Data604 documents taggés

Actualité SSI : Cnil, Microsoft et protection contre les attaques par mail

Une fin d’octobre chargée, petite revue de presse/d’actualité/de réflexion/de ce que vous voudrez.

Revivez les 2èmes Rencontres SSI Santé de l'APSSIS

L'Association Pour la Sécurité des Systèmes d’Information de Santé (APSSIS) a réuni fin septembre à Paris ses adhérents à l'occasion d'une journée de conférences. Gérard PELIKS, co-organisateur des Lundis de la Cybersécurité, en a rédigé un compte-rendu complet.

CNIL et mots de passe : dernière doctrine

Je ne l’avais pas vue passer, mais dans sa délibération 2022-100 du 21 juillet[1] dernier, la CNIL nous a décrit son positionnement sur la question des mots de passe.      

Challenge de suppression des e-mails inutiles, le pli est pris

Du 19 septembre au 30 septembre 2022, durant la semaine européenne du développement durable, s’est déroulé le 1er challenge national de suppression d’e-mails inutiles lancé par la Fédération hospitalière de France. Un petit pas pour sensibiliser les hôpitaux aux enjeux de la transition écologique en santé.  

La réussite des attaques par rançongiciels repose-t-elle toujours sur un débordement de mémoire tampon ?

Si les attaquants réussissent encore à compromettre nos SI, c’est certainement car nous ne sommes pas bien préparés à leurs attaques. Et pourtant, les victimes ne manquent pas, les retours d’expériences non plus, tout comme les guides de bonnes pratiques, alors pourquoi nous faisons-nous toujours avoir ?

Gestion des annuaires, à la frontière de la SSI

Le RSSI et le DPO sont souvent consultés pour des sujets bizarres, voire carrément étrangers à leur périmètre. Mais après tout, c’est le lot de pas mal de professions transverses, surtout dans le conseil.

Le Health Data Hub dans le plan d’action national pour un gouvernement ouvert

Le Health Data Hub est engagé dans le Partenariat pour un gouvernement ouvert via la plateforme d’information sur les événements et les actualités des administrations engagées dans cette démarche d’ouverture, plateforme qui permet d’en suivre régulièrement les avancées.

La cyber dans la santé : la loi de Hanlon et les gorets

Je n’avais pas prévu ce genre de billet, mais vu ce qui vient d’arriver la semaine dernière dans mon établissement, il m’a semblé être une bonne idée de le partager avec vous. 23 ans d’hôpital, dont 13 dans la cybersécurité, et je n’avais jamais vu cela. Je vous fais la version courte, car il m’a fallu plusieurs jours pour tout détricoter et reconstituer le fil de l’histoire, et déjà la version courte risque de finir par vous donner mal aux cheveux.

Quelle responsabilité juridique pour les établissements cyberattaqués ?

Breaking news : une association de patients attaque le Centre hospitalier Sud francilien[1] (CHSF) quant à sa responsabilité dans le contexte de l’attaque cyber subie par l’établissement et la publication de données sensibles (entre autres, médicales) sur les réseaux par les pirates pour faire pression sur le paiement d’une rançon.    

Les entrepôts de données de santé hospitaliers face au DGA

Alors que les premières candidatures de l’appel à projets « Accompagnement et soutien à la constitution d’entrepôts de données de santé hospitaliers » vont être prochainement relevées, il est plus qu’utile d’interroger la constitution de tels entrepôts à l’aune du règlement européen sur la gouvernance des données (Data Governance Act - DGA) qui entrera en application dans moins d’un an, le 24 septembre 2023.

La nécessité pour les établissements de santé de concilier transformation digitale et cybersécurité

Le groupe LockBit publie une partie des données dérobées au CH Sud Francilien

Anne Boleyn et le Cloud

Imaginez la scène : vous êtes à la recherche d’un nouveau véhicule (la poubelle dans laquelle vous roulez est au bout du bout, même le chien ne veut plus monter dedans tellement c’est moche) et vous tombez sur un concessionnaire aux dents éclatantes et à la cravate impeccable qui vous propose le modèle de vos rêves (V8 350 CV avec 0 émission de CO2). Seulement voilà, impossible de l’acheter, il faut passer en mode locatif avec renouvellement de véhicule tous les trois ans (c’est à la mode). Jusque-là, pourquoi pas ? Mais il y a une petite clause dans le contrat : vous êtes lié à vie au concessionnaire et à la marque, sans possibilité de vous dédire. Jusqu’à la fin des temps (ou en tout cas de votre vie), il faudra rapporter le modèle au bout de trois ans, en reprendre un neuf, avec toujours plus d’options, toujours plus cher, et impossible de se carapater. Chaud patate, n’est-ce pas ?

