Vous êtes dans : Accueil > cédric cartau >
A la une de DSIH 41 | Février 2024 #Le bloc opératoire du futur : On assiste à une explosion de solutions numériques qui ne demandent qu’à franchir les portes du bloc. L’IA sous toutes ses formes, y compris les modèles de langage, l’enregistrement de bout en bout d’une intervention pour améliorer les pratiques ou encore les lunettes de réalité virtuelle pour préparer une opération, dévoiler au chirurgien ce que l’œil seul ne voit pas et guider son geste… Des freins demeurent à leur mise en place. Décryptage et projections à retrouver dans notre dossier consacré à la chirurgie 4.0.
L’APSSIS a le plaisir d’annoncer la publication de la 3ème version mise à jour de l'opus 2 des Guides Cyber-résilience sur les cyberattaques à destination des professionnels du secteur. Conçus et élaborés par Cédric Cartau, RSSI/DPO du CHU de Nantes et Vice-président de l’APSSIS, ces guides se veulent à la fois accessibles, techniques et pratiques.
Il y a des semaines où s’enchaînent les ennuis, et là, j’ai eu ma dose. Alors je viens chercher réconfort auprès du lecteur qui sera sensible (sans pouvoir y répondre, forcément) à mes interrogations existentielles sur les octets, les malwares, les processus et les patchs OS vérolés.
Quand le brillant RSSI et DPO Cédric Cartau et moi-même décrochons notre téléphone en pleine journée pour nous appeler, c’est qu’un « serpent de mer » technico-juridique nous travaille. Le dernier en date : les droits d’habilitation au Dossier Patient Informatisé (DPI), et ce, dans le contexte d’un article de presse[1] annonçant les mesures prises par l’APHP « la mise en œuvre d’un système de surveillance du mode « bris de glace » afin de contrôler et d’identifier les accès illégitimes ». Dans un premier volet, la vision technique et opérationnelle a donc été présentée[2]. Ce deuxième volet vise à présenter le cadre juridique. Que disent les textes ?
Récemment, une discussion entre amis a doucement dérivé vers les théories complotistes.
Dans une précédente publication, Cybersécurité : l’enjeu de la Gouvernance (1), parue dans le Guide cyber-résilience APSSIS - Opus 6 (2), nous discutions de l’implémentation d’une gouvernance de Sécurité et du rôle du RSSI dans cette démarche. Nous avons pu voir que les qualités requises pour un RSSI sont nombreuses mais nous nous arrêterons aujourd’hui sur l’une d’entre elles : l’anticipation. La gestion des risques pour la Sécurité de l’information devrait, ou doit, être considérée dès la phase d’un nouveau projet informatique, quelle que soit sa nature (intégration d’une nouvelle solution, d’un nouvel équipement, une migration, etc.) C’est le principe de l’Intégration de la Sécurité dans les Projets (ISP), un pilier essentiel de l'approche de la « Security by Design ». Le principe est simple : bien faire les choses dès le départ.
L’APSSIS a le plaisir d’annoncer la publication du 6ème opus des Guides Cyber-résilience à destination des professionnels du secteur. Conçus et élaborés par Cédric Cartau, RSSI et DPO - CHU de Nantes - du GHT 44 et Vice-président de l’APSSIS, ces guides se veulent à la fois accessibles, techniques et pratiques.
Le partage de données recouvre des réalités très différentes : au sein d’une équipe de soins, entre professionnels pour avis médical, etc. Me Marguerite Brac de La Perrière, associée Santé numérique du cabinet Lerins & BCW, est l’une des spécialistes en France du droit de la santé et du numérique[1]. L’occasion pour Cédric Cartau, RSSI et DPO du CHU de Nantes, d’un échange avec elle sur ce sujet de premier plan au cœur duquel se place le consentement du patient.
DSIH lance une série d’entretiens, intitulée les Entretiens de la Semaine, menés par nos consultants. Le principe repose sur un face-à-face permettant d’aborder des sujets autour du numérique, de l’évolution des Systèmes d’information, de la formation… Le ton est amical mais sans langue de bois.
Le quatrième opus des Guides Cyber-Résilience est paru. La thématique : la sécurisation du Cloud, avec l’objectif de poser clairement le problème, de présenter les différentes approches possibles avec leurs avantages et leurs inconvénients, de sensibiliser le lecteur aux questions connexes de telle sorte à disposer d’une vision globale du sujet. Le Guide s’adresse aussi bien aux professionnels de santé qu’aux décideurs ou aux DSI.
Le troisième opus des Guides Cyber-Résilience est paru. La thématique : les habilitations d'accès aux données. Avec l’objectif de poser clairement le problème, de présenter les différentes approches possibles avec leurs avantages et inconvénients, de sensibiliser le lecteur aux questions connexes de telle sorte à disposer d’une vision globale du sujet : il s’adresse aussi bien aux professionnels de santé qu’aux décideurs ou aux DSI.
