Archives de catégorie : santé

Kroll Ontrack présente le top 10 des pertes de données les plus insolites de l’année 2015

Kroll Ontrack, le spécialiste de la récupération de données et de la de la recherche d’informations et de preuves informatiques, vient de sortir son marronnier de Noël : les 10 pertes de données les plus insolites de l’année 2015. Une idée amusante qui permet de se rendre compte que « paumer » des informations numériques n’arrive pas qu’aux autres.

Peu importe la situation, que l’appareil ait été écrasé, brûlé, plongé dans l’eau, projeté contre un mur ou qu’il soit simplement tombé par terre, il existe toujours un espoir de récupérer des données que l’on pense perdues. Chez Kroll Ontrack on affirme être capable de récupérer des informations dans les pires des conditions. « Nous disposons de services et de logiciels propriétaires de récupération de données qui nous permettent de retrouver les précieuses données de nos clients et partenaires. » souligne à Data Security Breach Kroll Ontrack.

N° 10 : Les joies de l’été (Allemagne)
Le responsable informatique d’une petite entreprise en plein travaux de rénovation, y compris dans la salle serveur, constate un vendredi que les bâches en plastique servant à protéger cette salle n’empêchent pas la poussière de pénétrer à l’intérieur. Il décide alors de déplacer le serveur dans une autre pièce pour l’éloigner des travaux le temps du week-end. Le lundi matin au retour d’un week-end très chaud et ensoleillé, il s’aperçoit que ses collègues n’arrivent pas à se connecter. Il comprend rapidement qu’un de ses collègues avait éteint la climatisation de la pièce où il avait déplacé le serveur, qui avait considérablement surchauffé. Kroll Ontrack a pu récupérer 99 % des données.

N° 9 : PC vintage (Pologne)
Un client continue à utiliser son Amiga 600 (introduit sur le marché en 1992 !) quand un beau jour il cesse (finalement !) de fonctionner. Nul accident, nulle erreur humaine, simplement un vieil appareil arrivé en fin de vie. Son Amiga 600 était bien plus qu’une simple machine : c’était surtout un cadeau d’enfance rempli de souvenirs.

N° 8 : malchance professionnelle (Norvège)
Un particulier, victime d’une perte de données s’adresse à une entreprise locale de dépannage informatique. En pleine copie des données sur une sauvegarde pendant la nuit, processus qui peut prendre plusieurs heures, la femme de ménage de l’entreprise fait tomber accidentellement le disque par terre. Immédiatement, celui-ci émet un cliquetis très bruyant. L’entreprise de dépannage informatique ne prend pas de risque et envoie le disque. 98,8 % des données ont été récupérées en salle blanche.

N° 7 : Déjà vu (Pologne)
Un serveur RAID comportant 22 disques qui a déjà fait l’objet d’une récupération suite à une première perte de données. Le client a réutilisé les « bons » disques, remplacé les disques défectueux et a continué à utiliser le serveur. Le client n’a pas tiré de leçon de sa première perte de données : il n’avait pas mis en place de solution de sauvegarde, le serveur était tombé de nouveau en panne (et les disques ont dû de nouveau être envoyés en vue de récupérer les données). Moralité : ne jamais réutiliser un système défaillant sans mettre en place les protections nécessaires !

N° 6 : Données dissoutes (Pologne)
« J’ai renversé du solvant sur mon ordinateur portable. Je suis en route pour vos bureaux », annonce une voix au téléphone. Nous apprenons vite ce qu’il s’est passé : alors qu’il préparait une couleur de peinture personnalisée pour son épouse, ce qui nécessitait de mélanger différentes peintures avec du solvant pour obtenir la teinte souhaitée, notre client a renversé accidentellement le pot ouvert de solvant sur un ordinateur portable qui se trouvait par terre, utilisé pour diffuser de la musique. Une triste fin pour l’ordinateur, mais heureusement pas pour les données qui ont toutes été sauvées.

N° 5 : Coup de sang (États-Unis)
Passablement énervée, une cliente s’empare de son ordinateur portable et le jette de toutes ses forces contre un mur. Le disque rebondit contre le mur et tombe par terre. Malgré un lancer de 3 mètres, le choc contre le mur et la chute au sol, toutes les données ont été récupérées !

