Faits juridiques marquants
Novembre – Décembre 2024
Conformity Data vous propose une sélection d’actualités marquantes dans le domaine du numérique, du droit des données personnelles – RGPD, de la cybersécurité – NIS2 et de l’intelligence artificielle.
Chaque situation est commentée au regard de la règlementation en vigueur et des bonnes pratiques recommandées par les autorités.

Important : les noms des structures privées ou publiques, cités dans les articles originaux, sont ici remplacés par l’appellation XXX. Même si les décisions de la CNIL sont rendues publiques et que la dénomination expresse des structures concernées fait partie de la sanction, Conformity Data souhaite mettre l’accent sur les faits relevés et les enseignements à en retenir, plutôt que de stigmatiser les organismes, entreprises ou autres structures sanctionnés.
Recommandations de l’ANSSI suite à l’analyse de la vulnérabilité aux cyberattaques du secteur de la santé
L’Agence nationale de la sécurité des systèmes d’information a publié en ce mois de novembre 2024 un rapport sur le secteur de la santé, secteur particulièrement critique en matière de cybermenace.
En 2022-2023, l’ANSSI a été informée de 30 compromissions et chiffrements par des rançongiciels ayant affecté des établissements de santé.
Par exemple, dans la nuit du 20 au 21 août 2022, le fonctionnement d’un centre hospitalier en région parisienne assurant la couverture sanitaire de 700 000 habitants a été compromis au moyen d’un rançongiciel. Les attaquants ont exigé une rançon de dix millions de dollars en échange du déchiffrement des systèmes informatiques infectés.
Cette compromission a perturbé les activités du centre hospitalier de manière significative et durable, entraînant notamment des transferts de services vers d’autres établissements de soins. Les données personnelles de patients, du personnel et de partenaires de l’hôpital ont été publiquement divulguées le mois suivant l’attaque.
La remédiation d’attaques par rançongiciel et le retour au mode de fonctionnement nominal peut durer plusieurs mois et générer des coûts élevés. Le coût total de cette attaque est estimé à 7 millions d’euros.
Selon l’ANSSI, « l’efficacité de la remédiation repose souvent sur le personnel disponible au sein de ces entités et sur la bonne connaissance des SI concernés ».
Aussi, l’agence publie dans son rapport des recommandations non exhaustives, visant à diffuser des bonnes pratiques en matière de cybersécurité. L’ANSSI souligne l’importance d’une approche globale de la sécurité, s’appuyant sur une démarche itérative d’améliorations continues, traitant en priorité les risques les plus élevés.
Voici ces 19 recommandations :
1 : sensibiliser les collaborateurs
2 : gérer les risques en réalisant une cartographie de son système d’information Recommandation 3 : mener une analyse de risque
4 : inclure des exigences de sécurité dans le cahier des charges
5 : mettre en œuvre une passerelle d’interconnexion à Internet
6 : cloisonner et filtrer les différents systèmes d’information
7 : protéger les données par mécanisme cryptographique
8 : gérer les entités et les accès en créant des identifiants uniques pour les utilisateurs
9 : protéger les données d’authentification
10 : limiter les droits d’accès aux ressources du système d’information
11 : limiter les droits d’accès aux données sensibles
12 : durcir la configuration des équipements
13 : maintenir à jour le système d’information
14 : utiliser une solution de protection contre les logiciels malveillants
15 : centraliser les journaux d’événements et les alertes de capteurs de sécurité
16 : maintenir à jour les règles de détection
17 : définir un Plan de Continuité d’Activité (PCA) et un Plan de Reprise d’activité (PRA)
18 : assurer la sauvegarde des données
19 : mettre en œuvre un plan de réponse aux cyberattaques
Commentaires :
Notons tout d’abord que l’attaque citée en exemple a eu lieu dans la nuit du 20 au 21 août. Les dates d’attaques ne sont généralement pas choisies au hasard par les pirates. Dans de nombreux cas, elles correspondent à la veille de jours de congés, fériés, de week-end ou de vacances scolaires. Dans la situation présente, le 21 août 2022 était un dimanche. L’attaque a donc eu lieu dans la nuit d’un samedi à un dimanche pendant les vacances estivales, c’est-à-dire à un moment où le personnel présent était particulièrement sollicité et donc plus vulnérable.
Notons aussi l’impact financier très important pour le centre hospitalier, estimé à 7 millions d’euros.
Les recommandations émises dans ce rapport de l’ANSSI rappellent que la cybersécurité ne s’improvise pas. Elle se prépare et doit s’adapter non seulement aux évolutions des menaces, mais aussi à la situation particulière de chaque établissement, entreprise, organisme. Une vigilance de chaque jour, chaque instant et par tous est de mise.
Aussi, se tenir à jour de l’évolution de la menace et entretenir la sensibilisation du personnel restent des mesures fondamentales pour prévenir les cyberattaques et en limiter l’impact.
Téléchargez le rapport complet en cliquant sur le logo de l’ANSSI
Retrouvez nos actualités et questions juridiques
CONTACTEZ
Conformity Data
Vos données sont traitées par Conformity Data pour votre demande de prise de contact. Les seuls destinataires sont Conformity Data et son sous-traitant o2switch - France, en charge de la gestion du serveur web. La fourniture de ces données (*) est obligatoire. Pour plus d’informations sur le traitement de vos données et l’exercice de vos droits, reportez-vous à notre politique de confidentialité.
contact@conformity-data.fr

RGPD, NIS2, AI Act - le droit du numérique en toute sérénité