Passer au contenu principal

Sujet du message : Mention dans les médias

Podcast : La cyber-résilience pour le reste d'entre nous

Écrit par Julia Annaloro on . Publié dans Actualités.

La cyber-résilience pour tous : comment y parvenir avec un budget réaliste

Podcast sur la sécurité du cloud EP240 – Google

Les hôtes Anton Chuvakin et Timothy Peacock discutent avec des experts du secteur de certains des domaines les plus intéressants de la sécurité du cloud.

Invité : Errol Weiss – Thèmes : Sécurité et hygiène du cloud | Pratiques de sécurité du cloud

  • Pourquoi renforcer la résilience numérique est crucial pour les entreprises ? Comment inciter les dirigeants à passer de la « simple cybersécurité » à la « résilience numérique » ?
  • Comment être le plus résilient possible avec les ressources dont on dispose ? Comment être le plus résilient possible avec le moins d'argent possible ?
  • Comment devenir une cible plus petite ?
  • Des mesures plus ciblées correspondent à ce que certains appellent les « bases ». Or, l'hygiène « de base » est en réalité très difficile pour beaucoup. Quels sont vos trois meilleurs conseils d'hygiène pour y parvenir et qui fonctionnent réellement ?
  • Nous parlons d’organisations sous-équipées, mais certaines sont encore plus sous-équipées. Quels conseils donneriez-vous à celles qui manquent cruellement de ressources en matière de sécurité ?
  • Évaluation de la sécurité des fournisseurs : quels sont les points les plus importants à considérer aujourd'hui en 2025 ? Comment éviter d'être piraté par votre fournisseur ?

Accédez au podcast Google Cloud Security et aux ressources mentionnées ici. Cliquez ici

4 tendances technologiques dans le domaine de la santé à surveiller en 2025

Écrit par Julia Annaloro on . Publié dans Santé-ISAC, Actualités.

Les cyberattaques continueront d’être un défi

En 2024, la cybersécurité a constitué un défi majeur pour le secteur de la santé, avec de multiples attaques de grande envergure. L’une d’entre elles, qui a exposé les données d’un nombre record de 100 millions d’Américains, a été un « événement marquant » qui a mis en évidence l’interconnexion du secteur de la santé, selon Errol Weiss, responsable de la sécurité au sein de l’organisation. Centre d'analyse et de partage d'informations sur la santé.

Découvrez les trois autres tendances dans cet article du conseil consultatif. Cliquez ici

Logos : Santé-ISAC et Healthcare Dive Image d'Errol Weiss et un titre d'article sur un écran d'ordinateur.

Les principales tendances en matière de technologies de la santé en 2025

Écrit par Julia Annaloro on . Publié dans Santé-ISAC, Actualités.

La forme de la réglementation de l'IA sera incertaine sous l'administration Trump cette année, tandis que les entreprises de soins de santé continueront de renforcer leurs cyberdéfenses pour résister aux attaques croissantes, affirment les experts.

Les cybercriminels continuent de cibler le secteur de la santé

La cybersécurité s'est avérée être un défi majeur pour le secteur de la santé en 2024, et les organisations en prennent conscience, selon les experts. Mais il faudra du temps pour mettre à niveau les protections cybernétiques du secteur, et il est peu probable que les pirates informatiques cessent de cibler les entreprises du secteur de la santé.

Le secteur sort d’une année marquée par de nombreuses attaques de grande envergure. Début 2024, l’ensemble de l’écosystème de la santé a eu du mal à gérer les retombées de la cyberattaque contre Change Healthcare, une entreprise technologique et un gestionnaire de sinistres appartenant au géant industriel UnitedHealth.

L'attaque, qui a exposé les données d'un Un record de 100 millions d'Américains — a été un « événement marquant » qui a mis en évidence la nature interconnectée du secteur, a déclaré Errol Weiss, chef de la sécurité à la Centre d'analyse et de partage des informations sur la santé, ou Santé-ISAC.

« Je pense que le moment de prise de conscience a été la façon dont les fournisseurs pouvaient avoir un impact à un seul point de défaillance sur la prestation des soins de santé », a déclaré Weiss.

