’informations, et donc des systèmes d’information de santé.

Alors que l’instruction de la DGOS du 23 décembre 2014 oblige depuis le premier janvier les établissements de santé à disposer d’un système de messagerie compatible MSSanté, combien ont réellement franchi le pas ?
Cette approche évolutive vise à connecter tous les corps de métiers hospitaliers (médecins, aides-soignantes, administrations, finances, ambulanciers, informaticiens, juristes, etc.)

Cependant un tel projet requiert non seulement une visibilité claire sur l’usage actuel de la communication hospitalière, mais aussi une vision ambitieuse de ce que devront être les usages futurs ; tout en tenant compte des avancées technologiques, juridique et comportementales.

Pas la majorité à mon avis.
Deux possibilités, tout d’abord, les passerelles MSSanté pour les messageries hébergées en interne et les messageries hébergées par la suite, mais combien de solutions efficientes ?

La plupart des messageries régionales ont rejoint l’espace de confiance.

Apicrypt qui « fait le boulot » depuis 20 ans et qui a récemment obtenu le label France Cyber Security décerné par l’ANSSI est toujours en attente de son agrément HADS pour devenir « MSS Compatible ».

Techniquement les « big players » on déjà mis main à la patte, car au-delà de leurs affinités bénévoles vers l’avancement caritatif de la santé mondiale, leurs DGF (Directions Générales des Finances) leur ont certainement évoqués les possibles retombées fiscales et économiques d’un tel investissement (chiffrées en milliards de dollars).

Microsoft l’avait annoncé, c’est chose faite : les versions d’Internet Explorer antérieures à la version 11 ne sont plus supportées, il en est de même pour les versions de .Net Framework 4.5.2, ainsi que pour Windows 8 !
Mauvaises nouvelles pour les éditeurs qui ont encore des « pseudos applications web » qui ne tournent que sous IE8 et .Net 1.5 !
Nouvelles encore plus mauvaises pour nous établissements, car nous allons être obligés de laisser des « portes ouvertes » pour que nos utilisateurs puissent travailler.

Le bug, le virus, le malware, les Black Hat, et le Ransomware.
Pour les lecteurs non avertis, il est possible de penser que les précurseurs de toutes ces plaies informatiques aussi anciennes que l’Abacus lui-même, tirent leur source d’un des chapitre de la saga Star Wars de Georges Lucas, de par la création de « gentils » et de méchants qui se réinventent constamment au fils des générations, et nous les spectateurs (je veux dire utilisateurs) en sommes les contribuables volontaires.

L’année 2015 s’est terminée sur un constat en matière d’attaques : 2015 a été l’année du ransomware (rançongiciel en français) puisque parmi les 14 millions de nouveaux échantillons de malwares apparues en 2015 recensés par l’organisme indépendant av-test.org, 56% de ces malwares envoyés par mails étaient des ransomwares comme l’a souligné l’éditeur de solutions de sécurité Bitdefender.
L’année 2016 semble bien partie avec l’apparition de Ransom32, un ransomware entièrement développé en JavaScript.
Un ransomware qui sévit aujourd’hui uniquement sur les systèmes d’exploitation Windows, mais qui pourrait devenir rapidement multi plateformes comme l’a souligné un chercheur de chez Emisoft.

Aujourd’hui il est même possible de tomber dans le piège d’un courriel apparemment inoffensifs (tel les sollicitations généreuses venant du fin fond des royaumes de villages nigérians, ou même de la soudaine générosité de banques asiatiques vous offrant de vous reverser les sommes incroyables des épargnes de lointains parents que vous ne connaissez pas, mais qui portent bien votre nom ; soit disant).

Le téléphone comme nouvelle arme des cybers criminels, on en a entendu parler en septembre sur le blog de Damien Bancal ou on y a été confrontés, comme nous au CH de Saint-Flour.
Attention la tendance est de retour et les DSI et leurs équipes en sont la cible, avec des escrocs cherchant à vous soutirer des informations sur vos équipements de sécurité.

De nombreuses mises à jour de sécurité ont été publiées (plus de détails sur forum-sih.fr) depuis le passage à la nouvelle année :
Android, Quicktime, VMware, WordPress, Cisco, McAffee, Acrobat, Windows, Silverlight, Internet Explorer et Edge, Exchange, Office, Huawei et la distribution Linux Debian du très regretté Ian Murdock qui nous a quitté pendant les fêtes de fin d’année.

Enfin une nouvelle plus réjouissante pour attaquer cette nouvelle année, l’autorité de certification Let’s Encrypt qui propose des certificats SSL gratuits depuis début décembre, voit déjà ces certificats distribués en France par l’hébergeur Infomaniak, qui va être suivi par Gandi et OVH, eux aussi sponsors de ce projets.

L’ASIP santé a annoncée il y a quelques jours la mise en place d’une nouvelle infrastructure de gestion des clés baptisée IGC-Santé qui aura pour but à terme de remplacer progressivement les deux infrastructures existantes IGC-CPS2bis et IGC-CPS2ter qui expirent en 2020.

Ainsi pour conclure, il serait grand temps que les RSSI, leurs responsables, mais aussi la communauté connectée toute entière prenne conscience de l’ampleur de cette mise en scène entre les infracteurs de nos systèmes de sécurité, et ceux qui les sponsorisent.

A bientôt pour un prochain billet, en attendant restez vigilants !

Charles BLANC ROLIN
RSSI – CH de Saint-Flour
http://www.forum-sih.fr

3 Commentaires

  1. […] Alors que l’instruction de la DGOS du 23 décembre 2014 oblige depuis le premier janvier les établissements de santé à disposer d’un système de messagerie compatible MSSanté, combien ont réellement franchi le pas ?Cette approche évolutive vise à connecter tous les corps de métiers hospitaliers (médecins, aides-soignantes, administrations, finances, ambulanciers, informaticiens, juristes, etc.)Cependant un tel projet requiert non seulement une visibilité claire sur l’usage actuel de la communication hospitalière, mais aussi une vision ambitieuse de ce que devront être les usages futurs ; tout en tenant compte des avancées technologiques, juridique et comportementales.Pas la majorité à mon avis.Deux possibilités, tout d’abord, les passerelles MSSanté pour les messageries hébergées en interne et les messageries hébergées par la suite, mais combien de solutions efficientes ?La plupart des messageries régionales ont rejoint l’espace de confiance.  […]

  2. […] Alors que l’instruction de la DGOS du 23 décembre 2014 oblige depuis le premier janvier les établissements de santé à disposer d’un système de messagerie compatible MSSanté, combien ont réellement franchi le pas ? Cette approche évolutive vise à connecter tous les corps de métiers hospitaliers (médecins, aides-soignantes, administrations, finances, ambulanciers, informaticiens, juristes, etc.)Cependant un tel projet requiert non seulement une visibilité claire sur l’usage actuel de la communication hospitalière, mais aussi une vision ambitieuse de ce que devront être les usages futurs ; tout en tenant compte des avancées technologiques, juridique et comportementales.Pas la majorité à mon avis. Deux possibilités, tout d’abord, les passerelles MSSanté pour les messageries hébergées en interne et les messageries hébergées par la suite, mais combien de solutions efficientes ?La plupart des messageries régionales ont rejoint l’espace de confiance.  […]

Laisser un commentaire