N° 4 : Un jardinage qui tourne mal (Royaume-Uni)
Un client est en train de tondre sa pelouse quand son smartphone tombe par mégarde par terre. Il s’en aperçoit trop tard après que la tondeuse soit passée dessus, broyant complètement l’appareil. Quelques minutes et un téléphone détruit plus tard, il contacte l’entreprise pour savoir s’il peut récupérer ses données.

N° 3 : iPad en vadrouille (Royaume-Uni)
Un client laisse tomber son iPad par la fenêtre d’un train en pleine campagne. Bien que miraculeusement retrouvé, l’iPad est gravement endommagé et l’accès aux données s’en trouve compromis. L’écran tactile est détruit, si bien que l’iPad ne répond plus au toucher, tandis que la seconde couche d’écran, composée du LCD (qui affiche le contenu), le châssis, la batterie et le connecteur Lightning sont tous endommagés. Les composants électroniques sont également endommagés, au point que l’iPad redémarre toutes les deux minutes, ne laissant à l’ingénieur que quelques secondes pour effectuer la récupération entre les redémarrages. Malgré ces obstacles, les experts découvrent que la carte mère est plutôt en bon état et 100 % des données sont récupérées !

N° 2 : iPhone embelli (Italie)
Alors qu’elle est en train de se démaquiller à la fin de la journée, une cliente renverse sa lotion nettoyante qui se répand sur son iPhone. Impossible alors de démarrer le téléphone. Elle contacte la société en stipulant que la lotion répandue par inadvertance est d’une marque très connue !

N° 1 : Feu + eau = solution ou problème ? (Royaume-Uni)
Quand votre ordinateur portable abritant toutes vos données se trouve dans votre appartement (sans avoir de sauvegarde) au moment d’un début d’incendie dans votre immeuble qui déclenche les extincteurs, on peut dire que ce n’est pas votre jour de chance ! Même dans ces conditions où le média a subi de lourds dégâts dus au feu et à l’eau, les techniciens réussissent à récupérer 100 % des données.

Escroquerie à la mort

Connaître le décès d’une personne permet à des escrocs d’appeler les familles pour espérer les piéger.

Des escrocs se font passer pour des associations de généalogie afin de soutirer de l’argent aux familles d’un défunt. L’idée est malheureusement terriblement efficace. D’abord, l’escroc collecte les identités des personnes décédées. Il suffit de faire une revue de presse des quotidiens locaux, voir des journaux municipaux, pour trouver les informations de base.

Ensuite, les voleurs font un environnement de la famille. Les escrocs inscrivent toutes les informations qui serviront ensuite à convaincre l’interlocuteur qu’ils contacteront par téléphone. Ils expliquent être mandatés par un avocat, un notaire ou une association de généalogie, comme ces cas révélés en Picardie.

L’excuse des voleurs, le défunt aurait souscris une assurance vie. Bien entendu, si le cas vous touche, ne fournissez AUCUNES informations bancaires. Demandez un numéro de téléphone pour rappeler. Attention ! Les escrocs peuvent vous fournir un 0899 (numéro surtaxés). Refusez aussi !

Sécurité informatique & Santé

La 4ème édition du Congrès National SSI Santé se tiendra au Mans, du 4 au 6 avril 2016.

Rendez-vous incontournable de la sécurité des systèmes d’information de santé, le Congrès National de la Sécurité des SI de Santé est une occasion unique de faire le point sur les enjeux de sécurité numérique tant au niveau du partage des données médicales (DMP, e-santé, m-santé, big data…) que de la protection des systèmes d’information de santé au sein des établissements.

L’APSISS, l’Association pour la Sécurité des Systèmes d’Information de Santé, annonce la quatrième édition du Congrès National de la Sécurité des SI de Santé (CNSSIS), du 4 au 6 avril 2016 au Mans. Réunissant l’écosystème SSI Santé, Directeurs généraux, institutionnels, DSI, RSSI, médecins, experts, constructeurs et éditeurs, le CNSSIS 2016 accueillera de nombreuses conférences et tables rondes autour des enjeux de la sécurité numérique au sein de la filière santé.

