Vous êtes dans : Accueil > chu de nantes >
Chu de nantes176 documents taggés
ChatGPT ou Le Bal des pleureuses
18 avril 2023 | Cédric Cartau | TribuneÀ moins d’être totalement allergique à l’informatique, il est difficile d’émettre un avis négatif sur le fait que le domaine est tout de même hyperintéressant. Innovations à tout va, concepts de haut niveau maniés à longueur de journée, sans parler des différentes couches où tout le monde peut facilement trouver chaussure à son pied. Le réseau vous branche : il y a. Le développement Objet vous fascine ? Il y a aussi. À moins que vous ne préfériez les langages fonctionnels de type Haskell ou Lisp ? Il y a encore. Les middlewares et les bases de données ? Les applications métiers et leurs liens avec les processus ? Il y a encore et encore. Bref, on peut s’y vautrer allègrement toute sa vie sans voir deux fois la même chose. Pour un technophile, c’est le nirvana total.
Les habilitations d’accès aux données médicales à l’ère des GHT – la vision RSSI/DPO
04 avril 2023 | Cédric Cartau | TribuneLa news a été diffusée par plusieurs médias spécialisés : le dossier patient (DP) de Pierre Palmade à l’AP-HP a été consulté à de multiples reprises par des personnels n’ayant rien à voir avec la prise en charge médicale de l’humoriste… voire travaillant dans l’un des établissements de l’AP-HP où il n’était pas hospitalisé. Il s’agit d’un accès indu au DP (ou de curiosité malsaine en langage courant). C’est illégal et c’est puni par la loi. Cela étant, le sujet est très complexe. Décryptage.
Du rififi chez tonton Google ?
28 mars 2023 | Cédric Cartau | TribuneLes séries TV fleuves vous ennuient ? Les histoires avec le méchant JR et le gentil Bobby Ewing vous font bâiller à vous en décrocher la mâchoire ? Essayez ChatGPT.
Le quiz annuel
21 mars 2023 | Cédric Cartau | TribuneÇa y est, c’est le printemps, il est largement temps de se changer les idées avec un petit quiz pas du tout orienté ni poil à gratter – pas mon genre. Une seule bonne réponse par question, on compte les points à la fin.
Un de plus, encore un de trop
14 mars 2023 | Cédric Cartau | TribuneImpossible d’être passé au travers tant l’info a fait le tour de l’actualité cyber : jeudi dernier le CHU de Brest était la victime d’une attaque cyber. Soyons clair : à ce stade, même si la communauté des RSSI hospitaliers dispose de plusieurs éléments techniques, impossible de divulguer quoi que ce soit dans un média ouvert sur ladite attaque pour des raisons évidentes de protection des SIH.
Cyber : les effets pervers de la fuite en avant perpétuelle
28 février 2023 | Cédric Cartau | TribuneUne des qualités premières pour prétendre à une carrière de RSSI, c’est de garder ses yeux d’enfant. C’est ce que l’on se disait récemment, mes 52 printemps et moi-même. Illustration.
Les théories du complot appliquées à la cyber
20 février 2023 | Cédric Cartau | TribuneRécemment, une discussion entre amis a doucement dérivé vers les théories complotistes.
Début d’année cyber : l’ambiance en soute n’est pas jouasse
13 février 2023 | Cédric Cartau | TribuneOn pourra toujours se rassurer – Coué, Coué, Coué – en lisant dans les derniers rapports de l’Anssi qu’il y aurait eu moins d’attaques en 2022 qu’en 2021, il n’empêche, de mémoire de vieux croûton, je n’ai jamais connu un tel début d’année.
Réflexions autour de la souveraineté
07 février 2023 | Cédric Cartau | TribuneDans un récent et excellent article de La Tribune[1], Marc Sztulman, conseiller régional d’Occitanie et délégué au Numérique pour tous, s’interroge sur ce que sont ou ne sont pas la souveraineté et la confiance, en particulier autour des notions de Cloud. À titre personnel, je n’avais même pas connaissance de la différence entre ces deux idées (confiance versus souveraineté) car – selon moi – elles se recouvrent totalement. Il semble tout de même important de revenir sur quelques concepts.