L’intelligence artificielle en santé a-t-elle déjà révolutionné la recherche clinique ?

La quatrième édition de l’événement Pharma HealthTech, organisé par Pharmaceutiques et TechToMed, était consacrée ce 21 septembre à l’intelligence artificielle. Lors de plusieurs tables rondes, les invités ont détaillé son potentiel, en rappelant qu’il reste à trouver le modèle d’affaires qui permettra de construire une stratégie économique performante et compétitive de la donnée.

Cinq nouveaux dispositifs pour soutenir le développement du Cloud

Le 12 septembre 2022, Bruno Le Maire, ministre de l’Économie, des Finances et de la Souveraineté industrielle et numérique, ainsi que Jean-Noël Barrot, ministre délégué chargé de la Transition numérique et des Télécommunications, ont présenté à Strasbourg les premiers résultats de la stratégie Cloud mise en place en mai 2021 et annoncé cinq nouvelles mesures pour soutenir cet écosystème.

Cyber et pataphysique : quelques concepts utiles

En ces temps troublés, il convient de revenir aux bases, back to basic, les fondamentaux éternels nous sauveront des ténèbres de la cyber. Nous avions déjà remarqué que certains jeunots récemment débarqués dans la cyber manquaient de principes directeurs : petit florilège presque sérieux et pas du tout orienté, que nous conseillons donc en support de formation continue.

JECONSENS by Tessi : une plateforme innovante dédiée au e-consentement médical

9 mois après son lancement à l’occasion de SANTEXPO 2021, JECONSENS by Tessi fait peau neuve avec une nouvelle version éditée par INNOVATION & TRUST - la Digital Factory de Tessi - pour améliorer la prise en charge administrative des patients, la traçabilité et l’archivage des consentements médicaux.

Rentrée cyber : une rentrée bizarre, très bizarre…

La rentrée 2022 aura été bizarre, vraiment bizarre.

Un nouveau président et un nouveau projet stratégique pour le GIP e-Santé Centre-Val de Loire

A l’issue du vote du Conseil d’administration du jeudi 7 juillet, Pierre GOUABAULT, Directeur de 4 Ehpad publics dans le Loir-et-Cher et vice-Président du groupement depuis un an, a été élu Président du GIP e-Santé Centre-Val de Loire. Il succède au Docteur Raphaël ROGEZ, qui a annoncé son départ à la retraite et dont l’action a été unanimement saluée par sa capacité à rassembler l’ensemble des acteurs.

La bienveillance serait-elle en train de quitter le navire chez les défenseurs ?

La sécurité numérique, sécurité des systèmes d’information, SSI, cybersécurité ou tout autre nom que l’on voudra bien lui donner est un domaine dans lequel la modestie devrait être une priorité. On a compromis, on compromet et on compromettra mon SI n’est ni une chanson de Francis Cabrel, ni un extrait de l’évangile selon Saint Hack, mais bien la dure réalité du quotidien pour les personnes en charge de protéger les systèmes d’information.

Un AMI du CSF-ITS sur les données, l’IA et les parcours de santé

Le 5 septembre, le Comité stratégique de filière des industries et technologies de santé a lancé un appel à manifestation d’intérêt pour identifier, sur le territoire français, les ruptures dans les parcours de santé en s’appuyant sur les données et les techniques d’intelligence artificielle.

L’intelligence artificielle pour un meilleur service public, y compris dans le domaine de la santé

À la demande du Premier ministre, le Conseil d’État a publié le 30 août 2022 une étude en faveur d’une stratégie de l’IA ambitieuse au service de la performance publique pour créer les conditions de la confiance tout en dotant la France des ressources et de la gouvernance à la hauteur de ses ambitions. La santé, en lien avec le Health Data Hub, n’y est pas oubliée.