« Les problématiques de sécurité numérique en santé sont de plus en plus prégnantes. Avec l’ouverture de l’hôpital vers la médecine de ville, le renouveau du DMP ou encore les innovations rapides en matière de e-santé et m-santé, il devient essentiel de maîtriser la protection des données médicales, des applications et des systèmes tout au long du parcours du patient désormais connecté et acteur de sa santé », souligne à DataSecurityBreach.fr Vincent Trely, Président de l’APSSIS. « Le CNSSIS est le rendez-vous annuel stratégique pour les différents acteurs de la sécurité numérique en santé. Ils viennent y confronter leur vision, partager leurs bonnes pratiques et envisager ensemble les bases nouvelles de la sécurité numérique de demain ».

20 conférences et tables-rondes pour partager, débattre et faire avancer la sécurité des SSI Santé, parmi lesquelles :

Vision prospective de la santé à l’ère du big data et de ses premières applications par le Professeur Guy Vallancien, auteur du très remarqué « La Médecine sans médecin ? ». Il évoquera la médecine « prochaine génération », où cohabiteront patients, médecins et soignants, objets communicants, applications et intelligence artificielle.

L’échange institutionnel réunira tous les acteurs, avec les interventions de Philippe Loudenot, FSSI pour les ministères chargés des Affaires sociales et de Jean-François Parguet, Directeur du Pôle Technique et Sécurité de l’ASIP Santé.

Témoignages : Qui sont les Référents SSI nommés dans le cadre du programme Hôpital Numérique ? Comment travaillent-ils ? Et comment les instances nationales et régionales peuvent-elles apporter leur meilleur support ? Les GCS D-SISIF, e-Santé Pays de Loire et Alsace e-santé partageront une synthèse des actions de terrain, avec des reculs variant de 12 à 36 mois.

« Upgrade juridique », conduit en duo par Maître Omar Yahia et Maître Pierre Desmarais. Il sera question des responsabilités du RSSI, des GHT et de l’hébergement des données de santé.

Les partenaires de l’édition 2016 interviendront également sur le thème de la gestion des risques numériques et de la sécurité. Parmi les 10 partenaires du CNSSIS 2016 : Hewlett-Packard, Advens, Enovacom, l’ASINHPA (L’Association des Structures d’Informatique Hospitalière Publiques Autonomes), l’assureur américain Beazley…

La soirée de gala APSSIS-ASINHPA-DSIH du lundi et la soirée spéciale sur le circuit des 24 heures du Mans constitueront des temps forts de l’événement où se retrouveront tous les participants et acteurs du Congrès.

Un appareil médical interdit en raison de vulnérabilités numériques

La Food and Drug administration vient de faire interdire un appareil médical considéré comme dangereux en raison de trop nombreuses vulnérabilités informatiques. Un pirate pourrait manipuler les transfusions à un patient.

La FDA, la Food and Drug administration, l’Agence américaine des produits alimentaires et médicamenteux vient de tirer la sonnette d’alarme au sujet des matériels médicaux face aux pirates informatiques. Pour ce faire entendre, et faire de manière à ce que les constructeurs écoutent avec leurs deux oreilles, la FDA vient de faire interdire le dispositif médical de la société Hospita.

Le matériel incriminé, une pompe à perfusion, l’Hospira Symbiq Infusion System. La FDA encourage « fortement les établissements de soins de santé à changer de matériel, à utiliser des systèmes de perfusion de rechange, et de cesser l’utilisation de ces pompes [celles d’Hospita]. »

La raison de cette interdiction ? Trop de vulnérabilités pourraient être exploitées par des pirates informatiques, et donc mettre en danger les patients. Des failles qui pourraient permettre à un utilisateur non autorisé de contrôler l’appareil et de modifier la perfusion. Délivrer plus ou moins de médicament par exemple.

Une interdiction qui était prévue chez Hospira. Le constructeur avait annoncé en mai 2013 qu’il mettrait à la « retraite » Symbiq, ainsi que d’autres pompes à perfusion. Une mise à la retraite prévue pour la fin 2015.