Un mois de janvier comme un autre au pays de la cyber
31 janvier 2023 | Cédric Cartau | TribuneLa routine, vraiment la routine.
Le 6ème opus des guides cyber-résilience de l’APSSIS est en ligne !
25 janvier 2023 | Apssis | CommuniquéL’APSSIS a le plaisir d’annoncer la publication du 6ème opus des Guides Cyber-résilience à destination des professionnels du secteur. Conçus et élaborés par Cédric Cartau, RSSI et DPO - CHU de Nantes - du GHT 44 et Vice-président de l’APSSIS, ces guides se veulent à la fois accessibles, techniques et pratiques.
ChatGPT : le grand remplacement – ou pas
24 janvier 2023 | Cédric Cartau | TribuneIncroyable, le nombre de vidéos qui fleurissent sur les réseaux sociaux – même BFM TV titre dessus pour vous expliquer que Google a quelques soucis à se faire, c’est dire. Passé les premières séances de jeu avec l’interface où l’on se prend à poser les questions les plus bizarres sur les sujets les plus divers. Il y a ce que ChatGPT fait, ce qu’il ne fait pas, ce qu’il peut faire et ce qu’il ne fera jamais, en tout cas dans sa version actuelle.
ChatGPT à l’épreuve d’un test rigoureux
17 janvier 2023 | Cédric Cartau | TribuneBon, apparemment, tout le monde se marre entre la poire et le fromage en posant les questions les plus diverses à ChatGPT. Tout le monde sauf moi, et cela ne peut pas durer. J’ai donc décidé, moi aussi, de tester la bête, mais attention, pas n’importe comment : un test rigoureux, pas du tout orienté, basé sur un corpus de questions sélectionnées par un comité représentatif de moi-même, bref que du lourd. Allons-y.
Le bullshit à l’épreuve de la SSI – et inversement
10 janvier 2023 | Cédric Cartau | TribunePhilosophons un peu en ce début de semaine.
2022 : bilan de l’année
03 janvier 2023 | Cédric Cartau | TribuneL’année s’est achevée : 2022 restera comme l’année d’après (Covid) et surtout l’année « pendant » (l’explosion des attaques en crypto, tout le monde en aura pris sa part et pas seulement les hôpitaux). Petit bilan.
ChatGPT : le début de la fin de la cyber
27 décembre 2022 | Cédric Cartau | TribuneIl est assez rare, dans la vie d’un ingénieur, de tomber sur un produit qui effraye autant, duquel on pense qu’il signe peut-être la fin des haricots.
Ma lettre au Père Noël 2022
19 décembre 2022 | Cédric Cartau | TribuneCher Père Noël, comme chaque année je t’écris car j’ai été encore hypersage, bien plus que les années précédentes. Non, ce n’est pas l’âge, enfin si quand même un peu.
Affaire Camaïeu : la galaxie DPO en émoi
13 décembre 2022 | Cédric Cartau | TribuneIl y a une actualité qui empêche de dormir et qui fait le buzz dans les chaumières ces derniers temps, non ce n’est pas une histoire de ballon rond et de petit filet : c’est l’affaire Camaïeu.
Hébergement de données de santé : quoi de neuf ?
06 décembre 2022 | Marguerite Brac de La Perrière & Cédric Cartau | TribuneÀ la date d’écriture du présent article, la phase de concertation d’un nouveau référentiel HDS (commenté dans un récent article[1]) est terminée depuis quelques jours ? Pour mémoire, ce référentiel définit les exigences de la certification s’imposant aux termes de l’article L1111-8 du Code de la santé publique à « toute personne qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données […] ». Dans le même temps, une version 2022 de la doctrine du numérique en santé a été mise en concertation[2] et a créé l’émoi chez ceux qui s’inquiètent de la suppression de l’exemption au régime relatif à l’hébergement de données de santé qui y figurait – sous conditions – pour les établissements d’un groupement hospitalier de territoire (GHT). L’objet du présent papier est d’éclairer le lecteur sur ce dernier sujet, du point de vue juridique d’abord, puis selon la vision opérationnelle du RSSI.
