CyberStratégie – CyberDéfense – CyberSécurité
Lettre Cyber 171
Alors, quoi de neuf dans l’actualité cyber du 26 février au 4 mars 2018
…. cette semaine ce sont les enjeux attachés à la mise en demeure notifiée à la Caisse Nationale d’Assurance Maladie (CNAM) par la CNIL qui ont particulièrement retenu mon attention. La haute autorité a, en effet, décidé de rendre public cette mise en demeure du fait du caractère exceptionnellement sensible des données traitées par la CNAMTS, les données de santé.
A juste titre, ces « données concernant la santé » doivent faire l’objet de toutes les attentions. Ainsi, le règlement général sur la protection des données personnelles (RGPD) les distingue pour leur consentir un régime de traitement particulier après avoir rappelé dans son article 4 qu’il s’agit de « données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne « …
Il les distingue pour leur appliquer un régime d’exception dans lequel le traitement de données de santé est … interdit, sauf. Sauf pour des besoins essentiels et vérifiés listés dans son article 9.
En cela, le règlement européen ne fait que reprendre le cadre déjà défini par l’article 8 de la loi Informatique et Libertés en France, toujours en vigueur, ne l’oublions pas jusqu’au 25 mai prochain.
C’est dire combien la protection des données de santé doit faire l’objet de toutes les attentions. La CNIL le signifie en adressant un avertissement à la CNAM et en le publiant pour rappeler à toutes les parties prenantes, responsables de traitements de données à caractère personnel, prestataires, hébergeurs de données, organismes de certification, acteurs publics, acteurs privés, mais aussi à la population des patients combien il convient de se montrer vigilant, exigeant, sur la sécurité à garantir à ces données de santé qui aiguisent tant les convoitises.
Et puis, dans le même temps, le journal officiel publiait cette semaine une mise à jour des conditions d’externalisation des … données de santé, des conditions de certification et d’agrément des hébergeurs de données de santé à caractère personnel par le décret 2018-137 du 26 février 2018.
… Vous trouverez donc dans la lettre de veille les liens vers des articles qui traitent de ces sujets, mais vous trouverez aussi, comme à l’habitude, beaucoup plus …
… faits, chroniques et opinions, référentiels, séquences audio, séquences vidéo … selon vos centres d’intérêt, personnels ou professionnels, je vous laisse découvrir l’actualité de la semaine, dans ces domaines essentiels que sont désormais … la CyberStratégie, la Cyberdéfense et la CyberSécurité … sans prétention à l’exhaustivité, bien évidemment.
Une bonne semaine à vous.
Sans oublier que je reste à l’écoute de vos commentaires et de vos observations guillet.lionel@gmail.com.
Je rappelle que la lettre est découpée en séquences sur la semaine avec reprise des rubriques utilisées pour chaque séquence. Sans être sûr d’y parvenir, le but est de classer quelque peu l’information si dense et si fournie qui nous est proposée.
Ce qui a retenu mon attention dans l’actualité de cette semaine
27 février 2018. Données de santé : la CNIL tape sur les doigts de la CNAMTS – La loi de transposition de la directive NIS est publiée – Arnaque Spotify : le bulgare connaissait la musique …
A(ré)couter – A (re)voir
- Les Cyber Range, mais qu’est-ce ? la réponse au micro de l’équipe de NoLimitSecu cette semaine …
- « Toutes les PME sans exception sont concernées par les cyberattaques » séquence audio sur la radio Télévision Suisse
- Déjouez les arnaques sur internet, une vidéo sur WEO avec Damien BANCAL
Informations
- La gendarmerie désormais accessible en un clic
- Brigade numérique : inauguration d’une nouvelle offre de service connectée, sur le site du ministère …
- Un nouvel espace « Informatique et sciences du numérique » au Palais de la découverte
- Twitter : ce qui change pour les tweets à partir du 23 mars 2018
En management de la sécurité de l’Information
- La CNIL met en demeure l’assurance maladie de sécuriser ses données
- Les données personnelles de santé gérées par l’assurance maladie. Une utilisation à développer, une sécurité à renforcer, un rapport de la Cour des comptes de mars 2016 [PDF]
- L’information sur le site de la CNIL,SNIIRAM : la CNAMTS mise en demeure pour des manquements à la sécurité des données
- La réponse de la Caisse Nationale d’assurance maladie, Précisions suite à l’avis de la CNIL concernant les données du SNIIRAM
- Sécurité des réseaux : la France transpose la directive NIS
- « Le règlement eprivacy ne sera pas appliqué avant fin 2019 », l’interview du représentant d’une Association
- Réagir en cas de crise : de l’importance d’une gestion documentaire tracée et maîtrisée
- Les bonnes pratiques à adopter pour faire face aux cyber-risques
- Pourquoi avez-vous besoin de l’UEBA ? l’analyse comportementale des utilisateurs et des entités investit le SIEM, le Security Information and Event Management, nous ne sommes pas à un acronyme près pour favoriser l’information et la sensibilisation sur la sécurité de l’Information (!)
