Vous êtes dans : Accueil > code >
Des soignants ont reçu une mise en garde pour avoir consulté le dossier d’Emmanuel Macron[1]. Sans motif médical valable a regard du Code de la Santé Publique (prise en charge entre autres), il apparaît qu’une trentaine de personnes (médecins, pharmaciens, infirmiers) ont consulté le dossier vaccinal d’Emmanuel Macron sur la plateforme Vaccin Covid.
Entre l’intervention de cadrage de Dominique PON sur les enjeux, les objectifs et le calendrier de MaSanté 2022 et Mon Espace Santé, et celle de Patrick MALLEA, DG NEHS DIGITAL, sur les solutions industrielles développées par son groupe dans le cadre de l’ENS et du Ségur de la Santé, le CHU de Toulouse présentera MAX Anesthésie, un chatbot intelligent destiné à fluidifier les consultations dans les services de soins.
Il s’agit, très clairement, de l’affaire d’espionnage de l’année : on n’en a pas souvent à se mettre sous la dent de cette ampleur, autant profiter du spectacle.
Les fraudes au pass sanitaire se multiplient. L’ANS et l’Assurance maladie accompagnent les professionnels de santé pour s’en prémunir et leur permettre de continuer à vacciner en toute sécurité.
Le 27 août 2021, l’Organisation mondiale de la santé a publié un document d’orientation à l’attention des pays et des partenaires chargés de la mise en œuvre des exigences techniques concernant la délivrance des certificats numériques pour la vaccination contre le Covid-19.
Ce mois-ci encore le « patch tuesday » de Microsoft vient boucher quelques petits trous dans nos serveurs Exchange [1]. Une vulnérabilité pouvant permettre à un attaquant de réaliser une élévation de privilèges et deux nouvelles vulnérabilités pouvant permettre à un attaquant de réaliser une exécution de code arbitraire à distance. Le chercheur Orange TSAI [2] a encore frappé en signant deux des trois vulnérabilités.
Le 1er juillet, l’Anap a mis en ligne un nouveau guide sous la forme d’une boîte à outils destinés à améliorer la compréhension des spécificités et des exigences réglementaires, organisationnelles et techniques liées au système d’information pour sécuriser l’utilisation des dispositifs médicaux restérilisables.
Les Cliniques universitaires Saint-Luc, à Bruxelles, ont profité du projet d’implantation du DPI EPIC[1] pour alimenter celui-ci avec les données préexistantes préalablement structurées. Une opération d’envergure pour cet établissement de près de 1 000 lits, mise en œuvre avec la solution de traitement du langage naturel de la startup belge EarlyTracks. Entretien avec le Pr Marianne Philippe, CMIO - Chef du Département d’information médicale
L'application carte Vitale, actuellement en phase d'expérimentation et qui devrait être généralisée fin 2022, pourra servir de moyen d'accès sécurisé à l'espace numérique Mon Espace Santé, qui sera créé automatiquement pour l'ensemble des citoyens au premier trimestre 2022. Ses enjeux de sécurité sont donc particulièrement importants. Ils ont été présentés le 23 juin lors du 9e congrès de l'Association pour la sécurité des systèmes d'information de santé (Apssis).
Le 11 juin, la Commission nationale de l’informatique et des libertés (Cnil) a annoncé l’approbation dupremier code de conduite européen des fournisseurs de services d’infrastructure Cloud relatif à la protection des données, porté par Cloud Infrastructure Services Providers in Europe (Cispe).
Je sais pertinemment que nos modestes systèmes d’information de santé français ont logiquement assez peu de chance d’être victimes d’attaques basées sur l’exploitation de vulnérabilités encore inconnues des éditeurs, mais je trouve assez effrayant de voir le nombre de vulnérabilités dites « 0 Day » révélées ces derniers mois…
Le vendredi 4 juin, un arrêté et un décret relatifs à la télésanté ont été publiés au Journal officiel. Le premier autorise les pharmaciens et les auxiliaires médicaux à pratiquer le télésoin, à l’exclusion des soins nécessitant un contact direct en présentiel entre le professionnel et le patient ou un équipement spécifique non disponible à proximité du patient. Le second ouvre la télé-expertise à ces professionnels de santé, sans la présence mais avec l’autorisation du patient. DSIH a rencontré Lydie Canipel, coprésidente de la Société française de santé digitale (SFSD).