Sécurité des SI : le syndrome Gorbatchev

Mikhaïl Gorbatchev, l’artisan de la perestroïka, nous a quittés il y a quelques jours et nous rappelle que l’Union soviétique s’est effondrée en 1989 après une série de soubresauts qui a notamment démarré par la chute du mur de Berlin.  

Claranet fait l’acquisition de Pictime Groupe et renforce son positionnement de leader en transformation digitale

Claranet, leader européen des services de transformation digitale et d’infogérance d’applications critiques, annonce l’acquisition de Pictime Groupe, entreprise créée en 2002 et spécialisée dans la transformation digitale.

Un nouveau plan de travail européen sur les big data en santé publique

Fin juillet, l’Agence européenne du médicament et le réseau des responsables d’agences du médicament ont publié leur plan de travail 2022-2025 sur l’utilisation des big data en santé publique.

Quand le niveau technique monte, les attaquants se recentrent sur les utilisateurs !

Lorsqu’il s’agit d’atteindre leurs objectifs : s’introduire dans les systèmes d’informations de leurs victimes, exfiltrer les données et les chiffrer avant de partir, les acteurs du rançongiciels ne se posent pas vraiment de questions, si techniquement ce n’est pas facile de rentrer, autant demander à un bon samaritain d’ouvrir la porte !  

La sensibilisation à la sécurité numérique : toujours aussi nécessaire en 2022 ?

Dans un rapport publié récemment [1], l’équipe de réponse aux incidents Unit 42 revient sur un peu plus de 600 incidents traités depuis les 12 derniers mois. Voici quelques chiffres extraits de ce rapport :

Health Data Hub : un accord international France-Québec

Le 21 juillet, le Health Data Hub a annoncé la signature d’un accord de coopération avec le Fonds de recherche du Québec – Santé pour renforcer l’accès, l’utilisation et la valorisation des données de santé au service de la recherche.

Effacer une donnée médicale d’un patient ? Vraiment ?

Les données médicales constituent une exception sur pas mal d’éléments du RGPD : pas de droit à l’opposition du recueil (on excepte la question de l’anonymat), peu de droit à la rectification. Mais il est une question qui revient de temps en temps et qui concerne la question de l’effacement des données médicales d’un patient (soit tout le dossier, soit un séjour en particulier). La question est tout sauf simple, d’autant qu’il existe pas mal de cas d’usage à tiroirs. Cet article n’a pas la prétention de l’exhaustivité, juste d’illustrer une question qui paraît simple mais qui, en réalité, est protéiforme.

Palmarès des Trophées de la e-santé 2022

Les Trophées de la e-santé 2022 ont été remis, fin juin, lors de la 16e édition du Summer Camp de l’Université de la e-santé de Castres-Mazamet Technopole.

RSSI (et DPO) sont-ils des bullshit jobs ?

Ça y est, c’est fait, c’est dit, c’est écrit : il fallait bien que quelqu’un se coltine la question et vu qu’il n’y avait pas foule de volontaires, je m’y colle.

Certification HDS : quelle approche de l’activité 5 ?

Récemment, un confrère m’a soumis le problème suivant : en manque de personnel et après une démission, sa DSI a fait appel à une SSII pour une prestation de DBA en mode « prêt de personnel », mais ladite SSII n’est pas certifiée HDS et encore moins sur son niveau 5 (N5). Le décret 2018-137[1] énonce pourtant dans l’article R. 1111-9 que : « Est considéré comme une activité d’hébergement de données de santé à caractère personnel sur support numérique au sens du II de l’article L. 1111-8 le fait d’assurer pour le compte du responsable de traitement […] : 5° L’administration et l’exploitation du système d’information contenant les données de santé. » Si on l’applique tel quel et sans discernement, non seulement la DSI est bloquée, mais la moindre entreprise qui effectue la télémaintenance d’un progiciel de santé doit détenir la certification N5. Autant dire que l’on arrête de faire fonctionner la quasi-totalité des SI de santé puisque très peu d’entreprises cochent la case.    