L’APSSIS a le plaisir d’annoncer la première publication d’une série de plusieurs Guides à destination des professionnels du secteur. Conçus et élaborés par Cédric Cartau, RSSI/DPO du CHU de Nantes et Vice-président de l’APSSIS, ces guides se veulent à la fois accessibles, techniques et pratiques. Le premier opus traite d’un sujet qui anime régulièrement les discussions des RSSI, des DSI et des chefs de projet : les mots de passe.
Les informaticiens vous le diront, en informatique, le problème se situe entre la chaise et le clavier. Comme le souligne à juste titre Cédric Cartau, ce qu’ils oublient de préciser, c’est qu’il s’agit très souvent de la chaise et du clavier de l’informaticien lui même !
En fin d’année dernière, Microsoft annonçait fièrement avoir obtenu le saint Graal qu’il convoitait depuis plusieurs années, à savoir la certification hébergeur de données de santé.
Le mot « télémédecine » est certainement l’un de ceux que l’on prononce le plus dans les discours sur la santé ces derniers temps. À tel point que l’on pourrait se croire à l’aube d’une nouvelle ère. Effet de mode ? Pas seulement, et ce numéro de DSIH le montre bien.
Le Congrès national de la sécurité des SI de santé est, au-delà de la grande réunion de famille des acteurs SSI de santé français, un événement passionnant et d’une intensité extrême ! Retour d’expérience de Cédric Cartau sur le RGPD.
La Formation Stratégie des SI des Santé, conçue et délivrée par Cédric Cartau a pour but d’appréhender le changement des volets fonctionnels, de gouvernance, de technologues, des normes de sécurité, et les aspects normatifs et juridiques.
Lors du prochain Congrès national de la sécurité des SI de santé de l’Apssis, qui se tiendra au Mans du 2 au 4 avril 2019, Cédric Cartau*, vice-président de l’Apssis, délivrera une conférence intitulée « RGPD : un an après ». Cette intervention donnera suite à celle qui, cette année, lors du 6e Congrès national, avait permis de présenter les travaux du CHU de Nantes. Dans le but d’alimenter la réflexion sur la mise en œuvre opérationnelle du RGPD, Cédric nous propose une publication originale, une analyse empreinte d’un premier recul, et pose une première série de diagnostics.
Accompagner et expliquer ? Ordonner et sanctionner ? Il semble que le législateur ait choisi.
Puisque mon illustre coauteur, Cédric Cartau, me tend la perche, je m’en voudrais de ne pas la saisir !
Le 7e Congrès national de la sécurité des SI de santé se prépare. Nouveautés, objectifs et analyse : interview de Vincent Trély, président de l’Apssis et organisateur du CNSSIS 2019.
Dans un communiqué publié vendredi [1], le Ministère de la santé de Singapour a révélé une fuite de données massive au sein du groupement d’établissements de santé publics / privés SingHealth qui a permis l’exfiltration de données à caractère personnel d’1,5 million de patients, soit le quart de la population du pays !
C’est avec étonnement pour certains, sans réelle surprise pour d’autres, que nous avons pu découvrir l’alerte lancée par la cellule d’accompagnement à la cybersécurité des structures de santé vendredi dernier [1].
J-14 avant le lancement du 6e Congrès national de la sécurité des SI de santé, qui se déroulera au Mans les 3, 4 et 5 avril 2018. « Le RGPD par ceux qui ont les mains dedans, pour ceux qui y sont jusqu’au cou » est la conférence inédite préparée spécialement pour l’événement par Cédric Cartau, RSSI et DPO du CHU de Nantes. De quoi parle-t-elle ?
À travers cette deuxième édition, Cédric Cartau détaille tour à tour les aspects techniques, organisationnels, juridiques et financiers, et commente les évolutions récentes (déferlement des cryptovirus, enjeux « Hôpital numérique » et certification des comptes...).
Depuis quelques mois, le sujet « RGPD » sature la bande passante des canaux d’information des DSI et des RSSI de santé. Son application en mai 2018 (c’est bientôt), ses 99 articles et 173 considérants (c’est épais), les montants des amendes pour non-conformité (élevés) et l’ampleur du travail estimé (important) font partie des sources d’angoisse générées.
Convaincue que les professionnels de santé doivent poursuivre un processus dynamique d’acculturation aux technologies numériques en constante évolution, l’équipe de DSIH lance son activité de formation avec d’ores et déjà deux modules proposés : « Stratégie des SI de Santé » et « ISO/IEC 27001 Lead Implementer ».
Les exemples de découvertes de vulnérabilités sur les dispositifs médicaux ne manquent pas et l’actualité nous le rappelle de plus en plus régulièrement. Pacemakers, autoclaves, moniteurs patients, imagerie médicale, pompes à perfusion… [1] ont fait la une de l’actualité SSI depuis le début de l’année.
Les fuites de données liées à un mauvais paramétrage d’espaces de stockage cloud d’Amazon s’enchaînent. Et oui, pas toujours besoins de « méchants hackers » pour que les données s’évaporent dans la nature. Une simple négligence d’un administrateur suffit.
Quittons les terres fertiles et autres sentiers battus des GHT pour rebondir sur une brève de mon RSSI préféré, alias Cédric Cartau, au sujet de la biométrie.