Les nouveautés technologiques passent par une courbe bien connue, nommée « courbe d’acceptation » ou « courbe du deuil » : découverte, euphorie, déception, etc. En général, quand le moral est au fond du trou, c’est paradoxalement plutôt une bonne nouvelle puisque les « scories » véhiculées par les vendeurs de rêves ont été filtrées, et l’on peut enfin se concentrer sur l’essentiel, à savoir ce que la nouveauté ou l’invention est réellement capable de faire. Ou pas.
Le bon patient, au bon moment, au bon endroit… L'organisation des plateaux techniques dépend de nombreux facteurs dont la fluidité du brancardage. Ce maillon parfois invisible constitue pourtant un élément clé de la prise en charge d’un patient.
L’Agence du numérique en santé (ANS) revisite son animation régionale du déploiement des stratégies MSSanté et DMP, avant les autres services socles.
Traditionnellement, comme chaque deuxième mardi du mois, Microsoft publie son célèbre « patch tuesday » venant corriger en nombre les vulnérabilités affectant ces divers produits, dont les systèmes Windows. Ce n’était déjà pas facile de faire l’analyse de cette ribambelle de vulnérabilités pour savoir ce qu’il fallait corriger et surtout avec quel degré d’urgence, sachant que les vulnérabilités sont de plus en plus vites exploitées, quand elles ne le sont pas déjà bien avant la publication de leurs correctifs…
Ce mois-ci, comme le mois dernier, Microsoft nous avait réservé une bonne séance de patching sur nos serveurs Exchange. Souvenez-vous [1], le 2 mars, Microsoft, après s’être lui-même fait percer, publiait en urgence un correctif pour quatre vulnérabilités permettant d’exécuter du code arbitraire à distance sans authentification sur une interface OWA exposée sur Internet et obtenir un Webshell qui pourrait éventuellement permettre de prendre le contrôle de l’ensemble du SI.
Deux mois après le décret relatif à la prise en charge transitoire de certains produits ou prestations par l’assurance maladie, aucun dossier n’a été soumis. À l’occasion de la 6e Journée Start-up innovantes, le Snitem est revenu sur ce dispositif ainsi que sur le forfait Innovation.
Le 13 avril s’est tenue la 6e Journée Start-up innovantes du Snitem, qui a déroulé le parcours et les enjeux du développement des dispositifs médicaux innovants, en insistant notamment sur la nécessaire conciliation entre les besoins médicaux et les innovations technologiques.
Alors que les hôpitaux d’Oloron-Sainte-Marie, de Dax et de Villefranche-sur-Saône tentent de retrouver leur rythme normal après une vague de cyberattaques, les menaces en ligne suscitent toujours une grande inquiétude pour le secteur de la santé. Vendredi dernier, l’hôpital de Pontarlier est devenu la nouvelle victime des menaces en ligne. Selon Cédric O, les hôpitaux français ont été victimes de 27 cyberattaques majeures en 2020. Par ailleurs, la Cnil a lancé une enquête pour découvrir les causes de la fuite de données médicales touchant environ 500 000 personnes en France.
Dax, Trévoux, ou encore l’AP-HP, on ne compte plus le nombre de cyberattaques visant les hôpitaux et établissements de santé ces derniers mois. Les conséquences de ces cyberattaques dépassent largement le monde numérique dans ces milieux hospitaliers, qui voient leur service tourner au ralenti et dont les retombées pourraient être fatales.
La HAS a publié le 16 mars dernier les critères d’éligibilité au télésoin et des recommandations pour son bon usage, sa qualité et sa sécurité afin de favoriser l’accès à tous des soins à distance et faciliter leur déploiement sécurisé.
Le 23 février, un décret relatif à la prise en charge transitoire de certains produits ou prestations par l’assurance maladie a été publié au titre de l’article L. 165-1-5 du Code de la sécurité sociale. Pour le Snitem, ce texte issu d’un dialogue constructif est de bon augure.
