Vous êtes dans : Accueil > sécurité >
Le RGPD a démarré depuis désormais cinq ans (bon, en fait sept, mais on va rester sur la version simple), et globalement les établissements de santé ont pris le problème en charge. Avec des moyens souvent réduits du reste : on observe des effectifs de demi-ETP dans certains gros CHU qui laissent un peu rêveur : mais bon, au moins il y a quelqu’un pour s’occuper du machin.
Hausse significative des incidents de sécurité déclarés auprès de l’Agence du numérique en santé (1), attaques croissantes sur tout le territoire, tensions internationales, le contexte cyber en santé se fait de plus en plus menaçant. En 2021, la cybersécurité est devenue une priorité nationale traitée au plus niveau de l’état (2). Plans, programmes dédiés, financements, certifications : Brice Simon et Kevin Delmotte, consultants au sein du Cabinet de conseil WELIOM, reviennent sur les dispositifs pour renforcer le niveau de sécurité des établissements de santé.
Bienvenue en Cyberie, c’est le titre de la prochaine série d’Alex Berger, coproducteur du Bureau des légendes où l’on a d’ailleurs pu voir une jeune maman RSSI d’un hôpital à l’action, et pour les moins jeunes, l’associé d’Antoine de Caunes pour la création de l’émission Rapido ou encore d’Alain Chabat pour celle de Bruger Quiz (j’avoue, je suis toujours aussi fan), notamment, car sa carrière est assez impressionnante. Après un passage aux RIAMS, Alex Berger est venu au FIC continuer les échanges et les rencontres avec le petit monde de la « Cyberie » dans le but de faire naître prochainement une série sur un thème que vous aurez bien évidemment deviné, la cybersécurité !
Comment investir efficacement pour assurer la continuité d’activité des établissements de santé ? Dans l’humain, évidemment, et dans le numérique pour accompagner l’émergence de l’hôpital du XXIe siècle.
Avec le programme de l’Union Européenne pour la santé, institué par le règlement (UE) 2021/522 (EU4Health)[1] pour la période 2021-2027, l’UE investit 5,3 milliards d’euros dans des actions présentant une valeur ajoutée européenne, qui viennent compléter les politiques menées par les pays de l’UE.
Nous n’avions pas encore eu le temps de l’évoquer, mais en avril dernier l’ANS a publié un corpus documentaire qui a fait l’objet de pas mal de discussions entre les experts du secteur : le référentiel d’identification électronique[1].
Au début du mois, l’ANS a annoncé qu’un niveau de garantie supplémentaire serait franchi le 21 juin pour la carte e-CPS : un code dynamique à valider à chaque nouvelle authentification.
L’application Virginia, qui permet de calculer en temps réel la charge en soin d’un service, d’un pôle, d’un établissement de santé ou d’un GHT, éditée par la société Eces Santé, vient d’être référencée par le Resah dans le cadre de son marché multi-éditeur.
En avril 2021, le Centre hospitalier de Saint-Claude a démarré le déploiement de la solution SurgiNet de Cerner dans ses trois blocs opératoires, la salle d’endoscopie et la salle de réveil. La solution, opérationnelle depuis le début de l’année 2022, parachève la modernisation du système d’information de l’établissement.
L’approche par le risque est à la base de la norme ISO 27001 : si vous « le » faites, c’est parce que ce « le » est la réponse à un risque que vous avez identifié. Et cela marche aussi dans l’autre sens : si vous prenez une mesure de sécurisation, c’est forcément la réponse à un risque identifié : être incapable de faire le lien bidirectionnel entre mesure et risque est d’ailleurs une non-conformité. Bon dans les faits c’est un peu plus subtil, il faut passer par la base DDA (Déclaration d’Applicabilité), mais l’idée reste la même.