- Quatre points concernant la sécurité cloud que les RSSI seraient bien inspirés de faire valoir auprès de leur conseil d’administration
- Cybersécurité : gare à l’illusion de sécurité ! un article de gérome BILLOIS
- Cyberrisques News : 25 prévisions utiles pour 2018
- Cybersécurité : Nancy et Sarrebrück tissent la toile
- Ne dites plus « ransomware » mais « logiciel rançonneur »
- Quelles sont les règles à suivre pour concevoir un bon système d’authentification? Un architecte de Google propose une liste de 12 bonnes pratiques
- Le Machine Learning, allié de la cybersécurité
- Les objets connectés seront-ils les nouvelles cibles privilégiées des ransomwares ?
- DPI de GHT : habilitations et contrôle, partie IV, (DPI = Dossier Patient Informatisé – GHT = Groupement Hospitalier de Territoire) Et, s’il y a une partie IV, il y a ..
- DPI de GHT : habilitations et contrôle, partie I
- DPI de GHT : habilitations et contrôle, partie II
- DPI de GHT : habilitations et contrôle, partie III
Veille de veille(s)
- #veille #cybersécurité (25 février 2018) La Suisse à la recherche d’experts en cybersécurité et 500 millions de mots de passe abandonnées pour améliorer la sécurité, la veille du Décodeur
- L’actualité cyber sécurité de la semaine dernière (19 au 25 février 2018) de Sabri KHEMISSA
RGPD / GDPR. Le règlement européen sur la protection des données
- Protection des données personnelles : ce qui change pour les agents immobiliers
- RGPD : les leviers de la CNIL pour accompagner la transition
- RGPD : la CNIL nous aide dans nos analyses d’impact
- Comment bien démarrer avec l’évaluation des risques exigée par le RGPD ?
- Sur le site de la CNIL … Nouveautés sur le PIA : guides, outils, « PIAF », étude de cas pour accompagner la nouvelle version de la méthode d’analyse de risques dédiée aux traitement de données à caractère personnel
- Croyez-vous encore aux mythes RGPD ? une chronique vidéo de Dorian MARCELLIN sur le site d’Alliancy, une enquête « Le RGPD et vos collaborateurs »
- Impact du RGPD sur les données personnelles des salariés : tous les employeurs sont concernés !
- Que retenir du projet de loi relatif à la protection des données personnelles ?
- La checklist idoine pour se conformer au règlement européen
- RGPD pour les PME : les actions qu’elles doivent mener pour être conformes
Les problématiques des (r)évolutions numériques en cours
- Accès aux données – l’UE veut jouer la carte de l’extra-territorialité
- L’Europe cherche les moyens de saisir des données à l’étranger des géants de la technologie (en), et, parallèlement …
- … Données privées : Microsoft défie les États-Unis à la Cour suprême
- Gafa et défenseurs de la vie privée devant la Cour suprême américaine
- La Cour suprême des États-Unis doit se prononcer sur le combat de MicroSoft pour ses données à l’étranger (en)
- L’UE songe à une taxe de 5% sur les géants du numérique
- Les intelligences artificielles pourraient balayer toutes les défenses numériques
- Les entreprises ont un besoin urgent de compétences en cybersécurité
- Numérique – cybersécurité : où sont les femmes ?