Lisez l’article complet dans Healthcare Dive. Cliquez ici

Une attaque de ransomware a frappé le centre de transfusion sanguine de New York en pleine pénurie

Écrit par Julia Annaloro on . Publié dans Santé-ISAC, Actualités.

Le New York Blood Center (NYBC) a déclaré avoir subi une attaque de ransomware qui a perturbé ses opérations et l'a contraint à reprogrammer certaines opérations.

Les cyberattaques contre les centres de don de sang ont incité la Centre d'analyse et de partage des informations sur la santé (Health-ISAC)) et l'American Hospital Association (AHA) pour émettre une bulletin conjoint sur les menaces avertissement concernant d’éventuelles perturbations de la chaîne d’approvisionnement.

« La récente attaque par ransomware contre le New York Blood Center (NYBC) sert de signal d'alarme pour les organisations de tous les secteurs, en particulier celles des services critiques tels que les soins de santé », a déclaré Roei Sherman, directeur technique de terrain chez Mitiga« En tant qu’une des plus grandes organisations indépendantes de collecte et de distribution de sang au monde, cet incident porte non seulement atteinte à leur capacité opérationnelle, mais met également potentiellement en danger la santé publique. »

Lire l'article complet dans CPO Magazine. Cliquez ici

La Commission européenne appelle à un « plan d'action cybernétique » pour le secteur de la santé

Écrit par Julia Annaloro on . Publié dans Nouvelles Européennes, Actualités.

Une initiative visant à renforcer la sécurité des hôpitaux et des prestataires de soins de santé des États membres de l'UE

Errol Weiss, responsable de la sécurité de l' Santé-ISAC Aux États-Unis, le plan d'action de la Commission européenne intervient à un moment où les organisations de santé ont encore du mal à obtenir suffisamment de financement pour défendre correctement leurs réseaux.

« Le problème est visible dans l'UE, aux États-Unis et dans le monde entier. Les organisations de santé ont besoin de ressources, non seulement de la technologie nécessaire pour protéger ces réseaux, mais aussi de professionnels expérimentés en sécurité informatique pour gérer ces systèmes », a-t-il déclaré. « Je suis heureux que la Commission reconnaisse la valeur que les ISAC apportent à la protection des organisations et à l'amélioration de la sécurité grâce au partage d'informations et à la collaboration », a-t-il déclaré.

Les personnes chargées de protéger leurs infrastructures numériques comprennent qu’en partageant des informations, non seulement elles se protègent elles-mêmes, mais elles renforcent également la sécurité de l’ensemble de l’écosystème numérique, a déclaré Weiss.

En 2023, le Health-ISAC s'est associé au Health-ISAC européen pour tirer parti de « la force mondiale » des membres du Health-ISAC grâce à la visibilité des menaces dans plus de 140 pays avec la force des perspectives communautaires et locales du Health-ISAC européen, a-t-il déclaré.

« Nous devons nous unir et rester vigilants face aux cybermenaces », a-t-il déclaré. « Grâce à la collaboration entre le Health-ISAC et le European Health ISAC au sein de l’UE, nous pouvons créer une communauté plus sûre dans laquelle les organisations de santé bénéficient d’une meilleure visibilité des menaces et des vulnérabilités, ainsi que du partage des meilleures pratiques et d’autres informations clés qui, en fin de compte, améliorent la sécurité des patients. »

Lisez l’article complet dans Data Breach Today. Cliquez ici

Comment gérer les cyber-risques liés aux dispositifs médicaux – à vie

Écrit par Julia Annaloro on . Publié dans Actualités, Sécurité des dispositifs médicaux.

Des experts proposent des conseils pour gérer les stocks croissants et des ressources pour les fournisseurs

Les directives du HSCC « Health Industry Cybersecurity – Managing Legacy Technology Security » (Cybersécurité du secteur de la santé – Gestion de la sécurité des technologies héritées) ou HIC-MaLTS offrent aux organisations les meilleures pratiques qui peuvent être utilisées pour gérer les cyber-risques des technologies médicales héritées, a déclaré Phil Englert, vice-président de la sécurité des dispositifs médicaux au Health Information Sharing and Analysis Center.