À l’origine chaque année de 10 000 à 30 000 décès(1) et 85 000 à 180 000 hospitalisations(2) en France, la iatrogénie médicamenteuse représente une réelle problématique de santé publique. Pourtant, 50% de ces hospitalisations¹ et 1,2 milliards d'€/an de surcoût lié aux effets indésirables médicamenteux² sont évitables. D’où la mission de Synapse Medicine, start-up fondée par des médecins, de lutter contre cette problématique de santé publique.
Avec l’évolution des technologies, l’omniprésence des NTIC à l’hôpital et dans la médecine de ville, le risque induit par le numérique a considérablement augmenté. Il s’est diffusé progressivement à l’ensemble des utilisations autour des soins, indépendamment du lieu et du rôle de l’acteur de santé.
La vulnérabilité CVE-2022-30190, aussi connue sous le nom de « Follina », s’est retrouvée sur le devant de la scène suite à l’analyse par l’équipe japonaise de chercheurs Nao Sec d’un fichier Word malveillant découvert le 27 mai sur VirusTotal [1]. Il n’aura pas fallu longtemps pour qu’elle enflamme toute la planète, mais pourquoi ?
Alors que la cybercriminalité augmente rapidement en France et dans le monde, le cloud permet de répondre facilement et sans investissements massifs aux enjeux de sécurité, de confidentialité et de disponibilité des services et des données de santé. Mathieu Jeandron, Senior Solutions Architect Manager chez Amazon Web Services (AWS), a expliqué à DSIH les atouts de cette technologie.
Dans son monumental et dernier ouvrage Apocalypses, l’historien Niall Ferguson consacre un chapitre entier aux principaux accidents technologiques du xxe siècle : le Titanic (1912), Three Mile Island (1979), la navette Challenger (1986) et Tchernobyl (1986).
En mai 2022, le CHU de Montpellier, le MiPih et la start-up Yooli s’unissent pour créer un portail patient unique des établissements de santé, basé sur Digihosp Patient qui digitalise l’admission et fluidifie ainsi le parcours du patient à l’hôpital.
Le cabinet Solegal et la société ETIXIS disposent d’une expertise globale quant à la conformité au RGPD : juridique, technique et organisationnelle. Ils accompagnent une dizaine d’établissements du secteur médico-social situés en Haut-de-France et en Ile-de-France.
Le sujet n’est pas nouveau, nous l’avions d’ailleurs abordé au congrès de l’APSSIS en 2019 avec le Dr Michel Dubois lors d’une conférence commune sur les mots de passe [1], la recette des cookies est toujours aussi radicale contre les authentifications à deux facteurs. Je ne dis pas que les facteurs en mangent trop au dessert et que cela les empêche de remonter sur le vélo l’après-midi, non, non, non, pas du tout ! Je veux bien sûr parler des cookies utilisés comme jetons d’authentification sur les applications / sites / services web. Un cookie authentifiant est très facile à exporter d’un navigateur web et à importer dans « un autre », cela peut d’ailleurs s’avérer très pratiques pour réaliser des téléchargements authentifiés à l’aide de Wget après s’être authentifié sur le site avec Firefox par exemple.
Disposer d’un système d’information moderne, utile et performant est aujourd’hui une nécessité, que ce soit au sein du secteur sanitaire, du secteur médico-social ou des organisations territoriales de soins. Production et suivi des soins, concentration des documents médicaux, intégration des informations issues des appareils biomédicaux, gestion des plannings, modules de partages, élaboration de statistiques sont autant de fonctions que le SI, unifié ou composé d’une agrégation organisée de logiciels reliés entre eux, est censé apporter aux professionnels de santé pour leur confort et leur sérénité, dans le but d’améliorer, de fluidifier et de sécuriser le parcours de soin du patient.
Dans le précédent volet, les obligations des professionnels utilisant des outils d’intelligence artificielle (IA), dans le cadre d’actes de prévention, de diagnostic ou de soins, ont été présentées. L’objet du présent papier est de s’intéresser aux obligations des établissements de santé en cas de recours à un éditeur fournissant un système d’IA.
