Confier ses données à un hébergeur, c’est un peu comme mettre tous ses oeufs dans le même panier. C’est pratique, mais il faut être sûr dudit panier!
Les établissements et professionnels de santé du Latium en ont fait l’expérience, il y a quelques temps.
🔒 L’un d’eux se fait infecter par un rançongiciel.
Classique.
Sauf que…
L’hébergeur, en charge des SI de santé de la région, avait oublié que les mesures de sécurité doivent être proportionnées :
1️⃣ à la sensibilité des données
2️⃣ aux exigences de disponibilité, confidentialité, intégrité et traçabilité du SI hébergé
Résultat?
Un client attaqué… et 180 SI de santé en carafe !
Le prestataire était en fait passé outre trois règles martelées par toutes les CNIL et ANSSI de l’UE :
- Les environnements des clients doivent être cloisonnés
- Les réseaux internes de l’hébergeur et ces environnements doivent être isolés
- Un accès distant ne peut pas reposer uniquement sur un couple identifiant / mot de passe
Le non-respect de ce BA-ba a permis aux pirates de compromettre tout le système de virtualisation.
Le comble?
L’hébergeur s’est défendu en brandissant sa certification ISO27001.
🛡️ La certification HDS est un impératif… en termes de sécurité des soins!
📜 Et un certificat de conformité à une norme ISO n’a aucune valeur, sans connaître le périmètre concerné et les objectifs de sécurité définis
Avez-vous anticipé la défaillance de votre hébergeur? Quelles mesures avez-vous prises? Partagez-les en commentaires.
Des interrogations sur vos recours dans une telle situation ? Besoin d’auditer contrat et garanties de votre hébergeur ? Ou de rédiger un contrat HDS ? N’hésitez pas à me contacter.
Sources:
- 🇮🇹 GPDP, 21 mars 2024, n° 10002324
- 🇪🇺 ENISA, Cloud security for healthcare services
- 🇫🇷 Les essentiels de l’ANSSI sur la Virtualisation
- 🇫🇷 CNIL, Guide de la sécurité des données personnelles