HIC-MaLTS s’attaque aux défis courants de la cybersécurité dans le secteur de la santé. Par exemple, « de nombreux types d’appareils médicaux et les divers lieux dans lesquels ils sont utilisés présentent des profils de risque uniques et incluent des fonctionnalités de diagnostic, de thérapie, de portage, d’implantation et de logiciel médical, entre autres, qui peuvent être utilisées dans les hôpitaux, les cliniques et d’autres environnements de soins de santé non cliniques et à domicile », a-t-il déclaré.

Également dans cet article :

  • Les quatre phases du cycle de vie des dispositifs médicaux
  • Inventaires « vue système » combinés à une segmentation et à des contrôles d’accès au réseau
  • Modèle de contrat du HSCC pour la cybersécurité des technologies médicales 

Lisez l’article dans Healthcare Infosecurity ici. Cliquez ici

Sécurisation des données de santé en 2025 : les défis croissants de la cybersécurité

Écrit par Julia Annaloro on . Publié dans Actualités.

Comprendre deux projets de loi américains introduits visant à moderniser les protections des données de santé sensibles.

By   6 minutes de lecture

Lisez l’article complet dans Information Security Buzz. Cliquez ici

Depuis 1996, la loi sur la portabilité et la responsabilité en matière d’assurance maladie (HIPAA) est la pierre angulaire de la protection de la vie privée des patients. La loi a établi des normes sur la manière dont les organismes de santé traitent et partagent les données des patients, créant ainsi un cadre pour garantir la confidentialité.

Mais le paysage de la santé a considérablement changé et, avec lui, les risques se sont multipliés. L'émergence de cybermenaces et de vulnérabilités complexes a révélé des lacunes critiques dans les protections de la loi HIPAA. En réponse, les législateurs proposent une nouvelle législation visant à renforcer les organisations de santé contre la vague croissante de cyberattaques.

L’année dernière, les législateurs ont présenté deux projets de loi – le Healthcare Cybersecurity Act of 2024 et le Health Infrastructure Security and Accountability Act of 2024 (HISAA) – visant à moderniser les protections des données de santé sensibles. Bien que ces mesures représentent une avancée importante, elles restent bloquées dans le processus législatif et n’ont pas encore été adoptées.

Et même si ces projets de loi sont adoptés, leur portée limitée et les mécanismes d’application qu’ils prévoient pourraient ne pas suffire à répondre aux cybermenaces croissantes qui pèsent sur notre système de santé de plus en plus numérique. Sans une approche plus globale et plus agressive, ces initiatives risquent d’être considérées comme des gestes symboliques dans une lutte qui exige une action urgente et décisive.

Lisez la suite pour mieux comprendre les deux projets de loi, y compris

  • Protéger les données de santé non traditionnelles

  • Relever les défis

  • Renforcer le leadership

  • Mises à jour HIPAA à l'horizon

  • Un avenir de résilience

Lisez l'article complet ici. Cliquez ici

Chaînes d'approvisionnement de logiciels et ISAC – Podcast The Inevitability Curve EP14

Écrit par Julia Annaloro on . Publié dans Actualités.

15 janvier 2025

 

Phil Englert et notre hôte Chris Blask ont ​​coprésidé un groupe de travail CISA sur le partage des nomenclatures de logiciels (SBOM). Le groupe de travail a développé un processus pour aider les ISAC et les organisations similaires à déterminer l'architecture de contrôle nécessaire pour gérer la distribution des SBOM parmi leurs membres.

Écoutez le podcast Inevitability Curve EP14 ici. Cliquez ici

Logo Health-ISAC et logo Dark Reading Image d'un écran d'ordinateur avec le titre Les nouvelles règles de cybersécurité HIPAA ne tirent aucun coup

Les nouvelles règles de cybersécurité HIPAA ne font pas dans la dentelle

Écrit par Julia Annaloro on . Publié dans Actualités.

Les organisations de soins de santé de toutes formes et de toutes tailles seront tenues de respecter des normes de cybersécurité plus strictes à partir de 2025 avec de nouvelles règles proposées, mais toutes n'ont pas le budget pour cela.

Depuis le début, la loi HIPAA a toujours été la meilleure réglementation, bien qu’insuffisante, régissant la cybersécurité dans le secteur de la santé.