Le #CNSSIS est le rendez-vous incontournable de tous les acteurs se préoccupant de la sécurité des systèmes d’information de santé, et par conséquent de la sécurité des patients et de leurs données. La cuvée 2017 aura encore été un grand cru ! 21 conférences réparties sur trois jours intenses et très riches en partages, rencontres et réflexions. Ce petit écosystème composé de divers acteurs, éditeurs, intégrateurs, professionnels de la sécurité, médecins, avocats, directeurs d’établissements, RSSI, DSI, représentants de l’état, étudiants, n’ont fait qu’un pendant trois jours pour faire avancer la sécurité des SI de santé. Un congrès éprouvant, car il faut bien le dire, les journées sont longues et les nuits sont courtes, mais tellement enrichissant !
Co-organisé par la DSSIS (délégation à la stratégie des systèmes d’informations de santé), le service du HFDS (haut fonctionnaire de sécurité), la DGOS (direction générale de l’offre de soins) et l’ASIP Santé, orchestré par Philippe BURNEL (DSSIS), le deuxième colloque de la sécurité des systèmes d’information de santé, s’est déroulé mercredi 14 décembre au Ministère des affaires sociales et de la santé.
La série d’articles de Cédric Cartau a bien mis en évidence la fragilité conceptuelle du modèle actuel de l’hébergement de données de santé. Puisqu’il est en cours de refonte, il me semble intéressant de creuser un peu plus sur les origines de cette faiblesse afin de s’assurer qu’elle ne sera pas reconduite.
Les copieurs multifonctions ou MFC (pour Multiple Function Copiers en anglais) sont présents dans nos établissements depuis de nombreuses années.
L’actualité brûlante a de quoi nous faire réfléchir sur la sécurité en place au sein de nos SIH.
La quatrième édition du Congrès National de la Sécurité des SI de Santé, organisée par l’APSSIS du 4 au 6 avril 2016 au Mans promet d’être à nouveau un moment fort pour l’écosystème SSI Santé. DG, institutionnels, DSI, RSSI, médecins, experts, constructeurs et éditeurs se retrouveront 3 jours et suivront 20 conférences et tables-rondes.
Les DSI du monde de la santé peuvent être rassurés. Les directeurs d’établissements intègrent désormais la dimension numérique dans leurs orientations stratégiques. Les facteurs d’incompréhension entre DSI et DG s’estompent. Rançon du succès : le (la) DSI idéal (e) s’apparente au mouton à 5 pattes aux yeux des DG.
Le CHU de Brest vient de mettre en place la prise de rendez-vous en ligne assortie du rappel par SMS du rendez-vous en question, 72h avant la date convenue. Et ceci est une vraie nouvelle : certes le rappel SMS a déjà été testé par le CH de Chambéry, mais à notre connaissance (et sous réserve) il s'agit du premier déploiement logiciel permettant à la fois la prise de rendez-vous en ligne, la confirmation par SMS et le rappel, également par SMS. De quoi réduire en partie le goulot d'étranglement et les pertes dans la « chaîne de production des actes », pour reprendre la théorie des contraintes de Goldratt.
Dans « La sécurité du système d'information des « établissements de santé » paru aux Presses de l'EHESP 1 (www.presses.ehesp.fr) en mai 2012, un chapitre traite des notions de cryptographie. L'histoire de cette discipline mène loin dans le temps avec les cordes à nœud des Incas. Extrait.
Sécuriser les serveurs et les salles informatiques, décrire des procédures dégradées organisationnelles en cas de panne informatique longue, tester ces procédures, mettre à jour régulièrement les analyses de risque : tout cela fait partie du quotidien des responsables sécurité des systèmes d’information, quel que soit le secteur.
« Cet accident – grave, puisqu’il a entraîné la mort d’une patiente – soulève trois réflexions. Tout d’abord, la société moderne exprime une fois de plus son aversion pathologique à toute forme de risques et semble découvrir que toute activité humaine nouvelle présente un risque. La belle affaire : au Moyen-Age et au temps des infirmières à cornettes, il n’y avait aucune erreur de prescription médicamenteuse due à un logiciel, pas plus d’ailleurs qu’il n’y avait d’accident aérien ou d’explosion de réacteur nucléaire.
La 12ème édition des Assises de la Sécurité[1] voyait Patrick Pailloux, Directeur Général de l'ANSSI, se déclarer fermement opposé au BYOD, affirmant qu’il « n’existe pas sur le marché de solution satisfaisante pour accompagner cette tendance en toute sécurité ». C’est sans doute vrai.
Le mercredi 3 avril 2013, l’Association APSSIS délivrait son premier séminaire de sensibilisation à la cybercriminalité et à la sécurité des SI de Santé, devant 34 Directeurs, Cadres de Santé, DSI, RSI, Informaticiens et Responsables de Projets Métiers.
Informatisation du dossier patient, facturation au fil de l’eau, réduction des risques liés à la prescription médicamenteuse… Le système d’information tient une place stratégique au sein des établissements de santé. Il est aussi au cœur d’enjeux nationaux majeurs tels que la communication ville-hôpital, la téléradiologie ou le dossier médical personnel.
Les plus lus