Vous êtes dans : Accueil > sécurité >
Les données de santé à caractère personnel vont bénéficier d’un nouveau cadre de protection avec le règlement général sur la protection des données, le RGPD, qui entre en vigueur le 25 mai 2018 et les nouvelles procédures de certification des hébergeurs de données de santé, applicables au plus tard le 1er janvier 2019. Deux éléments qui doivent contribuer à bâtir un écosystème de confiance autour de la santé numérique. Sont-ils pour autant compatibles ?
Dans un contexte d’incitation par les pouvoirs publics à la généralisation de la télémédecine, considérée comme un levier d’amélioration de la qualité et de l’accès aux soins ainsi que de l’efficience du système de santé, la centrale d’achat du Resah vient d’attribuer six accords-cadres mono-attributaires relatifs à ce sujet.
Selon les chiffres publiés sur le site CVE Details [1], le nombre de vulnérabilités enregistrées par MITRE [2] dans son célèbre référentiel CVE [3] en 2017 atteint un nombre record de 14 712 vulnérabilités face à 6 447 en 2016, soit une augmentation de près de 130 % !
Entre le mythe de Frankenstein et la pression consumériste du marketing il est difficile d’avoir une idée claire de la réalité de cette technologie qu’on nous présente tantôt comme merveilleuse et tantôt comme terrifiante.
En juin dernier, suite à une présentation du SNDS (Système National des Données de Santé) par la DREES à tout un parterre de responsables SSI de divers organismes (collectivités territoriales, CHU, administrations centralisées, etc.) certains RSSI exprimaient leur étonnement devant le manque de sécurité dans l’accès aux données du SNDS.
Dans une première partie(1), nous avons examiné les deux grandes familles de politique d’habilitation dans les accès à un DPI d’établissement de santé. Nous en avons conclu que la seule méthode viable à terme au sein d’un GHT était celle du contrôle a posteriori. Dans une deuxième partie(2), nous avons décrit les trois conditions pour aller vers ce mode de gestion : concertation entre les CME, systèmes homogènes de sanctions au sein de tous les établissements du GHT et généralisation de l’analyse des traces d’accès. Dans une troisième partie(3), nous avons décrit les grands principes du système de contrôle d’accès aux données patients. Intéressons-nous maintenant à la question des accès aux données des administrateurs qui, à une époque pas si lointaine, faisait pas mal fantasmer dans les chaumières (j’ai connu des diplodocus qui refusaient de saisir des données dans un logiciel métier au prétexte que le DBA(4) y avait accès en direct en saisissant des requêtes SQL).
Depuis 2012, l’APSSIS élabore et propose une formation innovante (l’actuelle formation RSSI /SSI Expert santé Version 2), spécialement adaptée aux secteurs de la Santé, et basée sur les guides et référentiels officiels. Plus de 800 professionnels de santé ont ainsi été formés à la sécurité des SI.
À l'heure où les technologies de la e-santé et des SIH ont atteint un haut niveau de maturité, les critères de progrès de ce secteur en pleine expansion sont désormais à chercher dans la bonne conduite de projets de parcours de soins, de parcours de vie, dans l'expertise métier au service des usages ou dans l'animation des écosystèmes, où la technologie ne se suffit plus à elle-même.
Diffusion de logiciels malveillants, hébergement de pages de phishing, vols d’informations, porte d’entrée dans le système d’information, minage de cryptomonnaies(1)… Les raisons de s’en prendre à nos sites Web ne manquent pas, ainsi que les conséquences désastreuses qui en découlent : atteinte à l’image de l’établissement, perte de confiance de la part des patients, intrusion dans le système d’information, intégrité, disponibilité et confidentialité des données de santé mises à mal, et dans le pire des cas, risques pour la vie des patients. La sécurité de nos sites web n’est donc pas à prendre à la légère.
Depuis les années 2010, l’intelligence artificielle est en plein essor. Les établissements de soins s’emparent du sujet même si les logiciels et robots « intelligents » n’ont, pour l’heure, fait qu’une entrée timide en leur sein. Démonstration, exemples de l’AP-HP et du CHU de Nantes à l’appui.
MonDocteur, acteur majeur dans la prise de rendez-vous médicaux en ligne, et WEDA, leader du dossier patient 100% en ligne, annoncent aujourd’hui avoir conclu un partenariat stratégique. L’objectif affiché par les deux entreprises est de simplifier le quotidien des professionnels de santé en proposant une intégration totale des deux solutions.