Piratage pour l’UCLA : 4,5 millions de patients dans la nature

La semaine dernière, dans l’émission 25 (Saison 4) de ZATAZ Web TV, je poussais un petit coup de gueule sur nos informations mal menée par les entreprises qui nous les collectent et par les pirates qui louchent dessus. Nouvel exemple en date, aux USA, avec le piratage de 4,5 millions de patients de l’UCLA, l’Hôpital de l’University of California.

Des pirates informatiques se sont invités dans le réseau hospitalier de l’Université de Californie, Los Angeles. Ils ont pu accéder à de nombreux ordinateurs et collecter pas moins de 4,5 millions de dossiers sensibles de patients, élèves, enseignants, personnels administratifs. Parmi les informations volées : Noms, information médicale, numéros de sécurité sociale, numéros d’assurance-maladie, ID de plan de santé, les dates d’anniversaires et les adresses physiques. Des informations « potentiellement » volées, selon l’université. Cela pourrait toucher toutes les personnes ayant visité – ou travaillé – dans les services médicaux de l’université UCLA. Un vaste secteur qui comprend quatre hôpitaux et 150 bureaux à travers le sud de la Californie. UCLA Santé a alerté le département de la justice américaine. L’attaque aurait été découverte voilà 2 mois, le 5 mai 2015. (Fox)

La Garde Nationale Américaine visée par une fuite de données

Les anciens et actuels membres de la Garde nationale de l’armée américaine pourraient être affectés par une violation de leurs renseignements personnels à la suite d’une fuite informatique de leurs données.

Cet incident n’a pas de rapport avec la violation des renseignements personnels de 19,7 millions d’employés « civils » du gouvernement fédéral américain (+ 1,8 millions de personnels extérieurs) à la suite de deux piratages de l’Office of Personnel Management (OPM). La nouvelle fuite du jour vise le centre de la Garde Nationale de l’armée américaine, le National Guard Bureau. « Tous les membres de la Garde nationale de l’armée, actuels et anciens, et cela depuis 2004, pourraient être affectés par cette violation » confirme un fonctionnaire américain. Les données ont été transférées par inadvertance à un centre de données qui n’était pas accrédité par le Département de la Défense. Earl Brown, porte-parole du National Guard Bureau, indique que les données concernées comprennent les noms des soldats, les numéros complets de sécurité sociale, les dates de naissance et les adresses physiques des militaires. Le Bureau de la Garde nationale a mis en place une page Web dédiée à cette fuite.

Pour l’OPM, se sont deux piratages qui ont été découverts. En Avril 2015, l’OPM découvrait que les données personnelles de 4,2 millions d’employés du gouvernement fédéral, anciens et actuels, avaient été volées. Lors de l’enquête, il était relevé un autre vol, en juin 2015 cette fois. Les données sensibles, dont le numéro de sécurité sociale US (qui peut permettre, par exemple, d’ouvrir un compte en banque, NDR), ont été subtilisées à 21,5 millions de personnes sauvegardées dans les bases de données de l’OPM.

Nos données de santé, source de convoitises pour les pirates

91% des entreprises de santé interrogées ont subi une violation de leurs données au cours de ces 2 dernières années selon l’étude « Privacy and Security of Healthcare Data » du Ponemon Institute et seulement 32% pensent avoir les ressources suffisantes pour parer ces incidents1. La majorité des entreprises de santé sont désarmées et ne sont absolument pas en mesure de répondre à la Réglementation européenne sur la Protection des Données qui devrait être mise en application très prochainement.

L’étude Ponemon montre que, pour la première fois, les attaques criminelles sont la première cause de violations de données de santé. Jusqu’alors, la perte ou le vol d’ordinateurs, de tablettes ou de smartphones par négligence avait conduit à des violations de données. Aujourd’hui, les choses ont évolué. Nous passons des violations de données accidentelles ou opportunistes aux violations de données intentionnelles. Une tendance qui s’affirme. Les cybercriminels ciblent de plus en plus les données médicales. Ils exploitent cette mine de renseignements personnels, financièrement lucratifs. Les centres hospitaliers, laboratoires d’analyses médicales, pharmacies… ne disposent malheureusement pas des ressources, des processus et des technologies pour prévenir et détecter les attaques contre les données sensibles qu’elles manipulent. Leur défaillance, régulièrement pointée du doigt par les médias, se traduit par la fuite des données sensibles de leurs patients. On se souvient par exemple, des centaines de résultats d’analyses médicales provenant d’une soixantaine de laboratoires, accessibles sur Internet à cause d’une faille2 ou de la publication du dossier médical de Michael Schumacher3.