- Protection contre le pistage : retrouver le droit à la curiosité
Des nouvelles du CyberFront
- La plupart des certificats de signature de code utilisés par des malwares n’auraient pas été dérobés à des entreprises, mais simplement vendus
- NotPetya : Comment Saint-Gobain a tiré des leçons de la cyberattaque
- Projet de loi de programmation militaire – LPM : l’ARCEP veut savoir où elle met les pieds
- Meltdown et Spectre : nouvelle fournée de patchs pour Intel
- Les américains suspectent les russes d’avoir piraté les JO d’hiver en se faisant passer pour des Nord-Coréens
- Des hackers ont appris à miner de la cryptomonnaie avec MicroSoft Word, sur le site SputnikNews
- Une arnaque à la playlist Spotify aurait rapporté une fortune à un bulgare
- L’organisateur d’un réseau cybercriminel mondial arrêté en Ukraine
- Qui est responsable de la cyberattaque des Jeux olympiques (en), pour vérifier combien l’attribution d’une cyberattaque est plus que difficile
Matière à réflexions
- Activisme et numérique, une analyse de François-Bernard HUYGUE …
- Armes et informations, une seconde série d’articles de FB HUYGUE
- Cybersécurité : et si la nature inspirait la technologie ?
- Patrimonialisation des données, que faut-il en penser ? un article d’Olivier ITEANU
- Le numérique pour soigner notre système de santé
Études, enquêtes et référentiels
- Étude Avast : la prolifération des chevaux de Troie visant les applications bancaires mobiles expose les particuliers à d’importants risques
- Cybersécurité : quelle riposte ? les résultats de l’enquête de EY
Séminaires – Conférences – journées …
- La 1ère conférence cyber des collectivités intelligentes #C3I, organisée par le CyberCercle le 6 mars prochain …
1er mars 2018. Une conseillère d’État à la tête du SGDSN – Cyberattaque d’ours fringant sur l’Allemagne – La nouvelle arme préférée des cybercriminels …
A(ré)couter – A (re)voir
- Voyage au cœur de l’intelligence artificielle : l’IA dans nos sociétés, un débat Libération / France Inter avec notamment Isabelle FALQUE-PIERROTIN et Cédric VILLANI
- L’informatique et le numérique. 3ème révolution industrielle ? Une conférence de Laurent BLOCH
- La convergence des systèmes d’information dans les GHT (Groupements Hospitaliers de Territoires) vue par l’ASIP santé
Informations
- Claire LANDAIS, une conseillère d’État à la tête du secrétariat général de la défense et de la sécurité nationale (SGDSN)
- Bruxelles tergiverse sur l’encadrement du bitcoin
- Google propose un programme éducatif en ligne pour apprendre le machine learning
- Twitter lance les signets pour sauvegarder des tweets
En management de la sécurité de l’Information
- La CNAMTS mise en demeure par la CNIL pour le SNDS, le Système National des Données de Santé
- Les fichiers d’un ordinateur professionnel non-identifiés par l’employé comme étant « privés », retour sur l’arrêt de la Cour européenne des droits de l’Homme
- Systèmes connectés : Shodan, point de passage obligé pour étudier son exposition, Shodan, moteur de recherche des systèmes et objets connectés sur Internet, comment l’utiliser
- Cybersécurité : analyse et recommandations de l’ANSSI
- Qu’est-ce que la qualification ? les explications de l’Agence nationale pour la sécurité des systèmes d’information (ANSSI)
- Cybersécurité et data gouvernance, l’obsession des directeurs juridiques
- Quelques publications récentes du Cabinet WaveStone …
- Pour les fournisseurs de services cloud aussi, la disponibilité est indispensable
- Réglementation sur la sécurité : la directive NIS transposée
Veille de veille(s)
- La veille Cyber N.170 est en ligne, un retour de veille sur la semaine du 19 au 25 février 2018
- [SECHebdo] 20 février 2018, la revue de presse cyber du Comptoir sécu
RGPD / GDPR. Le règlement européen sur la protection des données
- DARTY : 38 M€ d’amende par la CNIL à l’ère du RGPD ?