Lorsque la polyclinique Sainte-Marguerite, à Auxerre, s’est équipée du dossier patient DxCare, en 2012, deux options se sont présentées aux anesthésistes-réanimateurs pour leur dossier d’anesthésie : adopter une brique du dossier patient de l’établissement ou opter pour un logiciel métier. DirectConsult, développé par Lensys, a remporté la faveur des anesthésistes.
Organisée par le CyberCercle (1), sous l’impulsion de sa directrice, Bénédicte Pilliet, la première édition des Scadays s’est déroulée le 8 février dernier, dans un lieu d’exception, l’hôtel de ville de Lyon.
Une nouvelle procédure de certification pour l’hébergement de données de santé à caractère personnel sur support numérique va remplacer l’actuelle procédure d’agrément au 1er avril 2018. A ce titre, l’ASIP Santé encourage vivement les candidats qui souhaitent déposer des dossiers HDS à privilégier la procédure de certification plutôt que celle de l’agrément.
La certification HDS, reprenant entièrement les exigences de la norme ISO 27001, est sur le point d’entrer en application, mettant un terme à la procédure d’agrément HDS. Une certification par étapes est dès à présent possible.
La reconnaissance vocale au curseur de Nuance équipe les praticiens de l’Hôpital européen de Marseille pour permettre une meilleure tenue du DPI, produire les lettres de liaison à J-0 et aider l’établissement à absorber la croissance de son activité, de plus de 45 % depuis son ouverture en 2013. Choix stratégique pour la DSI de l’hôpital, Dragon Medical Direct de Nuance a déjà permis des gains d’efficience, notamment dans le service des urgences, qui a gagné 25 % en temps de prise en charge des patients.
ITrust et ses experts en cybersécurité se voient récompensés de leurs travaux, les deux solutions innovantes IKare et Reveelium étant labellisées France Cybersecurity ! C’est à l’occasion du Forum international de la cybersécurité 2018 (1) qui s’est tenu à Lille que le Comité France Cybersecurity a remis ce 25 janvier, sous la présidence du secrétaire d’État chargé du Numérique, Mounir Mahjoubi, le label France Cybersecurity (2) à ITrust pour sa solution Reveelium, l’application IKare ayant été distinguée en octobre 2015.
Orange Business Services vient de signer un accord en vue de l’acquisition de la société Enovacom, acteur de référence dans la e-santé. Ce projet d’acquisition s’inscrit dans la stratégie d’Orange Healthcare, sa filiale santé, d’être le partenaire majeur de la transformation digitale des établissements et des acteurs de santé en France et à l’international.
Dans un article récent(1), le Dr Laurent Alexandre s’interroge sur le frein que peuvent représenter les réglementations européennes dans la course mondiale de l’économie des data. Ce n’est pas la première fois qu’il développe ce thème, puisqu’on le trouve déjà dans son ouvrage La Mort de la mort(2) concernant la génétique.
La sécurité, dans le secteur du numérique, ou plutôt, le sentiment de sécurité que nous pouvons ressentir, repose avant tout sur la confiance que nous accordons aux différentes technologies que nous utilisons. Le matériel, tout d’abord, et les récentes vulnérabilités Meltdown et Spectre(1), nous prouvent encore une fois, qu’il s’agit d’un paramètre non négligeable, puis les systèmes d’exploitation, fonctionnant en mode « boîte noir », pour une majorité des serveurs, terminaux et autres dispositifs médicaux équipant nos établissements de santé, pour finir avec les applicatifs, qui là encore, ne présentent que rarement le code « qu’ils ont dans le ventre ».
SynAApS, hébergeur Cloud certifié Sécurité (ISO 27001:2013) et agréé Santé (HADS), s’entoure de partenaires de confiance pour offrir aux laboratoires biomédicaux une solution d’hébergement complète, hautement sécurisée et sur mesure.
Il n’y a pas que les fleuves et les rivières qui débordent en ces temps diluviens. Nos espaces disques aussi peinent à contenir la pluie ininterrompue des données numériques.
LiFiCare d'Oledcomm, une lampe LiFi pour une connexion Internet sans fil et sans ondes radio, a été choisie pour équiper le Centre Hospitalier de Perpignan et sera présentée au salon Arab Health de Dubaï du 29 janvier au 1er février.
