Konformität über alles

infosecLa conformité aux normes, plus sécuritaire que la sécurité elle-même… Simple lapsus ou regrettable inflexion des concepts en sécurité de l’information ?

Le site HealthCare IT Security a publié la semaine dernière un article consacré à la sécurité moderne des entrepôts de données dans le secteur de la santé. Son auteur, Bill Kleyman, spécialiste des datacenters, y évoque les trois niveaux de sécurité essentiels en la matière :

  1. la sécurité physique, c’est à dire la protection des locaux qui abritent les serveurs et autres supports physiques d’information contre des attaques matérielles ;
  2. la sécurité logique, autrement dit la protection des informations et des systèmes d’information contre des attaques immatérielles ;
    Et il ajoute :
  3. la conformité aux standards, qu’il justifie de la façon suivante (je souligne) :

guillemetHaving the most secure platform out there still may not make you compliant. This is why it’s critical to work with a data center partner that can offer the full trifecta of physical, logical, and compliance-drive security.

Et de citer divers standards internationaux en sécurité de l’information : PCI, HIPAA/HITECH, SOC 1, SOC 2, Safe Harbor.

Et là, je tique.

Continuer la lecture de « Konformität über alles »

Hôpital, rançongiciel et cyberperturbation

infosecUn rançongiciel a pour but de prendre en otage les informations essentielles de l’organisation ciblée, lui faisant ainsi craindre pour sa survie.

Mais si ses informations critiques ne sont pas menacées, accepter de payer la rançon simplement pour reprendre au plus vite ses activités normales, c’est encourager le changement de nature de ce type de cyberattaque. Le ransomware devient une arme de cyberperturbation…

Le 5 février dernier, le Hollywood Presbyterian Medical Center (Californie) essuyait une cyberattaque via un rançongiciel (ransomware). Ce programme malveillant a apparemment pénétré le réseau informatique de l’hôpital par l’entremise d’un courriel de hameçonnage. Se répandant rapidement dans les systèmes, il s’est mis à chiffrer tous les fichiers informatiques qu’il rencontrait.

Il n’a pas fallu attendre longtemps pour que le fonctionnement de l’hôpital soit largement perturbé : dossiers-patient inaccessibles, systèmes de rendez-vous, de laboratoire et de pharmacie inopérants, communications par courriel impossibles,… Avec en bout de ligne un allongement des files d’attente et une réorientation de plusieurs patients des urgences vers d’autres hôpitaux.

Continuer la lecture de « Hôpital, rançongiciel et cyberperturbation »

Protection de l’information : Pour une approche multi-dimensionnelle – et non multi-couche

infosecEn matière de sûreté dans des environnements complexes, il convient de résister à la tentation de multiplier dans l’urgence les protections. Il s’agit plutôt de se concentrer en premier lieu sur un nombre restreint de mesures, afin de parer aux risques les plus importants. Cela est valable aussi bien en sûreté physique qu’en sécurité de l’information, comme nous le montre un cas récent – et grave – de piratage informatique dans le secteur de la santé aux États-Unis.

On apprenait la semaine dernière que le deuxième groupe d’assurances de santé américain, la compagnie Anthem, avait subi une attaque informatique d’envergure. Les pirates auraient en effet eu accès aux informations personnelles de 80 millions (oui, quatre-vingts millions) d’Américains.

Bien que ce ne soit pas le premier événement du genre dans le secteur de la santé, le « hack » d’Anthem semble cette fois avoir constitué un véritable électrochoc. Il est vrai qu’il survient peu après un autre piratage emblématique de l’ampleur du problème, celui de Sony Pictures Entertainment.

Continuer la lecture de « Protection de l’information : Pour une approche multi-dimensionnelle – et non multi-couche »