Les acteurs du soin de La Réunion sont les premiers à bénéficier de Lien L’App, une solution 100 % mobile de coordination des professionnels de santé développée par Maincare Solutions, au sein d’IdéoPHM, sa plateforme collaborative de gestion des parcours. La solution, financée par l’ARS de La Réunion, a été déployée en partenariat avec le GCS Tesis, le groupement régional d’appui au déploiement de l’e-santé (Grades) Océan Indien.
Depuis le début de l’année, on peut dire que les semaines se suivent et… se ressemblent… Systèmes compromis, vulnérabilité activement exploitée, patching en urgence, systèmes compromis, nouvelles vulnérabilités activement exploitées, patching en urgence… et ainsi de suite.
Début février, l’ANS a réalisé un premier état des lieux des usages de la MSSanté au sein des structures de services à domicile. Il montre des disparités régionales et un besoin d’acculturation.
Alors que le CERT-FR de l’ANSSI vient de publier son rapport annuel sur l’état de la menace rançongiciels à l’encontre des entreprises et institutions [1], un excellent document de synthèse à conserver dans sa « PDFthèque SSI ». On notera une augmentation de 255 % des signalements d’attaques par rançongiciel en 2020, par rapport à 2019. Un paragraphe sur le secteur de la santé qui rappelle notamment que le rançongiciel Ryuk le cible particulièrement, et qu’il serait responsable de près de 75 % des attaques de ce type ayant été subies par les établissements de santé américains. En France aussi, il a pas mal frappé et pourrait bien revenir à la charge en mettant le « Bazar » dans nos SI. Vous pouvez retrouvez d’autres informations sur Ryuk dans une tribune d’il y a quelques mois [2].
Une intelligence artificielle (IA), développée en étroite collaboration par les médecins et chercheurs de Gustave Roussy, de l’hôpital Bicêtre – AP-HP, d’Inria et de la start-up Owkin établit un score de gravité des malades atteints de la Covid-19 dès le diagnostic.
Corrigée le 12 janvier dernier dans le patch tuesday de Microsoft, la vulnérabilité CVE-2021-1647 affectant le moteur antivirus « Microsoft Malware Protection Engine » embarqué par défaut dans Windows, de la version 7 à la dernière version 20H2 de Windows 10 (et versions équivalentes côté serveurs) pourrait permettre à un attaquant de réaliser une exécution de code arbitraire.
Le 23 décembre, Éric Bothorel, député des Côtes-d’Armor, a remis au Premier ministre son rapport sur la politique publique de la donnée, des algorithmes et des codes sources.
L’Association française des ingénieurs biomédicaux a présenté ses recommandations pour améliorer la sécurité numérique des équipements biomédicaux lors d’un webinaire le 15 décembre dernier.
Une cyberattaque de cette ampleur n’arrive pas tous les jours. C’est pourtant ce qui vient de se produire – et apparemment elle est toujours en cours, au moins partiellement – contre les US.
Le 1er décembre 2020, le premier module(1) d’Eudamed, la base de données sur les dispositifs médicaux, a été lancé. L’Agence nationale de sécurité du médicament et des produits de santé encourage les opérateurs établis en France à s’enregistrer.
Il est assez rare de voir autant de vulnérabilités zero day corrigées en aussi peu de temps. Google publie des correctifs de sécurité pour Chrome, autant qu’un curé pourrait en bénir, si bien qu’il devient de plus en plus rare qu’il passe plus d’une semaine entre deux patches…
Le Centre Hospitalier de Valenciennes déploie la solution BPOC de Cerner Millennium®, outil intégré de Cerner pour gérer et sécuriser l’administration des médicaments par lecture de code-barres. Il s’agit du premier client de l’éditeur en France à mettre en place cette solution.
Le déploiement de l’identité ‘INS’ dans les services numériques en santé se concrétise dans la perspective de l’échéance du 1er janvier 2021 fixée par décret1. La généralisation de cette identité (matricule INS et cinq traits d’identité de référence) est essentielle pour la réussite du partage de l’information médicale en toute sécurité et en confiance, en renforcant l’interopérabilité et l’identitovigilance. En parallèle des premiers usages enregistrés en production, les éditeurs de services numériques en santé se mobilisent pour être compatibles dans les plus brefs délais.