L’éditeur français Tessi, spécialisé dans l’externalisation des processus de dématérialisation et d’envoi de documents, a annoncé le 18 mai à l’occasion de SantExpo le lancement de DOKIDOC, une solution d’émission multicanale de documents spécialement conçue pour les établissements de santé.
L’Europe a lancé ces dernières années différents projets dans le domaine du numérique en santé, notamment autour de l’exploitation des données. Est-ce à dire que les projets doivent maintenant être réfléchis uniquement au niveau de l’Union ? Pas forcément, ont répondu les participants à une conférence organisée par la Fédération hospitalière de France (FHF), le 18 mai à l’occasion du salon SantExpo 2022.
Cegedim Santé, éditeur de solutions et services dédiés aux professionnels de santé libéraux et Dedalus, éditeur de logiciels de soins de santé et de diagnostic à l’hôpital en Europe, multiplient les synergies entre leurs deux entités pour améliorer les parcours de soins entre la ville et l’hôpital. Dans ce cadre, le Centre Hospitalier du Centre Bretagne a choisi la solution collaborative des deux éditeurs pour étendre son accès aux patients et à la médecine de ville.
L’éditeur Dedalus a organisé, le 18 mai lors du salon SANTEXPO 2022, une table-ronde consacrée aux enjeux du cloud. Accompagné de deux de ses partenaires, Amazon Web Services (AWS) et Claranet, Dedalus a dressé un panorama des enjeux et des attentes liés à cette technologie et présenté sa stratégie.
La fondation Cognacq-Jay a utilisé l’outil d’analyse de risques de cybersécurité d’All4Tec à la clinique Saint-Jean-de-Dieu (Paris). Le bilan est positif : l’agilité de cet outil – le premier labellisé Ebios RM par l’Anssi – et son côté intuitif ont conquis les équipes. Laurent Cosson, PDG d’ALL4TEC, Vincent Gerbier, DSI de la clinique Saint-Jean-de-Dieu, et Anne Auvity-Pontet, responsable Transition et Innovation des SI à la fondation Cognacq-Jay, nous présentent ce projet.
L’actualité de ces dernières semaines nous prédit encore pas mal d’occupation en perspective !
Les professionnels de santé ont chaque jour de multiples raisons d’échanger avec leurs confrères pour le suivi de leurs patients. Au sein de leur hôpital, de leur cabinet, MSP, centre de santé, CPTS, mais aussi entre différentes structures, entre la ville et l’hôpital, pour organiser les parcours de soins. Rien de nouveau dans cette pratique, si ce n’est l’utilisation croissante d’outils grand public, simples et pratiques mais non sécurisés. De ce constat est né Maiia Chat !
Quand vous avez le blues, un coup de mou ou plus aucune foi en l’humanité, je vous conseille vivement de vous tourner vers ce monument de la culture occidentale : les épisodes de la série Scooby-Doo (que les vieux dans mon genre qui ont passé des heures devant Les Visiteurs du mercrediconnaissent sous son nom francisé « Scoubidou »). Je préviens tout de suite : on ne critique pas. Sa première apparition date de 1969 et la franchise est toujours active de nos jours. Le site Wikipédia lui consacre pas moins de 28 pages et comptabilise des dizaines d’épisodes, de films d’animation, de versions cinéma avec personnages humains ; la série est tellement célèbre que plusieurs acteurs américains de renom ont accepté de prêter leur voix aux personnages. Si ça, ce n’est pas une référence…
inEurHeart est un projet d'innovation en matière d'intelligence artificielle et de jumeau numérique visant à révolutionner l'ablation par cathéter, intervention effectuée dans certaines pathologies cardiaques.