La plateforme HubTelemed, portée par l’association Agir pour la Télémédecine, vient d’atteindre les 100 projets référencés. Lancé en mai 2017, le site HubTelemed.eu a pour ambition de fédérer tous les porteurs de projets de télémédecine et de permettre le partage d’expériences et de bonnes pratiques. La pertinence de la plateforme a été reconnue par l’obtention de l’Appel à Manifestation d’Intérêt « e-Santé » de la Région Nouvelle-Aquitaine.
Le 6e Congrès national de la sécurité des SI de santé se déroulera au Mans les 3, 4 et 5 avril 2018 et réunira 150 professionnels de la SSI Santé pour un marathon de 24 heures de conférences et de tables rondes ainsi que 12 heures de networking. Il est « organisé » avec les objectifs habituels assignés à l’événement : densité, qualité et liberté de ton. Le congrès est complet, et l’association a fermé les inscriptions le 10 janvier, signe de l’intérêt suscité par le sujet et du succès croissant de l’événement.
Cette nouvelle année semble, comme la précédente, bien commencer.Demandes de rançon, fuites de données, ventes de données, menaces pour la vie des patients, les exemples d’incidents ne manquent pas, en particulier outre-Atlantique, mais aussi en Europe [1].Selon le rapport de l’éditeur de solutions de sécurité Vectra, le secteur de la santé a été le plus attaqué au premier trimestre 2017 [2].
Le Panorama annuel de la Cybercriminalité du CLUSIF a été dévoilé le 18 janvier 2018. Au cours de cette conférence, les experts du groupe de travail ont présenté un bilan en matière de cybercriminalité mais également en matière d'événements sociétaux en relation avec la sécurité de l'information. Plusieurs thématiques ont été balayées : les attaques destructives, les attaques via des tierces parties, la gestion de crise et ses limites, les vecteurs d'attaques innovants, les enjeux géopolitiques, notamment l'influence sur les élections, les rançons, le Bitcoin, le Darknet. Ce groupe de travail réunit des experts adhérents du CLUSIF mais aussi invités experts.
Claranet e-Santé a renouvelé son agrément Hébergeur de Données de Santé (HDS) pour la 3ème fois par décision du Ministère de la Santé. Cette étape finalise et officialise la transmission d'agrément de Grita vers Claranet suite à la fusion des deux entités juridiques, opérée en décembre 2016. La société Grita était l’un des premiers infogéreurs français à obtenir l’agrément en 2010. Elle s’est rapprochée de Claranet pour devenir Claranet e-Santé.
Officiellement reconnue dans le droit français depuis 2009 et mise en œuvre sous la forme d’expérimentations de terrain, la télémédecine demeure encore aujourd’hui une pratique marginale parmi les professionnels de santé. Pour remédier à cette situation, le gouvernement a décidé de passer à la vitesse supérieure, en ville mais aussi à l’hôpital.
Le bug de protection mémoire révélé la semaine dernière a mis immédiatement en alerte tous les RSSI de la planète. Cependant, l’impact de cette faille dépasse le champ de la sécurité et est de nature à entamer profondément la confiance dans le numérique.
Dans le cadre professionnel, les technologies numériques et le partage des données ou des informations constituent une réalité. Leur bon usage et leur sécurisation sont primordiaux. Comme en 2016, les établissements hospitaliers de Saintonge(1) et de Saint-Jean-d’Angély(2) se sont mobilisés pour répondre aux besoins de formation aux bons usages des technologies numériques dans le respect du secret professionnel qui en découle et améliorer ainsi la sécurité de leur système informatique. Les professionnels saintongeais et angériens (personnel médical, non médical et représentants des usagers) ont été conviés à une session de sensibilisation sur le sujet.
À l’occasion du CES de Las Vegas, le salon international de l’innovation dans le domaine du numérique et des nouvelles technologies, qui se déroule cette semaine, la Wi-Fi Alliance® a annoncé l’arrivée de la norme WPA3, implémentée dès cette année, elle viendra remplacer WPA2 (1).
À travers cette deuxième édition, Cédric Cartau détaille tour à tour les aspects techniques, organisationnels, juridiques et financiers, et commente les évolutions récentes (déferlement des cryptovirus, enjeux « Hôpital numérique » et certification des comptes...).
Le GCS UniHA vient de renommer sa filière NTIC en filière Santé digitale et numérique. Cette initiative est de nature à réconcilier les tenants du parler vrai et ceux du parler bien.
Là tout de même, j’avoue que de mémoire de Cédric on n’avait pas connu un tel début d’année, un vrai feu d’artifice. Je vous laisse juge.