Un hôpital allemand victime d’un rançongiciel : une patiente décédée
L’éthique est un enjeu de la feuille de route du numérique en santé, en particulier de l’action 2 sur la relance du Conseil du numérique en santé. Pour former à cette dynamique, l’Espace éthique d’Île-de-France et l’Université Paris-Saclay lancent, en cette rentrée 2020, un diplôme universitaire (DU) intitulé « Éthique du numérique en santé ».
Si vous étiez en congés, ou tout simplement déconnecté, la semaine dernière, le CERT-FR de l’ANSSI a publié deux alertes en lien avec la vulnérabilité CVE-2020-1472, également baptisée « Zerologon » [1]. Si vous êtes attentif aux vulnérabilités critiques corrigées dans le fameux « patch tuesday » de Microsoft, vous vous rappelez certainement de cette vulnérabilité affectant l’implémentation du protocole d’authentification Netlogon Remote Protocol (MS-NRPC) dans les contrôleur de domaine Windows, corrigée au mois d’août [2].
Depuis une semaine, suite à l’alerte lancée par le CERT-FR de l’ANSSI [1], il est la star de tous les magazines people de l’IT ! Mais qui est Emotet ?
Les souliers neufs chaussés, le masque haute couture sur le nez et le cartable tendance à peine enfilé qu’il faut déjà commencer à éviter les balles ! Alors que l’on tente de faire un point sur les actualités de l’été à ne pas rater, le CERT-FR de l’ANSSI nous annonce déjà des orages cyber !
Les systèmes d’information des établissements de santé sont de plus en plus exposés aux cyberattaques, avec un risque de compromission des équipements biomédicaux connectés (tomodensitomètres, échographes, cardiographes, etc.) ou non. Comment bien protéger ces équipements ? Leurs conditions de certification sont-elles un frein à leur sécurisation ? Entretien avec Renaud Bidou, directeur technique pour l’Europe du Sud de Trend Micro.
Mardi 21 juillet dernier, Doctolib annonçait officiellement qu’environ 6000 rendez-vous médicaux avaient fuité, victime d’un siphonnage faisant suite à un acte malveillant. Doctolib parle de fuite de « données administratives », affirmant qu’aucune donnée médicale n’est concernée.
Nous le savons, dans le contexte exceptionnel de la lutte contre l’épidémie de Covid-19, les autorités sanitaires ont publié, depuis fin janvier 2020, une série de décrets visant à faciliter l’accès à la télémédecine et aux outils numériques de suivi.
Dans une récente interview[1], l’éditeur Daqsan[2], spécialisé dans les analyses des accès anormaux aux données, fait part dans certains cas d’un pic de 1 000 % des détections des accès en anomalie aux dossiers des patients (DP). Selon l’éditeur, si les accès en anomalie aux données médicales des VIP ou des voisins de palier sont restés stables, ce sont surtout les accès aux DP des collègues qui ont explosé.
Le forfait innovation est un dispositif qui permet à un industriel d'obtenir un financement de l'étude destinée à établir l'utilité d'un dispositif médical innovant. Il est également ouvert aux sociétés savantes pour de nouveaux actes. Il conjugue ainsi la mise à disposition précoce pour les patients d'une technologie de santé et le recueil des données cliniques nécessaires à démontrer son intérêt en vue de sa prise en charge financière pérenne. Soucieuse de favoriser l'accès à l'innovation, la HAS a rénové la procédure et les modalités pratiques de dépôt des dossiers. Elle ouvre aujourd'hui son portail électronique Sésame et appelle les industriels et les sociétés savantes à recourir davantage au forfait innovation.
Dans un article récent(1) , Charles Blanc-Rolin entamait une classification des tentatives de phishing qui sévissent sur l’Internet. L’article classe en sept catégories ces cochonneries dont nous sommes inondés couramment : arnaque au faux support informatique, vente de masques FFP2 en ligne, etc. L’article regorge de copies d’écran et d’exemples de terrain ; sa lecture est indispensable pour tout informaticien qui se respecte.
Les plus lus