ISO 27001 : prospectives et limites
29 novembre 2022 | Cédric Cartau | TribuneUne norme ISO est un objet fascinant de réflexion, tant la pratique peut en modifier la vision. Un débutant ne vous parlera certainement pas de l’ISO de la même façon qu’un RSSI aguerri, un RSSI de la même façon qu’un consultant, etc. C’est bien toute la richesse du concept que d’évoluer en même temps que ses possibilités d’interprétation. Je souhaitais partager avec vous quelques réflexions autour de la 27001 – et il faut bien garder en mémoire que ces thèmes mêmes de réflexion et la façon de les traiter auront certainement changé dans un an ou deux
Les référentiels ISO, pas si simples
22 novembre 2022 | Cédric Cartau | TribuneIl est de ces sujets qui paraissent anodins, tellement anodins que vous les voyez rarement évoqués en tant que tels dans une réunion d’huiles ou tout simplement d’experts.
La fin de la cyber ou les sept scénarios de l’apocalypse
15 novembre 2022 | Cédric Cartau | TribuneQuelquefois, entre deux réunions avec moi-même ou à la sortie d’une énième conférence encore consacrée à ce que l’on sait déjà depuis des lustres, je me mets à rêvasser à des fins de partie, ENDS OF GAME dans la cyber. Il y a une petite vingtaine d’années, Guillaume Bigot s’était essayé à l’exercice lors du très remarqué Les Sept Scénarios de l’apocalypse, qui mêlait joyeusement guerre nucléaire, attaque bactériologique mondiale, et j’en passe. Tant qu’à faire, autant se lâcher.
Analyse psy de la cyber : les RSSI sont tous dingos
08 novembre 2022 | Cédric Cartau | TribuneRécemment, je suis tombé sur une émission d’Affaires sensibles[1] consacrée à une affaire judiciaire célèbre mettant en jeu la pathologie psychiatrique d’une protagoniste : le syndrome de Münchhausen par procuration, SMPP pour les intimes. Petite explication en guise d’introduction : le syndrome de Münchhausen (SM) consiste à simuler une maladie plus ou moins grave pour s’attirer la sympathie de son entourage, alors que le SMPP consiste à prétendre qu’un proche (souvent un enfant) est affecté d’une maladie grave, ce qui le maintient dans un état de dépendance (il est fréquemment soumis à un traitement lourd de longue durée, voire incapacitant) tout en attirant la sympathie des proches pour le « soignant »[2][3] eu égard au (prétendu) calvaire qu’il endure.
« Si l’informatique est en panne, c’est le DSI qui ira devant le juge. »
02 novembre 2022 | Cédric Cartau | TribuneAutant le préciser tout de suite, il s’agit de la citation d’une formule que j’ai entendue récemment : je pensais que ce type d’imbécillité avait disparu des organisations modernes, mais en fait non. D’où le nécessaire décryptage, qui va aider plus d’un DSI et plus d’un RSSI. Et plus d’une MOA pour le même tarif. À partager largement, c’est cadeau.
Actualité SSI : Cnil, Microsoft et protection contre les attaques par mail
24 octobre 2022 | Cédric Cartau | TribuneUne fin d’octobre chargée, petite revue de presse/d’actualité/de réflexion/de ce que vous voudrez.
CNIL et mots de passe : dernière doctrine
20 octobre 2022 | Cédric Cartau | TribuneJe ne l’avais pas vue passer, mais dans sa délibération 2022-100 du 21 juillet[1] dernier, la CNIL nous a décrit son positionnement sur la question des mots de passe.
Challenge de suppression des e-mails inutiles, le pli est pris
18 octobre 2022 | Pierre Derrouch | ActualitésDu 19 septembre au 30 septembre 2022, durant la semaine européenne du développement durable, s’est déroulé le 1er challenge national de suppression d’e-mails inutiles lancé par la Fédération hospitalière de France. Un petit pas pour sensibiliser les hôpitaux aux enjeux de la transition écologique en santé.