« [Il y a] un historique où l'accent a été mis au mauvais endroit en raison de la manière dont la loi HIPAA a été définie au milieu des années 1990 », explique Errol Weiss, responsable de la sécurité des systèmes d'information (CISO) du Healthcare Information Sharing and Analysis Center (Health-ISAC). « À l'époque, il y avait une forte volonté de transférer les dossiers médicaux et de santé sur un support électronique. Et avec l'avènement de la réglementation HIPAA, il s'agissait avant tout de protéger la confidentialité des patients, mais pas nécessairement de sécuriser ces dossiers. »

L'accent mis par la loi HIPAA sur la confidentialité a limité sa capacité à faire face à des menaces de cybersécurité plus diverses dans les années 2010, en particulier les ransomwares. Pendant ce temps, au lieu de l'utiliser comme base de référence pour développer une posture de sécurité robuste, les organisations ont eu tendance à traiter la loi HIPAA davantage comme un ensemble de cases à cocher. orienter les budgets vers la conformité et pas nécessairement vers la sécurité« Et au cours des cinq ou six dernières années, nous avons vu ce qui se passe dans un environnement qui n'est pas correctement sécurisé, pas correctement lié, pas correctement sauvegardé, lorsqu'il est touché par un ransomware », explique Weiss.

« Même s'ils suivent déjà tous les contrôles du NIST », estime Pingree de Dispersive, la mise en œuvre des nouvelles règles de sécurité HIPAA « pourrait coûter aussi peu que 100,000 XNUMX dollars pour un petit cabinet médical, ou plusieurs millions si vous êtes un grand groupe médical. »

Selon Weiss, les établissements de santé qui ont du mal à s'adapter à toutes ces nouvelles règles et aux coûts qui y sont associés pourraient recourir à un responsable de la sécurité informatique virtuel externalisé (vCISO). « Il ne s'agit pas seulement d'acheter la technologie. Il s'agit également de recruter et de conserver l'expertise en cybersécurité dont vous avez besoin pour fonctionner », explique-t-il.

« Ces organisations ne savent pas par où commencer », poursuit-il. « Le marché de la cybersécurité est très confus. Il y a beaucoup d’acteurs et de solutions. Donc, si vous avez 100 $ à dépenser en cybersécurité, où les dépenser ? Elles ont besoin d’aide pour pouvoir comprendre tout cela. Et je pense qu’un CISO virtuel peut aider à mettre en œuvre une stratégie, puis être présent sur une base virtuelle – pour faire le point, être une ressource pour cette organisation lorsqu’elle a des questions et qu’elle a besoin d’aide. Cela semble être un modèle convenable pour ces petits hôpitaux ruraux qui ne pourraient pas nécessairement justifier ou embaucher un CISO à temps plein. »

Lire l'article complet dans Dark Reading. Cliquez ici

 

Que contient la refonte de la règle de sécurité HIPAA proposée par le HHS ?

Écrit par Julia Annaloro on . Publié dans Santé-ISAC, Actualités.

Selon les experts, les nouveaux mandats pourraient s'avérer difficiles et coûteux pour de nombreuses entités

Une proposition de refonte des réglementations fédérales en matière de cybersécurité pour le secteur de la santé pourrait signifier une tâche difficile et coûteuse pour de nombreuses organisations, ont déclaré les experts.

« Les coûts pour mettre en œuvre ces dispositions seront énormes », a déclaré Errol Weiss, responsable de la sécurité du Health Information Sharing and Analysis Center. « D'où vient l'argent pour payer tout cela ? Il ne peut pas provenir des économies futures résultant des pénalités évitées en cas de violation. Les prestataires de soins de santé en difficulté financière, en particulier les petits hôpitaux ruraux, n'ont pas les ressources nécessaires pour soutenir ces nouvelles propositions », a-t-il déclaré.

Toute exigence réglementaire comme celle-ci devra s'accompagner d'une aide financière afin que les prestataires de soins de santé puissent acquérir la technologie appropriée et, plus important encore, recruter et retenir des professionnels expérimentés en cybersécurité pour protéger adéquatement leurs réseaux, a déclaré Weiss.

 

Lire l'article complet dans Bank InfoSecurity. Cliquez ici

Initiative de Google en matière de cybersécurité pour les soins de santé en milieu rural

Écrit par Julia Annaloro on . Publié dans Santé-ISAC, Actualités.