Le centre hospitalier Vauclaire, en Dordogne, a déployé en 2021 auprès de l’ensemble de ses médecins la solution de dictée SpeechLive de Philips. Une application basée sur le Cloud, simple à déployer et à utiliser qui fait gagner du temps aux médecins et aux secrétaires médicales, sur site et à distance. Vincent Génot, RSSI de l’établissement, retrace l’historique du projet.
Amazon Web Services (AWS), la filiale du géant du web Amazon spécialisée dans les services de cloud computing, est un partenaire essentiel de nombreux acteurs de la santé en France : établissements publics et privés, laboratoires pharmaceutiques, éditeurs… A l’occasion de la venue d'AWS sur le salon Santexpo, Erick Jan-Vareschard, qui dirige les activités secteur public d’AWS en France, décrit à DSIH les atouts de son offre cloud.
Le 3 mai 2022, la Commission européenne a lancé l’Espace européen des données de santé pour les personnes et pour la science dans le cadre de la construction d’une Union européenne de la santé.
Une des particularités de la formation des jeunes pilotes d’avion, pour l’aviation commerciale comme pour l’aviation privée (dite « de loisir »), est la prise en compte avant chaque vol du TEM : Threat and Error Management, ou gestion des menaces et des erreurs. On trouve des tonnes d’articles[1]plus ou moins théoriques sur le sujet, mais en gros l’idée est simple : avant le vol, il s’agit d’inventorier les risques connus et identifiés.
En 2021, l’ARS Auvergne-Rhône-Alpes a recensé 60 signalements de cyberincidents visant des structures de santé ou médico-sociales, contre 55 en 2020. La recrudescence des actes cybermalveillants se vérifie également au niveau national, avec plus de 730 déclarations d'incidents en 2021, contre 369 en 2020.
Le cabinet de conseil WELIOM répond aux besoins des acteurs de la santé sur la transformation numérique avec une approche à la fois réglementaire, organisationnelle et technique. Uniquement dédié à la santé, le cabinet de conseil souhaite accompagner ses clients sur la durée, explique son Président Directeur Général, Pierre-Yves André.
A travers ce partenariat stratégique avec Docaposte, référent des services de confiance numérique, Maincare souhaite renforcer l’accompagnement des établissements de santé dans leur transformation numérique.Ce partenariat se concrétise par l’intégration de services numériques fournis par Docaposte à l’offre de Maincare. La première étape est de proposer aux établissements de santé la digitalisation du bulletin de paie notamment avec la solution Digiposte opérée par Docaposte. La seconde étape sera de proposer de nouvelles solutions à valeur ajoutée pour les établissements de santé : la signature électronique, la vérification d’identité à distance et l’interconnexion au DMP.
Je suis tombé il y a quelque temps sur une excellente émission de la série documentaire 42 d’Arte[1] consacrée au stockage des déchets nucléaires issus principalement des centrales. Outre le débat sur la technologie, les 23 minutes du reportage étaient principalement dédiées à une question à la fois bête et complexe : étant donné la durée de stockage (on parle dans la plupart des cas en millions d’années), comment s’assurer que nos descendants n’oublieront pas ces lieux de stockage (la plupart du temps souterrains) et comprendront le sens des panneaux signalant le danger des émissions radioactives ? Si la question vous paraît saugrenue, je vous rappelle que l’on a déjà du mal à relire les textes originaux du français d’il y a à peine 500 ans (essayez juste pour voir de lire Le Roman de Renart[2] dans le texte), il y a de fortes chances que dans même pas 1 000 ans les films et les romans du xxie siècle seront totalement abscons pour nos arrière-arrière-arrière-petits-enfants. Alors imaginez dans 10 000 ans ou plus !
L’analyse du risque des prescriptions hospitalières est une étape essentielle du circuit du médicament, sous la responsabilité du pharmacien. Néanmoins, elle demande de nombreuses et très chronophages recherches d’informations, dans différents systèmes, pour permettre à l’équipe pharmaceutique de mener à bien cette mission.