Gestion des annuaires, à la frontière de la SSI
18 octobre 2022 | Cédric Cartau | TribuneLe RSSI et le DPO sont souvent consultés pour des sujets bizarres, voire carrément étrangers à leur périmètre. Mais après tout, c’est le lot de pas mal de professions transverses, surtout dans le conseil.
La cyber dans la santé : la loi de Hanlon et les gorets
11 octobre 2022 | Cédric Cartau | TribuneJe n’avais pas prévu ce genre de billet, mais vu ce qui vient d’arriver la semaine dernière dans mon établissement, il m’a semblé être une bonne idée de le partager avec vous. 23 ans d’hôpital, dont 13 dans la cybersécurité, et je n’avais jamais vu cela. Je vous fais la version courte, car il m’a fallu plusieurs jours pour tout détricoter et reconstituer le fil de l’histoire, et déjà la version courte risque de finir par vous donner mal aux cheveux.
Quelle responsabilité juridique pour les établissements cyberattaqués ?
04 octobre 2022 | Cédric Cartau | TribuneBreaking news : une association de patients attaque le Centre hospitalier Sud francilien[1] (CHSF) quant à sa responsabilité dans le contexte de l’attaque cyber subie par l’établissement et la publication de données sensibles (entre autres, médicales) sur les réseaux par les pirates pour faire pression sur le paiement d’une rançon.
Anne Boleyn et le Cloud
27 septembre 2022 | Cédric Cartau | TribuneImaginez la scène : vous êtes à la recherche d’un nouveau véhicule (la poubelle dans laquelle vous roulez est au bout du bout, même le chien ne veut plus monter dedans tellement c’est moche) et vous tombez sur un concessionnaire aux dents éclatantes et à la cravate impeccable qui vous propose le modèle de vos rêves (V8 350 CV avec 0 émission de CO2). Seulement voilà, impossible de l’acheter, il faut passer en mode locatif avec renouvellement de véhicule tous les trois ans (c’est à la mode). Jusque-là, pourquoi pas ? Mais il y a une petite clause dans le contrat : vous êtes lié à vie au concessionnaire et à la marque, sans possibilité de vous dédire. Jusqu’à la fin des temps (ou en tout cas de votre vie), il faudra rapporter le modèle au bout de trois ans, en reprendre un neuf, avec toujours plus d’options, toujours plus cher, et impossible de se carapater. Chaud patate, n’est-ce pas ?
Cyber et pataphysique : quelques concepts utiles
20 septembre 2022 | Cédric Cartau | TribuneEn ces temps troublés, il convient de revenir aux bases, back to basic, les fondamentaux éternels nous sauveront des ténèbres de la cyber. Nous avions déjà remarqué que certains jeunots récemment débarqués dans la cyber manquaient de principes directeurs : petit florilège presque sérieux et pas du tout orienté, que nous conseillons donc en support de formation continue.
Rentrée cyber : une rentrée bizarre, très bizarre…
12 septembre 2022 | Cédric Cartau | TribuneLa rentrée 2022 aura été bizarre, vraiment bizarre.
Sécurité des SI : le syndrome Gorbatchev
06 septembre 2022 | Cédric Cartau | TribuneMikhaïl Gorbatchev, l’artisan de la perestroïka, nous a quittés il y a quelques jours et nous rappelle que l’Union soviétique s’est effondrée en 1989 après une série de soubresauts qui a notamment démarré par la chute du mur de Berlin.
Effacer une donnée médicale d’un patient ? Vraiment ?
19 juillet 2022 | Cédric Cartau | TribuneLes données médicales constituent une exception sur pas mal d’éléments du RGPD : pas de droit à l’opposition du recueil (on excepte la question de l’anonymat), peu de droit à la rectification. Mais il est une question qui revient de temps en temps et qui concerne la question de l’effacement des données médicales d’un patient (soit tout le dossier, soit un séjour en particulier). La question est tout sauf simple, d’autant qu’il existe pas mal de cas d’usage à tiroirs. Cet article n’a pas la prétention de l’exhaustivité, juste d’illustrer une question qui paraît simple mais qui, en réalité, est protéiforme.
