Vous êtes dans : Accueil > data >
Une fin d’octobre chargée, petite revue de presse/d’actualité/de réflexion/de ce que vous voudrez.
L'Association Pour la Sécurité des Systèmes d’Information de Santé (APSSIS) a réuni fin septembre à Paris ses adhérents à l'occasion d'une journée de conférences. Gérard PELIKS, co-organisateur des Lundis de la Cybersécurité, en a rédigé un compte-rendu complet.
Je ne l’avais pas vue passer, mais dans sa délibération 2022-100 du 21 juillet[1] dernier, la CNIL nous a décrit son positionnement sur la question des mots de passe.
Du 19 septembre au 30 septembre 2022, durant la semaine européenne du développement durable, s’est déroulé le 1er challenge national de suppression d’e-mails inutiles lancé par la Fédération hospitalière de France. Un petit pas pour sensibiliser les hôpitaux aux enjeux de la transition écologique en santé.
Si les attaquants réussissent encore à compromettre nos SI, c’est certainement car nous ne sommes pas bien préparés à leurs attaques. Et pourtant, les victimes ne manquent pas, les retours d’expériences non plus, tout comme les guides de bonnes pratiques, alors pourquoi nous faisons-nous toujours avoir ?
Le RSSI et le DPO sont souvent consultés pour des sujets bizarres, voire carrément étrangers à leur périmètre. Mais après tout, c’est le lot de pas mal de professions transverses, surtout dans le conseil.
Le Health Data Hub est engagé dans le Partenariat pour un gouvernement ouvert via la plateforme d’information sur les événements et les actualités des administrations engagées dans cette démarche d’ouverture, plateforme qui permet d’en suivre régulièrement les avancées.
Je n’avais pas prévu ce genre de billet, mais vu ce qui vient d’arriver la semaine dernière dans mon établissement, il m’a semblé être une bonne idée de le partager avec vous. 23 ans d’hôpital, dont 13 dans la cybersécurité, et je n’avais jamais vu cela. Je vous fais la version courte, car il m’a fallu plusieurs jours pour tout détricoter et reconstituer le fil de l’histoire, et déjà la version courte risque de finir par vous donner mal aux cheveux.
Breaking news : une association de patients attaque le Centre hospitalier Sud francilien[1] (CHSF) quant à sa responsabilité dans le contexte de l’attaque cyber subie par l’établissement et la publication de données sensibles (entre autres, médicales) sur les réseaux par les pirates pour faire pression sur le paiement d’une rançon.
Alors que les premières candidatures de l’appel à projets « Accompagnement et soutien à la constitution d’entrepôts de données de santé hospitaliers » vont être prochainement relevées, il est plus qu’utile d’interroger la constitution de tels entrepôts à l’aune du règlement européen sur la gouvernance des données (Data Governance Act - DGA) qui entrera en application dans moins d’un an, le 24 septembre 2023.
Imaginez la scène : vous êtes à la recherche d’un nouveau véhicule (la poubelle dans laquelle vous roulez est au bout du bout, même le chien ne veut plus monter dedans tellement c’est moche) et vous tombez sur un concessionnaire aux dents éclatantes et à la cravate impeccable qui vous propose le modèle de vos rêves (V8 350 CV avec 0 émission de CO2). Seulement voilà, impossible de l’acheter, il faut passer en mode locatif avec renouvellement de véhicule tous les trois ans (c’est à la mode). Jusque-là, pourquoi pas ? Mais il y a une petite clause dans le contrat : vous êtes lié à vie au concessionnaire et à la marque, sans possibilité de vous dédire. Jusqu’à la fin des temps (ou en tout cas de votre vie), il faudra rapporter le modèle au bout de trois ans, en reprendre un neuf, avec toujours plus d’options, toujours plus cher, et impossible de se carapater. Chaud patate, n’est-ce pas ?
La quatrième édition de l’événement Pharma HealthTech, organisé par Pharmaceutiques et TechToMed, était consacrée ce 21 septembre à l’intelligence artificielle. Lors de plusieurs tables rondes, les invités ont détaillé son potentiel, en rappelant qu’il reste à trouver le modèle d’affaires qui permettra de construire une stratégie économique performante et compétitive de la donnée.