Le décret « portant définition de la stratégie nationale de santé » (SNS) sur la période 2018-2022 est paru au JO du 31 décembre (1). Il rappelle les quatre axes privilégiés par le gouvernement : mettre en place une politique de promotion incluant la prévention, lutter contre les inégalités d’accès, garantir qualité, sécurité et pertinence des prises en charge, innover pour transformer notre système de santé.
Traditionnellement, le premier article de l’année est dédié à la fois au bilan de l’année passée et aux bonnes résolutions de l’année à venir.
Après 9 ans d’expertise dans la RFID et le sans contact, le Centre National RFID devient Connectwave et adresse désormais l’ensemble des technologies de l’IoT. Journée Open innovation, aide au déploiement de projets IoT, prototypage d’objets connectés…autant de nouvelles offres d’accompagnement que Connectwave propose à l’ensemble des acteurs en pleine transformation digitale !
Succédant à la sensibilisation(1) et au RGPD(2), le troisième thème abordé lors de ce colloque SSI co-organisé par la DGOS, la DSSIS, le service du HFDS et l’ASIP Santé, fut la mise en œuvre des démarches nationales de prévention des incidents SSI.
« La fracture territoriale n’a jamais été aussi forte, c’est une urgence immense », a déploré Agnès Buzyn lors des Contrepoints de la santé, le 15 décembre dernier.
Lors des 6es Journées du MiPih, Le MiPih et BOTdesign ont présenté INFINITY, la nouvelle messagerie instantanée sécurisée au service des patients et des professionnels de santé.
La cybersécurité devient un véritable casse-tête pour les hôpitaux et établissements de santé. L’importance du système informatique, ainsi que la sensibilité des données stockées, oblige les RSI hospitaliers à se prémunir pour faire face à toutes les menaces.
Enovacom a organisé le 30 novembre dernier, dans le cadre du congrès du MiPih, un atelier à caractère pédagogique sur la base des solutions Surycat qui facilitent l’organisation de la sécurisation des établissements de santé en cas d’alerte et la prévention des intrusions au sein du système d’information.
Depuis quelques mois, le sujet « RGPD » sature la bande passante des canaux d’information des DSI et des RSSI de santé. Son application en mai 2018 (c’est bientôt), ses 99 articles et 173 considérants (c’est épais), les montants des amendes pour non-conformité (élevés) et l’ampleur du travail estimé (important) font partie des sources d’angoisse générées.
Le RGPD est partout. En véritable star, il a sa page Wikipédia et son compte Twitter. Applicable à compter du 25 mai 2018 dans les 28 pays de l’Union européenne, il alimente les discussions et fait couler beaucoup d’encre. Il a ses fervents défenseurs et ses détracteurs. DPO, Privacy by Design, sanctions… ses obligations et son cadre strict inquiètent souvent les structures. Les études semblent démontrer que peu d’entre elles seront prêtes en mai 2018. Pourtant, des mesures existent. Entretien avec Marion Godefroy, Marketing and Communication Manager chez ITrust.
On nous aurait menti ?! C’est un véritable séisme qui secoue le milieu des éditeurs des logiciels d’aide à la prescription.
Certains d’entre vous ont peut-être déjà eu l’occasion de visiter cet édifice incroyable, situé à Hauterives dans la Drôme : le Palais idéal de Ferdinand Cheval (1). Inclassable et mélangeant des thématiques aussi variées qu’improbables (église gothique, manoir féodal, temple hindou, mosquée, etc.), il est l’œuvre d’une vie et défie encore aujourd’hui les lois de la construction, au point que les experts continuent de s’interroger sur la manière dont certaines pièces ont été assemblées pour réussir à tenir ainsi…
En 2018, le processus d’agrément des hébergeurs de données de santé va évoluer vers une certification basée sur les normes ISO. Ce passage d’un agrément basé sur un dossier déclaratif, à une certification basée sur un audit sur site, va bouleverser la manière de travailler d’un certain nombre d’HADS (Hébergeurs Agréés de Données de Santé). Une partie d’entre eux vont voir leur métier modifié au-delà de ce changement de procédure.
Agfa Healthcare, leader européen des systèmes d'information en Santé, renforce ses équipes françaises.
Tout comme le congrès national de la sécurité des SI de santé organisé par l’APSSIS dans cette très belle ville qu’est Le Mans, le colloque SSI Santé du 14 avenue Duquesne à Paris est devenu un rendez-vous annuel à ne pas manquer pour tous les acteurs du secteur.
Les plus lus