- RGPD : où trouver un DPO ? Comment bien le positionner dans votre organisation ?
- RGPD : A vos marques, prêts ?
- Données personnelles : le sprint des entreprises suisses pour intégrer la loi européenne
- Le RGPD, un changement de paradigme, insiste l’AFCDP
Les problématiques des (r)évolutions numériques en cours
- Un boulanger gagne sa bataille contre Facebook : « Maintenant, ça leur tombe sur le nez »
- Décodex : notre kit pour vérifier l’information à destination des enseignants (et des autres)
- Neutralité du Net : les élus démocrates passent à l’offensive aux États-Unis
- Stockage de données personnelles : Apple et Amazon se conforment aux aussi à la loi chinoise
Des nouvelles du CyberFront
- L’Allemagne attaquée par des hackers russes
- Attention : usurpation du nom « DGCCRF », une alerte de la Direction générale de la concurrence, de la consommation et de la répression des fraudes
- NotPetya (?) Saint-Gobain recrute un responsable Sûreté Sécurité
- Près de 700 000 données lecteurs de l’Express dans la nature
- Bitdefender en collaboration avec Europol, la police roumaine et DIICOT lance un outil de déchiffrement gratuit contre le ransomware GandCrab
- Ouverture de la brigade numérique, d’Eric FREYSSINET
- Armée. les adieux du cyber général, le général Serge MAURICE …
- « Protéger le citoyen dans l’espace virtuel », la Ville de Genève forme ses collaborateurs mais aussi le grand public …
- Le rapport établi par la Commission nationale de contrôle de la campagne électorale en vue de l’élection présidentielle, il y a du cyber dans ce rapport …
- Cyberattaque aux JO d’hiver : une attribution plus politique que technique (une fois encore)
- La nouvelle arme préférée des cybercriminels
- Une liste de violations de données et de cyberattaques en janvier 2018 (en)
Matière à réflexions
- Données personnelles : de Tanger à Pretoria, la résistance s’organise
- Tunisie : Protection des données & numériques : une opportunité sans précédent pour l’économie tunisienne !
- Maroc : Les opérateurs récalcitrants rappelés à l’ordre et 22 poursuites judiciaires enclenchées
- La loi sur le secret des affaires menace-t-elle la liberté d’informer ?
- Technologie : quel est le rôle de la donnée dans le droit ?
Études, enquêtes et référentiels
- Mobilité : pour McAfee et Pradeo, 2018 s’annonce comme l’année de tous les dangers
- Menaces sur la cybersécurité des armes nucléaires #WEF
Séminaires – Conférences – journées …
4 mars 2018. Les hackers de l’impossible, de l’impossible … carrément – Bombardement numérique record sur GitHub, 1,35 térabit à la seconde – Israël en recherche de zero-days …
A(ré)couter – A (re)voir
- A qui appartiennent les données que nous laissons sur le Net ? le débat d’Europe Soir – Frédéric TADDEÏ avec Fabrice EPELBOIN, Isabelle LANDREAU et Gilles BABINET
- Réseaux sociaux et élection américaine : militarisation de l’information, une interview de François-Bernard HUYGUE sur SputnikNews
- Palantir, l’oracle des services de police américains, dans la chronique d’Hélène CHEVALIER sur France Inter « C’est déjà demain »
- La police américaine peut désormais débloquer les iPhone sans demander à Apple, dans « Nouveau Monde » de Jérôme COLOMBAIN sur France Info
- Comment se prémunir du cyber-chaos, le colloque organisé le 1er mars par l’École des Officiers de la gendarmerie nationale. Attention : les interventions ne démarrent que vers la 45/46 ème minute
- Sur HackerLab, une série de vidéos … Épisode 1 – Les hackers, une communauté / Épisode 2 – Hacktivisme, le hacking engagé / Épisode 3 – Attaquer, espionner, hacker – Épisode 4 – Le business du hacker / Épisode 5 – Le corps, limite du hacker ?