Si l’on observe une légère hausse des investissements des organisations de santé pour protéger les informations médicales, ces efforts restent cependant insuffisants pour contrer les cyber-menaces qui évoluent très rapidement. La moitié des entreprises de santé ont peu confiance – parfois même pas du tout – dans leur capacité à détecter une perte ou un vol de données de leurs patients.

Une faiblesse en décalage avec les obligations légales
En France, les informations relatives à l’état de santé physique et psychique d’un patient sont des données personnelles, soumises au Code de la santé publique et à la loi Informatique et Liberté. La Réglementation générale sur la protection des données, en cours d’adoption par le Conseil de l’Union Européenne vient compléter la législation française. Les professionnels et les établissements de santé sont strictement tenus au respect des obligations concernant la collecte, l’utilisation, la communication, le stockage et la destruction des données à caractère personnel. En pratique, les professionnels de la santé doivent prendre toutes les précautions nécessaires pour empêcher que ces données soient modifiées, effacées (par erreur ou volontairement) et que des tiers non autorisés y aient accès.

L’absence de mise en œuvre de mesures de sécurité est considérée comme une atteinte grave à la protection de la vie privée et peut être pénalement sanctionnée (amende et emprisonnement). Cependant, de nombreux professionnels ont des difficultés à se mettre en conformité avec la réglementation. En milieu hospitalier, par exemple, médecins, infirmiers et personnel administratif n’ont pas toujours été sensibilisés aux règles à respecter en matière de sécurité et de confidentialité des données.

Une réglementation unique pour toute l’Europe
La mise en œuvre de la future Réglementation sur la Protection des Données qui s’effectuera de manière identique dans tous les pays membres contrairement à la Directive actuelle, devrait avoir d’importantes conséquences sur l’organisation de l’entreprise. Comment respecter cette norme qui va engendrer des changements au niveau de la collecte, du stockage, de l’accessibilité et de l’utilisation des données ?

Toute violation des données devra obligatoirement être déclarée. Concrètement, un système actif de surveillance des échanges et des flux de données devient nécessaire. Il convient en premier d’examiner avec attention le rôle et la responsabilité des différents acteurs de l’entreprise manipulant les dossiers médicaux. Il faut engager une sensibilisation forte au respect des bonnes pratiques, puis établir une politique de sécurité et de protection des données. On commence par évaluer les risques pour décider les actions à adopter, en fonction des faiblesses de l’établissement de santé. Le point clé est la visibilité sur la circulation des données au sein du réseau, compte tenu du risque que leur transmission génère. La mise en place d’une solution de SIEM* est le moyen efficace pour surveiller la sécurité des systèmes informatiques, contrôler l’accès aux systèmes où sont stockées les données médicales et recevoir des alertes quand on y accède. Les logs fournissent une vision complète et exacte de ce qui a été consulté. Informer rapidement les organismes de réglementation en cas de violation des données devient alors possible ainsi que configurer des rapports prouvant la conformité à la Réglementation.

Anticiper la mise en place de solutions efficaces
La communauté des entreprises de santé partage des données vulnérables et offrent une grande surface d’attaque avec de nombreux points d’accès aux cybercriminels de plus en plus habiles à dérober et exploiter des informations personnelles. Aussi convient-il de faire appel à des experts pour mettre en place dès à présent ces exigences en matière de sécurité et de conformité. On peut bien sûr penser que rien ne presse, la mise en œuvre effective de la réglementation étant prévue après une période de deux ans. L’expérience montre que l’examen d’une structure organisationnelle ainsi que les mises à niveau nécessaires du système prennent du temps. (par Frédéric Saulet, pour DataSecurityBreach.fr, Directeur Régional Europe du Sud de LogPoint)

* SIEM : Security Information and Event Management – Le principe du security information management est de gérer les événements du système d’information (Wikipédia).