[Mise à jour 21/12/2021]
Une nouvelle version de la librairie Log4j a été mise à disposition pour combler des nouvelles failles. Nous avons intégré cette nouvelle version dans nos systèmes lundi 20 Décembre. Nous continuons à suivre l'évolution de la situation.
P.S : Pour être notifié en cas de nouvelle mise à jour, abonnez vous à cette page [bouton en haut] |
[Mise à jour 17/12/2021]
Nous clarifions que la vulnérabilité n'affecte pas l'application Lifen Desktop (i.e client Lifen installé sur le poste de l'utilisateur) mais uniquement des services dans le cloud. Ces services ont été mis à jour comme indiqué précédemment.
Il n'y a aucune action à planifier de votre part. Nous avons pris toutes les mesures nécessaires déjà.
|
[Mise à jour 15/12/2021]
Nous avons intégré la version 2.16 de librairie log4j dans le composant qui l'utilise et mis à jour notre service ce jeudi pour pallier aux dernières évolutions du risque associé à cette vulnérabilité.
P.S : on vous recommande de vous abonner à cette page (bouton en haut) pour être notifiés en cas de nouvelles mises à jour.
|
I - Lifen assure une réactivité sans faille, face aux nouvelles vulnérabilités:
Avec la recrudescence des menaces de sécurité, Lifen ne fait aucun compromis en matière de sécurité des données. Dans le cadre de notre certification en tant qu'hébergeur de données de santé (HDS), nos protocoles de sécurité permettent d'intervenir rapidement pour prévenir des risques d'attaques et garantir la sécurité de nos services.
Un protocole que nous avons dû activer ce vendredi 10 décembre, après la publication par l'ANSSI d'un bulletin d'alerte critique, concernant la détection d'une vulnérabilité dans la librairie log4j qui est largement répandue dans l'écosystème de développement software.
II - Quel a été le protocole lancé par Lifen?
En cas d'identification d'un potentiel risque cyber au sein de son Système d'information, notre SoC (Security Operating Center) active automatiquement le processus de réponse, pour analyser les risques sur les services que nous vous fournissons. Nous avons ainsi immédiatement analysé nos traces de journalisation et nous n'avons identifié aucune tentative d'exploitation de cette faille à l'heure de cette publication. Par ailleurs, notre IDS (i.e Intrusion Detection System ou Système de détection d'intrusion) n'a signalé aucune activité inhabituelle.
Nous avons intégré dans nos applicatifs impactés, pendant le weekend, la version de la librairie (v2.15 de log4j) qui corrige la vulnérabilité, et nous avons effectué une mise en production ce lundi matin.
Nous travaillons aussi avec nos fournisseurs pour nous assurer que leurs services sont aussi mis à jour s'ils sont vulnérables. Notre engagement en matière de sécurisation de nos services ne s'arrêtera pas là. Etant donné que la communauté continue d'analyser de plus en plus finement les possibilités d'exploitation, nos équipes continueront de superviser l'évolution de cet incident, qui n'est pas encore clos.
En cas de question, notre équipe Support est à votre disposition, via le chat intégré ci-à gauche.
Sachez que nous restons à votre disposition pour toute demande d'information et nous vous tiendrons informé de l'évolution de la situation.