- Internet et câbles sous-marins : quelle histoire ! Le Topo d’ARTE
Informations
- L’X et la Caisse nationale d’assurance maladie (CNAM) s’unissent pour étudier les données de santé …
- DGA/Innovation : Vers une DARPA à la française ?
- Retraites. D’ici 2022, un fichier unique pour calculer les pensions de retraite, oui, oui, un fichier unique …
- Louis GAUTIER, un bilan très riche à la tête du SGDSN
- Découvrez Decrypto, notre jeu de société de la semaine
En management de la sécurité de l’Information
- Pouvoir et peur, les secrets d’une arnaque de phishing réussie
- Comprendre les dessous des attaques Web, pour mieux les contrer
- Pour une culture de la cybersécurité
- Biométrie, blockchain, preuves d’identité … ces nouvelles techniques d’authentification qui vont se démocratiser
- Groupements hospitaliers de territoires : l’ASIP santé publie un point d’étape sur la convergence informatique
- Cybersécurité : forte résistance au changement en France
- Comment les hackers de l’impossible s’attaquent aux PC les plus sécurisés
- Technique – Le Wifi, comment ça marche …
Veille de veille(s)
- CERT-W : Retours sur l’actualité de la semaine du 19 au 25 février 2018, le « W », c’est pour WaveStone
- Episode 0x028 17 février 2018, le podcast de la French Connection …
RGPD / GDPR. Le règlement européen sur la protection des données
- Décret 2018-137 du 26 février 2018 relatif à l’hébergement de données de santé à caractère personnel
- « Nous nous apprêtons à lancer un MOOC « Êtes-vous RGPD compatible ? », Geoffroy ROUX de BEZIEUX du Medef
- Le RGPD en BtoB : quel impact sur votre stratégie marketing ?
Les problématiques des (r)évolutions numériques en cours
- Facebook va tester la reconnaissance faciale en Europe
- Droit à l’oubli ; 142 705 demandes de suppressions d’URL en France
- La chasse aux talents digitaux est ouverte
- Google vous écoute en permanence. Voici comment trouver les enregistrements. C’est le site … SputnikNews qui vous donne la marche à suivre …
- Stockage de données personnelles : Apple et Amazon se conforment à la loi chinoise
- L’avenir du cloud se joue … devant la cour suprême américaine
Des nouvelles du CyberFront
- Le gouvernement allemand victime d’une attaque informatique d’une ampleur inédite
- Le piratage informatique, l’affaire aussi des gendarmes
- Canada : Fuites de données médicales : la Commission d’accès à l’information enquête
- Un génie israélien vous emmène dans les cyber-coulisses
- Un chercheur en sécurité a trouvé une méthode pour pirater n’importe quel compte Facebook. Il a été payé 15 000 $ par le réseau social
- Que faire en tant que gouvernement pour obtenir des exploits zero-day ? C’est simple, il suffit de suivre l’exemple d’Israël
- Le site MotherBoard a obtenu copie de la lettre d’Israël pour solliciter des zero-days de pirates informatiques américains (en)
- Chevaux de Troie visant les applications bancaires
- Boulanger écrit à ses clients à la suite d’une alerte Zataz
- 1.35 To/s : GitHub subit une DDoS record
- 23 000 certificats HTTPS Digicert supprimés après la fuite de clés privées
- Ransomware-as-a-service : la police roumaine infiltre GandCrab
- Une nouvelle livraison de « liens de sécurité » du site Wawaseb, la livraison 221
- Cyberattaque Equifax : le niveau de perte massive de données persos revu à la hausse
- Encore des smartphones Android low cost avec cheval de Troie préinstallé
- Deux personnes arrêtées en France dans une affaire de fraude au président (en), un communiqué d’Europol
- L’opération HoneyBee, une cyberattaque d’organisations humanitaires analysée par McAfee (en)
Matière à réflexions
- La discrimination, côté obscur de l’intelligence artificielle
- DigitalPolis : la ville face au numérique, un article de Olivier KEMPF
Séminaires – Conférences – journées …
- Les Rencontres de la Cybersécurité à Pau, organisée par la CyberCercle, le 21 mars prochain.
À votre disposition pour recueillir vos observations, suggestions et commentaires sur cette information guillet.lionel@gmail.com