Le 12 septembre 2022, Bruno Le Maire, ministre de l’Économie, des Finances et de la Souveraineté industrielle et numérique, ainsi que Jean-Noël Barrot, ministre délégué chargé de la Transition numérique et des Télécommunications, ont présenté à Strasbourg les premiers résultats de la stratégie Cloud mise en place en mai 2021 et annoncé cinq nouvelles mesures pour soutenir cet écosystème.
En ces temps troublés, il convient de revenir aux bases, back to basic, les fondamentaux éternels nous sauveront des ténèbres de la cyber. Nous avions déjà remarqué que certains jeunots récemment débarqués dans la cyber manquaient de principes directeurs : petit florilège presque sérieux et pas du tout orienté, que nous conseillons donc en support de formation continue.
9 mois après son lancement à l’occasion de SANTEXPO 2021, JECONSENS by Tessi fait peau neuve avec une nouvelle version éditée par INNOVATION & TRUST - la Digital Factory de Tessi - pour améliorer la prise en charge administrative des patients, la traçabilité et l’archivage des consentements médicaux.
La rentrée 2022 aura été bizarre, vraiment bizarre.
A l’issue du vote du Conseil d’administration du jeudi 7 juillet, Pierre GOUABAULT, Directeur de 4 Ehpad publics dans le Loir-et-Cher et vice-Président du groupement depuis un an, a été élu Président du GIP e-Santé Centre-Val de Loire. Il succède au Docteur Raphaël ROGEZ, qui a annoncé son départ à la retraite et dont l’action a été unanimement saluée par sa capacité à rassembler l’ensemble des acteurs.
La sécurité numérique, sécurité des systèmes d’information, SSI, cybersécurité ou tout autre nom que l’on voudra bien lui donner est un domaine dans lequel la modestie devrait être une priorité. On a compromis, on compromet et on compromettra mon SI n’est ni une chanson de Francis Cabrel, ni un extrait de l’évangile selon Saint Hack, mais bien la dure réalité du quotidien pour les personnes en charge de protéger les systèmes d’information.
Le 5 septembre, le Comité stratégique de filière des industries et technologies de santé a lancé un appel à manifestation d’intérêt pour identifier, sur le territoire français, les ruptures dans les parcours de santé en s’appuyant sur les données et les techniques d’intelligence artificielle.
À la demande du Premier ministre, le Conseil d’État a publié le 30 août 2022 une étude en faveur d’une stratégie de l’IA ambitieuse au service de la performance publique pour créer les conditions de la confiance tout en dotant la France des ressources et de la gouvernance à la hauteur de ses ambitions. La santé, en lien avec le Health Data Hub, n’y est pas oubliée.
Mikhaïl Gorbatchev, l’artisan de la perestroïka, nous a quittés il y a quelques jours et nous rappelle que l’Union soviétique s’est effondrée en 1989 après une série de soubresauts qui a notamment démarré par la chute du mur de Berlin.
Claranet, leader européen des services de transformation digitale et d’infogérance d’applications critiques, annonce l’acquisition de Pictime Groupe, entreprise créée en 2002 et spécialisée dans la transformation digitale.
Fin juillet, l’Agence européenne du médicament et le réseau des responsables d’agences du médicament ont publié leur plan de travail 2022-2025 sur l’utilisation des big data en santé publique.
Lorsqu’il s’agit d’atteindre leurs objectifs : s’introduire dans les systèmes d’informations de leurs victimes, exfiltrer les données et les chiffrer avant de partir, les acteurs du rançongiciels ne se posent pas vraiment de questions, si techniquement ce n’est pas facile de rentrer, autant demander à un bon samaritain d’ouvrir la porte !
Dans un rapport publié récemment [1], l’équipe de réponse aux incidents Unit 42 revient sur un peu plus de 600 incidents traités depuis les 12 derniers mois. Voici quelques chiffres extraits de ce rapport :
Le 21 juillet, le Health Data Hub a annoncé la signature d’un accord de coopération avec le Fonds de recherche du Québec – Santé pour renforcer l’accès, l’utilisation et la valorisation des données de santé au service de la recherche.
Les données médicales constituent une exception sur pas mal d’éléments du RGPD : pas de droit à l’opposition du recueil (on excepte la question de l’anonymat), peu de droit à la rectification. Mais il est une question qui revient de temps en temps et qui concerne la question de l’effacement des données médicales d’un patient (soit tout le dossier, soit un séjour en particulier). La question est tout sauf simple, d’autant qu’il existe pas mal de cas d’usage à tiroirs. Cet article n’a pas la prétention de l’exhaustivité, juste d’illustrer une question qui paraît simple mais qui, en réalité, est protéiforme.