Les établissements de santé accordent un intérêt grandissant à l’impact global de la production de soins sur l’environnement. Dans le détail, la part du numérique échappe au diagnostic. Son évaluation est pourtant indispensable pour mettre en place des stratégies de sobriété numérique impliquant tous les acteurs de l’hôpital.
Le 14 avril, le Health Data Hub a présenté une cartographie de ses principaux chantiers dans le cadre de l’espace projet de sa plateforme technologique.
A l’occasion du salon SANTEXPO qui se tiendra du 17 au 19 mai prochain à Paris, les consultants WELIOM participeront à des conférences pour partager avec les différents acteurs de santé leur vision et leur retour d’expériences sur les sujets stratégiques.
Tous ceux qui suivent l’actualité des SI et de la réglementation SI voient passer des news sur telle ou telle entreprise qui vient de se prendre une prune par la CNIL. Il y en a eu, il y en a et il y en aura. Ce qui est surprenant est que dans certains cas, il s’agit tantôt d’un responsable de traitement (RT) sanctionné pour les agissements de son sous-traitant (ST), tantôt l’inverse. Ce qui pose, en filigrane, la capacité d’un RT à auditer / contrôler son ST.
La Délégation ministérielle du numérique en santé (DNS) a organisé le 12 avril un webinaire consacré aux critères de sécurité des SI dans le cadre du référencement Ségur (SONS). Les résultats du questionnaire de la vague 1 sur leur niveau de maturité ont donné lieu à débat : devraient-ils être communiqués aux établissements de santé ?
Le 6 avril 2022, la Cnam a publié une charte de bonnes pratiques de la téléconsultation listant les recommandations et obligations de la pratique de l’activité à distance qui conditionnent sa prise en charge par l’Assurance maladie.
Les campagnes de phishing ne sont pas les attaques dans lesquelles le niveau de technicité est le plus élevé, mais on observe parfois, des attaquants qui sortent du lot par leur ingéniosité. J’ai été assez impressionné de voir comment celle-ci a été orchestrée. La technique n’est pas nouvelle, mais je ne l’avais jamais observée dans la santé auparavant. On peut trouver quelques références datant de 2019 sur cette technique astucieuse [1].
Au fil de diverses discussions avec plusieurs personnes non expertes du sujet, je me suis rendu compte que le terme « Cloud » n’était pas forcément bien compris. « C’est dans le Cloud » (qui en soit ne veut rien dire) n’a pas le même sens pour tout le monde. Un petit décryptage ne sera pas superflu, et pour cela on va utiliser un bon camembert.
Cegedim Santé propose, avec sa suite de solutions Maiia, une offre dédiée au système hospitalier. Elle vise à accompagner les professionnels de santé au quotidien (prise de rendez-vous en ligne, téléconsultation, téléexpertise, chat, etc.) mais aussi à décloisonner le parcours de soins en garantissant une sécurité de données maximale.
De temps en temps, je ressors un album de BD histoire de me changer les idées, entre un contrôle de flux https sortant sur le firewall externe et une revue des habilitations fonctionnelles. Et c’est le propre des grands ouvrages ou des grandes séries que d’avoir plusieurs niveaux de lecture selon que l’on soit gamin, adulte ou pire : RSSI.
Ce matin Cédric nous parle de sécurité aérienne comparée à la sécurité IT ou, comment passer du danger au risque. Rien de mieux qu'un pilote privé pour nous parler du parallèle entre l'IT et le monde aéronautique.
Le Centre hospitalier Laborit (CHL), à Poitiers, a initié il y a une dizaine d’années une démarche de procédures dégradées, notamment autour du dossier patient informatisé. Une démarche de longue haleine aujourd’hui bien utile, mise en avant lors du 10e congrès de l’Association pour la sécurité des systèmes d'information de santé qui se tient jusqu’à ce soir au Mans.
Les plus lus