RSSI (et DPO) sont-ils des bullshit jobs ?
12 juillet 2022 | Cédric Cartau | TribuneÇa y est, c’est fait, c’est dit, c’est écrit : il fallait bien que quelqu’un se coltine la question et vu qu’il n’y avait pas foule de volontaires, je m’y colle.
Certification HDS : quelle approche de l’activité 5 ?
05 juillet 2022 | Cédric Cartau | TribuneRécemment, un confrère m’a soumis le problème suivant : en manque de personnel et après une démission, sa DSI a fait appel à une SSII pour une prestation de DBA en mode « prêt de personnel », mais ladite SSII n’est pas certifiée HDS et encore moins sur son niveau 5 (N5). Le décret 2018-137[1] énonce pourtant dans l’article R. 1111-9 que : « Est considéré comme une activité d’hébergement de données de santé à caractère personnel sur support numérique au sens du II de l’article L. 1111-8 le fait d’assurer pour le compte du responsable de traitement […] : 5° L’administration et l’exploitation du système d’information contenant les données de santé. » Si on l’applique tel quel et sans discernement, non seulement la DSI est bloquée, mais la moindre entreprise qui effectue la télémaintenance d’un progiciel de santé doit détenir la certification N5. Autant dire que l’on arrête de faire fonctionner la quasi-totalité des SI de santé puisque très peu d’entreprises cochent la case.
2022 : bilan à mi-course
28 juin 2022 | Cédric Cartau | TribuneBientôt l’été, déjà une canicule au compteur, il est temps d’un petit bilan à mi-année.
RGPD en santé : les enjeux des cinq prochaines années
21 juin 2022 | Cédric Cartau | TribuneLe RGPD a démarré depuis désormais cinq ans (bon, en fait sept, mais on va rester sur la version simple), et globalement les établissements de santé ont pris le problème en charge. Avec des moyens souvent réduits du reste : on observe des effectifs de demi-ETP dans certains gros CHU qui laissent un peu rêveur : mais bon, au moins il y a quelqu’un pour s’occuper du machin.
Référentiel d’identification électronique – An 0
14 juin 2022 | Cédric Cartau | TribuneNous n’avions pas encore eu le temps de l’évoquer, mais en avril dernier l’ANS a publié un corpus documentaire qui a fait l’objet de pas mal de discussions entre les experts du secteur : le référentiel d’identification électronique[1].
ISO 27001 : introduction au concept de classe de risques
07 juin 2022 | Cédric Cartau | TribuneL’approche par le risque est à la base de la norme ISO 27001 : si vous « le » faites, c’est parce que ce « le » est la réponse à un risque que vous avez identifié. Et cela marche aussi dans l’autre sens : si vous prenez une mesure de sécurisation, c’est forcément la réponse à un risque identifié : être incapable de faire le lien bidirectionnel entre mesure et risque est d’ailleurs une non-conformité. Bon dans les faits c’est un peu plus subtil, il faut passer par la base DDA (Déclaration d’Applicabilité), mais l’idée reste la même.
ISO 27001 : convaincre sa direction générale d’y aller
31 mai 2022 | Cédric Cartau | TribuneDans son monumental et dernier ouvrage Apocalypses, l’historien Niall Ferguson consacre un chapitre entier aux principaux accidents technologiques du xxe siècle : le Titanic (1912), Three Mile Island (1979), la navette Challenger (1986) et Tchernobyl (1986).
Comme un entomologiste
17 mai 2022 | Cédric Cartau | TribuneQuand vous avez le blues, un coup de mou ou plus aucune foi en l’humanité, je vous conseille vivement de vous tourner vers ce monument de la culture occidentale : les épisodes de la série Scooby-Doo (que les vieux dans mon genre qui ont passé des heures devant Les Visiteurs du mercrediconnaissent sous son nom francisé « Scoubidou »). Je préviens tout de suite : on ne critique pas. Sa première apparition date de 1969 et la franchise est toujours active de nos jours. Le site Wikipédia lui consacre pas moins de 28 pages et comptabilise des dizaines d’épisodes, de films d’animation, de versions cinéma avec personnages humains ; la série est tellement célèbre que plusieurs acteurs américains de renom ont accepté de prêter leur voix aux personnages. Si ça, ce n’est pas une référence…
Manager par le risque : mais qu’est-ce qu’on est nul !