Les Trophées de la e-santé 2022 ont été remis, fin juin, lors de la 16e édition du Summer Camp de l’Université de la e-santé de Castres-Mazamet Technopole.
Ça y est, c’est fait, c’est dit, c’est écrit : il fallait bien que quelqu’un se coltine la question et vu qu’il n’y avait pas foule de volontaires, je m’y colle.
Récemment, un confrère m’a soumis le problème suivant : en manque de personnel et après une démission, sa DSI a fait appel à une SSII pour une prestation de DBA en mode « prêt de personnel », mais ladite SSII n’est pas certifiée HDS et encore moins sur son niveau 5 (N5). Le décret 2018-137[1] énonce pourtant dans l’article R. 1111-9 que : « Est considéré comme une activité d’hébergement de données de santé à caractère personnel sur support numérique au sens du II de l’article L. 1111-8 le fait d’assurer pour le compte du responsable de traitement […] : 5° L’administration et l’exploitation du système d’information contenant les données de santé. » Si on l’applique tel quel et sans discernement, non seulement la DSI est bloquée, mais la moindre entreprise qui effectue la télémaintenance d’un progiciel de santé doit détenir la certification N5. Autant dire que l’on arrête de faire fonctionner la quasi-totalité des SI de santé puisque très peu d’entreprises cochent la case.
Pour construire sa nouvelle feuille de route pluriannuelle 2023-2025, le Health Data Hub (HDH) a mené une consultation de 26 acteurs de l’écosystème et 4 groupes de travail, pour 46 organismes rencontrés. Présentée ensuite en conseil d’administration(1) et en assemblée générale, elle a été approuvée à l’unanimité le 9 juin dernier. Ainsi, le HDH va renforcer ses actions préexistantes autour de ses 4 axes stratégiques originels, et accélérer ses liens avec l’Europe, et les autres “hub” de santé à l’échelle régionale et locale.
Bientôt l’été, déjà une canicule au compteur, il est temps d’un petit bilan à mi-année.
Le 20 juin, les start-up Arkhn et Owkin se sont associées à l’Inria dans le cadre du projet Oncolab afin de standardiser l’accès aux données de santé de l’IUCT-Oncopole, des instituts Curie et Bergonié ainsi que du CHU de Toulouse.
Le RGPD a démarré depuis désormais cinq ans (bon, en fait sept, mais on va rester sur la version simple), et globalement les établissements de santé ont pris le problème en charge. Avec des moyens souvent réduits du reste : on observe des effectifs de demi-ETP dans certains gros CHU qui laissent un peu rêveur : mais bon, au moins il y a quelqu’un pour s’occuper du machin.
Le 15 juin, le consortium AgorIA Santé a annoncé bénéficier de la première autorisation accordée par la Cnil à un consortium d’acteurs privés pour constituer un entrepôt de données de santé (EDS) avec un système fils du SNDS (Système national de données de santé).
Bienvenue en Cyberie, c’est le titre de la prochaine série d’Alex Berger, coproducteur du Bureau des légendes où l’on a d’ailleurs pu voir une jeune maman RSSI d’un hôpital à l’action, et pour les moins jeunes, l’associé d’Antoine de Caunes pour la création de l’émission Rapido ou encore d’Alain Chabat pour celle de Bruger Quiz (j’avoue, je suis toujours aussi fan), notamment, car sa carrière est assez impressionnante. Après un passage aux RIAMS, Alex Berger est venu au FIC continuer les échanges et les rencontres avec le petit monde de la « Cyberie » dans le but de faire naître prochainement une série sur un thème que vous aurez bien évidemment deviné, la cybersécurité !
Comment investir efficacement pour assurer la continuité d’activité des établissements de santé ? Dans l’humain, évidemment, et dans le numérique pour accompagner l’émergence de l’hôpital du XXIe siècle.
Avec le programme de l’Union Européenne pour la santé, institué par le règlement (UE) 2021/522 (EU4Health)[1] pour la période 2021-2027, l’UE investit 5,3 milliards d’euros dans des actions présentant une valeur ajoutée européenne, qui viennent compléter les politiques menées par les pays de l’UE.