Google s'associe à Health-ISAC pour proposer des programmes de formation innovants, des programmes de renseignement sur la cybersécurité et d'autres ressources pour les systèmes de santé ruraux.

Les cyberattaques contre les établissements de santé perturbent leur fonctionnement et compromettent les soins prodigués aux patients. Aux États-Unis, les systèmes de santé ruraux desservent 60 millions de personnes et sont au cœur d’innombrables communautés. La sécurité de tous les membres d’une communauté est menacée lorsque les systèmes d’information de santé essentiels ne sont pas disponibles en raison d’incidents informatiques.  

Google s'engage à aider les systèmes de santé vulnérables à renforcer leur résilience face aux cyberattaques. Nous collaborons avec les pouvoirs publics et l'industrie pour proposer nos services, notre assistance et nos technologies, permettant ainsi aux systèmes de se concentrer sur les soins aux patients.

 

Une initiative sur mesure pour améliorer la sécurité

Conçu pour les hôpitaux ruraux

Les systèmes de santé et les hôpitaux ruraux reflètent le caractère unique des communautés qu'ils servent, tout comme notre offre. Elle propose un ensemble croissant de technologies Google sécurisées par conception pour l'accès et la collaboration, des services de conseil et d'assistance et des ressources de formation à la sécurité à prix réduit ou gratuitement. La solution est adaptée aux besoins de chaque entité de santé rurale. L'établissement de santé doit être situé dans un comté ou une région désigné comme rural par le Administration des ressources et des services de santé (HRSA).

Apprendre encore plus Cliquez ici

Exploiter la puissance de la collaboration industrielle

Une collaboration efficace pour se défendre et répondre aux cyberattaques est essentielle pour sécuriser les soins de santé. Google est une ambassadeur partenaire au Health Information Sharing and Analysis Center (Health-ISAC). La mission de Health-ISAC est de renforcer les relations de confiance dans le secteur mondial de la santé afin de contribuer à prévenir, détecter et répondre aux événements de cybersécurité et de sécurité physique afin que les membres puissent se concentrer sur l'amélioration de la santé et la sauvegarde de vies. Google s'associe à Health-ISAC pour proposer des programmes de formation innovants, des programmes de renseignement sur la cybersécurité et d'autres ressources pour les systèmes de santé ruraux.

Offres de programmes

La plupart de ces services seront offerts gratuitement ou avec des remises importantes, compte tenu des contraintes financières auxquelles sont confrontés de nombreux systèmes de santé ruraux. De plus, nous fournirons des services de mise en œuvre et un soutien aux organisations éligibles. Ces offres ne sont disponibles qu'aux États-Unis pour le moment.

 

Podcast « Laissés à nous-mêmes » n° 71 : Errol Weiss

Écrit par Julia Annaloro on . Publié dans Santé-ISAC.

De la cybersécurité bancaire à la cybersécurité médicale

 

Nous nous sommes entretenus avec Errol Weiss, directeur de la sécurité de Health-ISAC, pour discuter de sa carrière de 25 ans dans le secteur bancaire, gouvernemental et de la santé et identifier les plus grandes menaces et tendances en matière de cybersécurité qui auront un impact sur le secteur de la santé en 2025 et au-delà.

Écoutez l'épisode #71 ici : Ecoute maintenant

 

Défis uniques en matière de cybersécurité dans le secteur de la santé

Weiss a décrit les défis uniques auxquels sont confrontées les organisations de soins de santé par rapport aux services financiers. Les systèmes de soins de santé gèrent souvent des infrastructures complexes, notamment des systèmes modernes basés sur le cloud, des appareils hérités (comme des machines IRM dotées de systèmes d'exploitation obsolètes) et divers écosystèmes d'appareils médicaux. Cette complexité est aggravée par un sous-investissement de longue date dans la cybersécurité, les ressources étant historiquement allouées à la confidentialité et à la conformité (par exemple, les réglementations HIPAA) plutôt qu'à des mesures de sécurité robustes.

Il a souligné que le sous-financement et le manque de responsables de la sécurité des systèmes d’information (RSSI) dédiés au secteur de la santé rendent difficile la protection efficace de ces environnements. Cependant, des incidents tels que les attaques de ransomware ont suscité une prise de conscience et des investissements accrus dans la cybersécurité du secteur de la santé au cours de la dernière décennie.