09 mai 2022 | Cédric Cartau | TribuneUne des particularités de la formation des jeunes pilotes d’avion, pour l’aviation commerciale comme pour l’aviation privée (dite « de loisir »), est la prise en compte avant chaque vol du TEM : Threat and Error Management, ou gestion des menaces et des erreurs. On trouve des tonnes d’articles[1]plus ou moins théoriques sur le sujet, mais en gros l’idée est simple : avant le vol, il s’agit d’inventorier les risques connus et identifiés.
Au nom du Père, des bits et du cyber-Esprit
03 mai 2022 | Cédric Cartau | TribuneJe suis tombé il y a quelque temps sur une excellente émission de la série documentaire 42 d’Arte[1] consacrée au stockage des déchets nucléaires issus principalement des centrales. Outre le débat sur la technologie, les 23 minutes du reportage étaient principalement dédiées à une question à la fois bête et complexe : étant donné la durée de stockage (on parle dans la plupart des cas en millions d’années), comment s’assurer que nos descendants n’oublieront pas ces lieux de stockage (la plupart du temps souterrains) et comprendront le sens des panneaux signalant le danger des émissions radioactives ? Si la question vous paraît saugrenue, je vous rappelle que l’on a déjà du mal à relire les textes originaux du français d’il y a à peine 500 ans (essayez juste pour voir de lire Le Roman de Renart[2] dans le texte), il y a de fortes chances que dans même pas 1 000 ans les films et les romans du xxie siècle seront totalement abscons pour nos arrière-arrière-arrière-petits-enfants. Alors imaginez dans 10 000 ans ou plus !
Mon camembert dans le Cloud
19 avril 2022 | Cédric Cartau | TribuneAu fil de diverses discussions avec plusieurs personnes non expertes du sujet, je me suis rendu compte que le terme « Cloud » n’était pas forcément bien compris. « C’est dans le Cloud » (qui en soit ne veut rien dire) n’a pas le même sens pour tout le monde. Un petit décryptage ne sera pas superflu, et pour cela on va utiliser un bon camembert.
Sécurité des SI et bandes dessinées
12 avril 2022 | Cédric Cartau | TribuneDe temps en temps, je ressors un album de BD histoire de me changer les idées, entre un contrôle de flux https sortant sur le firewall externe et une revue des habilitations fonctionnelles. Et c’est le propre des grands ouvrages ou des grandes séries que d’avoir plusieurs niveaux de lecture selon que l’on soit gamin, adulte ou pire : RSSI.
Le Quiz annuel
04 avril 2022 | Cédric Cartau | TribuneÇa y est, c’est le printemps, il est largement temps de se changer les idées avec un petit quiz pas du tout orienté ni poil à gratter – pas mon genre. Une seule bonne réponse par question, on compte les points à la fin.
Remboursement de l’appli OdySight, expérimentée dans le cadre de l’article 51
15 mars 2022 | DSIH | ActualitésDepuis le 9 mars 2022, OdySight, jeu mobile doté de modules médicaux recommandé dans la surveillance rapprochée de patients atteints de maladies chroniques ophtalmiques, est remboursé après expérimentation dans le cadre du dispositif de l’« article 51 » sur l’innovation.
Les plus lus
Inscription gratuite
Offres d'emploi e-santé
- 11/10/2022 - GIP Centre-Val de Loire e-Santé - (45)
Chargé(e) déploiement des usages
- 11/10/2022 - GIP Centre Val de Loire e-santé - (45)
Référent en Identitovigilance
- 11/10/2022 - GIP Centre Val de Loire e-Santé - (45)
Ingénieur de production
- 19/09/2022 - GIP Centre-Val de Loire e-Santé - (45)
Chargé(e) d’accompagnement Ségur/ SI ESMS