Publication de la feuille de route pluriannuelle 2023-2025 du Health Data Hub

Pour construire sa nouvelle feuille de route pluriannuelle 2023-2025, le Health Data Hub (HDH) a mené une consultation de 26 acteurs de l’écosystème et 4 groupes de travail, pour 46 organismes rencontrés. Présentée ensuite en conseil d’administration(1) et en assemblée générale, elle a été approuvée à l’unanimité le 9 juin dernier. Ainsi, le HDH va renforcer ses actions préexistantes autour de ses 4 axes stratégiques originels, et accélérer ses liens avec l’Europe, et les autres “hub” de santé à l’échelle régionale et locale.

2022 : bilan à mi-course

Bientôt l’été, déjà une canicule au compteur, il est temps d’un petit bilan à mi-année.

Oncolab : un projet pour accélérer la recherche et l’innovation en cancérologie

Le 20 juin, les start-up Arkhn et Owkin se sont associées à l’Inria dans le cadre du projet Oncolab afin de standardiser l’accès aux données de santé de l’IUCT-Oncopole, des instituts Curie et Bergonié ainsi que du CHU de Toulouse.

RGPD en santé : les enjeux des cinq prochaines années

Le RGPD a démarré depuis désormais cinq ans (bon, en fait sept, mais on va rester sur la version simple), et globalement les établissements de santé ont pris le problème en charge. Avec des moyens souvent réduits du reste : on observe des effectifs de demi-ETP dans certains gros CHU qui laissent un peu rêveur : mais bon, au moins il y a quelqu’un pour s’occuper du machin.

La création d’un entrepôt de données de santé par un consortium d’acteurs privés autorisée par la Cnil

Le 15 juin, le consortium AgorIA Santé a annoncé bénéficier de la première autorisation accordée par la Cnil à un consortium d’acteurs privés pour constituer un entrepôt de données de santé (EDS) avec un système fils du SNDS (Système national de données de santé).

FIC 2022 : Bienvenue en Cyberie !

Bienvenue en Cyberie, c’est le titre de la prochaine série d’Alex Berger, coproducteur du Bureau des légendes où l’on a d’ailleurs pu voir une jeune maman RSSI d’un hôpital à l’action, et pour les moins jeunes, l’associé d’Antoine de Caunes pour la création de l’émission Rapido ou encore d’Alain Chabat pour celle de Bruger Quiz (j’avoue, je suis toujours aussi fan), notamment, car sa carrière est assez impressionnante. Après un passage aux RIAMS, Alex Berger est venu au FIC continuer les échanges et les rencontres avec le petit monde de la « Cyberie » dans le but de faire naître prochainement une série sur un thème que vous aurez bien évidemment deviné, la cybersécurité !

Les établissements de santé au défi des nouvelles exigences numériques

Comment investir efficacement pour assurer la continuité d’activité des établissements de santé ? Dans l’humain, évidemment, et dans le numérique pour accompagner l’émergence de l’hôpital du XXIe siècle.  

Santé numérique en Europe, une nouvelle ère des données !

Avec le programme de l’Union Européenne pour la santé, institué par le règlement (UE) 2021/522 (EU4Health)[1] pour la période 2021-2027, l’UE investit 5,3 milliards d’euros dans des actions présentant une valeur ajoutée européenne, qui viennent compléter les politiques menées par les pays de l’UE.   

Référentiel d’identification électronique – An 0

Nous n’avions pas encore eu le temps de l’évoquer, mais en avril dernier l’ANS a publié un corpus documentaire qui a fait l’objet de pas mal de discussions entre les experts du secteur : le référentiel d’identification électronique[1].      

ISO 27001 : introduction au concept de classe de risques

L’approche par le risque est à la base de la norme ISO 27001 : si vous « le » faites, c’est parce que ce « le » est la réponse à un risque que vous avez identifié. Et cela marche aussi dans l’autre sens : si vous prenez une mesure de sécurisation, c’est forcément la réponse à un risque identifié : être incapable de faire le lien bidirectionnel entre mesure et risque est d’ailleurs une non-conformité. Bon dans les faits c’est un peu plus subtil, il faut passer par la base DDA (Déclaration d’Applicabilité), mais l’idée reste la même.