Nous n’avions pas encore eu le temps de l’évoquer, mais en avril dernier l’ANS a publié un corpus documentaire qui a fait l’objet de pas mal de discussions entre les experts du secteur : le référentiel d’identification électronique[1].
L’approche par le risque est à la base de la norme ISO 27001 : si vous « le » faites, c’est parce que ce « le » est la réponse à un risque que vous avez identifié. Et cela marche aussi dans l’autre sens : si vous prenez une mesure de sécurisation, c’est forcément la réponse à un risque identifié : être incapable de faire le lien bidirectionnel entre mesure et risque est d’ailleurs une non-conformité. Bon dans les faits c’est un peu plus subtil, il faut passer par la base DDA (Déclaration d’Applicabilité), mais l’idée reste la même.
La vulnérabilité CVE-2022-30190, aussi connue sous le nom de « Follina », s’est retrouvée sur le devant de la scène suite à l’analyse par l’équipe japonaise de chercheurs Nao Sec d’un fichier Word malveillant découvert le 27 mai sur VirusTotal [1]. Il n’aura pas fallu longtemps pour qu’elle enflamme toute la planète, mais pourquoi ?
Mi-mai, le Health Data Hub a annoncé la publication du premier arrêté portant la liste des bases composant la base principale du catalogue du Système national des données de santé et qui contribue à l’élargissement de ce dernier à l’ensemble des données financées par la solidarité nationale.
Dans son monumental et dernier ouvrage Apocalypses, l’historien Niall Ferguson consacre un chapitre entier aux principaux accidents technologiques du xxe siècle : le Titanic (1912), Three Mile Island (1979), la navette Challenger (1986) et Tchernobyl (1986).
Le sujet n’est pas nouveau, nous l’avions d’ailleurs abordé au congrès de l’APSSIS en 2019 avec le Dr Michel Dubois lors d’une conférence commune sur les mots de passe [1], la recette des cookies est toujours aussi radicale contre les authentifications à deux facteurs. Je ne dis pas que les facteurs en mangent trop au dessert et que cela les empêche de remonter sur le vélo l’après-midi, non, non, non, pas du tout ! Je veux bien sûr parler des cookies utilisés comme jetons d’authentification sur les applications / sites / services web. Un cookie authentifiant est très facile à exporter d’un navigateur web et à importer dans « un autre », cela peut d’ailleurs s’avérer très pratiques pour réaliser des téléchargements authentifiés à l’aide de Wget après s’être authentifié sur le site avec Firefox par exemple.
L’Europe a lancé ces dernières années différents projets dans le domaine du numérique en santé, notamment autour de l’exploitation des données. Est-ce à dire que les projets doivent maintenant être réfléchis uniquement au niveau de l’Union ? Pas forcément, ont répondu les participants à une conférence organisée par la Fédération hospitalière de France (FHF), le 18 mai à l’occasion du salon SantExpo 2022.
L’actualité de ces dernières semaines nous prédit encore pas mal d’occupation en perspective !
Quand vous avez le blues, un coup de mou ou plus aucune foi en l’humanité, je vous conseille vivement de vous tourner vers ce monument de la culture occidentale : les épisodes de la série Scooby-Doo (que les vieux dans mon genre qui ont passé des heures devant Les Visiteurs du mercrediconnaissent sous son nom francisé « Scoubidou »). Je préviens tout de suite : on ne critique pas. Sa première apparition date de 1969 et la franchise est toujours active de nos jours. Le site Wikipédia lui consacre pas moins de 28 pages et comptabilise des dizaines d’épisodes, de films d’animation, de versions cinéma avec personnages humains ; la série est tellement célèbre que plusieurs acteurs américains de renom ont accepté de prêter leur voix aux personnages. Si ça, ce n’est pas une référence…
Une des particularités de la formation des jeunes pilotes d’avion, pour l’aviation commerciale comme pour l’aviation privée (dite « de loisir »), est la prise en compte avant chaque vol du TEM : Threat and Error Management, ou gestion des menaces et des erreurs. On trouve des tonnes d’articles[1]plus ou moins théoriques sur le sujet, mais en gros l’idée est simple : avant le vol, il s’agit d’inventorier les risques connus et identifiés.
Les plus lus