Pourquoi la vulnérabilité Follina affole la planète depuis une semaine ?

La vulnérabilité CVE-2022-30190, aussi connue sous le nom de « Follina », s’est retrouvée sur le devant de la scène suite à l’analyse par l’équipe japonaise de chercheurs Nao Sec d’un fichier Word malveillant découvert le 27 mai sur VirusTotal [1]. Il n’aura pas fallu longtemps pour qu’elle enflamme toute la planète, mais pourquoi ?

Health Data Hub : une première liste des bases de la base principale du catalogue du SNDS

Mi-mai, le Health Data Hub a annoncé la publication du premier arrêté portant la liste des bases composant la base principale du catalogue du Système national des données de santé et qui contribue à l’élargissement de ce dernier à l’ensemble des données financées par la solidarité nationale.

ISO 27001 : convaincre sa direction générale d’y aller

Dans son monumental et dernier ouvrage Apocalypses, l’historien Niall Ferguson consacre un chapitre entier aux principaux accidents technologiques du xxe siècle : le Titanic (1912), Three Mile Island (1979), la navette Challenger (1986) et Tchernobyl (1986).

Quand les attaquants se régalent avec les cookies

Le sujet n’est pas nouveau, nous l’avions d’ailleurs abordé au congrès de l’APSSIS en 2019 avec le Dr Michel Dubois lors d’une conférence commune sur les mots de passe [1], la recette des cookies est toujours aussi radicale contre les authentifications à deux facteurs. Je ne dis pas que les facteurs en mangent trop au dessert et que cela les empêche de remonter sur le vélo l’après-midi, non, non, non, pas du tout ! Je veux bien sûr parler des cookies utilisés comme jetons d’authentification sur les applications / sites / services web. Un cookie authentifiant est très facile à exporter d’un navigateur web et à importer dans « un autre », cela peut d’ailleurs s’avérer très pratiques pour réaliser des téléchargements authentifiés à l’aide de Wget après s’être authentifié sur le site avec Firefox par exemple.

Vu à SantExpo 2022 - Numérique de santé : Europe et territoires locaux, des niveaux antinomiques mais complémentaires

L’Europe a lancé ces dernières années différents projets dans le domaine du numérique en santé, notamment autour de l’exploitation des données. Est-ce à dire que les projets doivent maintenant être réfléchis uniquement au niveau de l’Union ? Pas forcément, ont répondu les participants à une conférence organisée par la Fédération hospitalière de France (FHF), le 18 mai à l’occasion du salon SantExpo 2022.

Vulnérabilités dans F5 BIG-IP, Active Directory, les pare-feux Zyxel et des commutateurs réseau... Des établissements qui ne patchent pas, et des attaquants qui élargissent leur business… pas de quoi s’ennuyer !

L’actualité de ces dernières semaines nous prédit encore pas mal d’occupation en perspective !

Comme un entomologiste

Quand vous avez le blues, un coup de mou ou plus aucune foi en l’humanité, je vous conseille vivement de vous tourner vers ce monument de la culture occidentale : les épisodes de la série Scooby-Doo (que les vieux dans mon genre qui ont passé des heures devant Les Visiteurs du mercrediconnaissent sous son nom francisé « Scoubidou »). Je préviens tout de suite : on ne critique pas. Sa première apparition date de 1969 et la franchise est toujours active de nos jours. Le site Wikipédia lui consacre pas moins de 28 pages et comptabilise des dizaines d’épisodes, de films d’animation, de versions cinéma avec personnages humains ; la série est tellement célèbre que plusieurs acteurs américains de renom ont accepté de prêter leur voix aux personnages. Si ça, ce n’est pas une référence…

Manager par le risque : mais qu’est-ce qu’on est nul !

Une des particularités de la formation des jeunes pilotes d’avion, pour l’aviation commerciale comme pour l’aviation privée (dite « de loisir »), est la prise en compte avant chaque vol du TEM : Threat and Error Management, ou gestion des menaces et des erreurs. On trouve des tonnes d’articles[1]plus ou moins théoriques sur le sujet, mais en gros l’idée est simple : avant le vol, il s’agit d’inventorier les risques connus et identifiés.