Vous êtes dans : Accueil > Actualités >

TRIBUNES LIBRES

RGPD ou l’art de croire au père Noël

Cédric Cartau , le mar. 13 novembre 2018 : La société « Foutoir Informatique  » – n’insistez pas, je garantis toujours l’anonymat de mes sources – envoie à ses clients un avenant RGPD. Normal, me direz-vous, il s’agit là de l’un des points à régler afin de déterminer qui est responsable de quoi au sein d’un traitement dont le client est en principe RT (responsable de traitement) et le fournisseur ST (sous-traitant).Lire la suite ...

JIB 2018 : une relance par l’innovation réussie

Dominique Bellanger, le mar. 13 novembre 2018 : Le défi de l’édition 2018 des JIB, Journées de l’innovation en biologie (ex Journées internationales de biologie), était de réinventer ce rendez-vous de la biologie médicale autour de la thématique de l’Innovation. Pari réussi. Cette édition a été un succès. Le redéploiement des JIB se poursuivra dès 2019 au Palais des Congrès, Porte-Maillot, à Paris, les 21 et 22 novembre.   Lire la suite ...

Les GHT sont morts, vivent les EPST ?

Me Omar Yahia, le mar. 06 novembre 2018 : Pour prématurée ou provocante qu’elle puisse paraître, la question se pose et s’impose à la lecture du rapport final intitulé Repenser l’organisation territoriale de soins. Lire la suite ...

Les lectures de la Toussaint

Par Cédric Cartau, le mar. 06 novembre 2018 : Les semaines de vacances sont propices aux lectures de fond, du genre de celles auxquelles l’on n’a ni le temps de s’adonner pendant la journée de travail, ni l’envie de s’atteler le soir à la veillée. En voici quatre, parmi d’autres.Lire la suite ...

Chiffrer ses postes clients Windows avec BitLocker en connaissance de cause

Charles Blanc-Rolin , le mar. 06 novembre 2018 : Pour préserver la confidentialité et éviter toute violation de données à caractère personnel, à plus forte raison lorsqu’il s’agit de données aussi sensibles que les données de santé manipulées au quotidien par nos utilisateurs, le recours au chiffrement peut s’avérer nécessaire, comme le souligne à plusieurs reprises le RGPD.Lire la suite ...

4ème Colloque SSI santé du Ministère (suite et fin)

Charles Blanc-Rolin, le mar. 30 octobre 2018 : Dans une première partie [1], nous avions évoqué la vision ministérielle relative à l’importance du numérique dans la transformation de notre système de santé, ainsi que les grandes lignes du programme HOP’EN.  Lire la suite ...

RGPD, saison des prunes au Portugal

Cédric Cartau, le mar. 30 octobre 2018 : Dans un article récent[1], on apprend que la CNPD (la Cnil portugaise) vient d’infliger une amende de 400 000 euros à un hôpital pour défaut de respect du RGPD. Analyse.  Lire la suite ...

Top 3 des incidents SSI Santé des semaines passées

Charles Blanc-Rolin, le mar. 30 octobre 2018 : Les dernières semaines ont encore été riches en « fails » pour le secteur de la santé, en France et à l’international.Lire la suite ...

La directive NIS, volet juridique, partie II

Me Omar Yahia , le mar. 23 octobre 2018 : Accompagner et expliquer ? Ordonner et sanctionner ? Il semble que le législateur ait choisi.Lire la suite ...

La directive NIS en application, volet SSI, partie II

Cédric Cartau, le mar. 23 octobre 2018 : Dans le premier volet[1], nous avons décortiqué la directive NIS ainsi que son positionnement par rapport à l’avalanche de textes régissant la SSI qui nous ont submergés depuis 2016. Me Yahia a quant à lui embrayé sur les aspects juridiques du dispositif[2], avec une vision encore plus large sur les éventuels recouvrements avec le décret hébergeur et les obligations de signalement des incidents SSI (obligations multiples, signalements multiples). L’analyse de l’avocat et celle du RSSI se rejoignent sur un point : les ennuis ne font que commencer.  Lire la suite ...

Les Assises de la sécurité : l’actu de l’Anssi

Charles Blanc-Rolin, le mer. 17 octobre 2018 :       Lire la suite ...

La directive NIS, volet juridique, partie 1

Me Omar Yahia , le mar. 16 octobre 2018 : Puisque mon illustre coauteur, Cédric Cartau, me tend la perche, je m’en voudrais de ne pas la saisir !Lire la suite ...

La directive NIS en application, volet SSI, partie I

Cédric Cartau, le mar. 16 octobre 2018 : Alors que le landerneau informatique avait les yeux rivés, au matin du 25 mai dernier, sur la sortie du RGPD, personne ou presque n’a manifesté son inquiétude ou son intérêt à propos du décret n° 2018-384 relatif à la directive NIS, pourtant promulgué deux jours plus tôt (et je laisse à mon illustre coauteur Me Yahia le soin d’apporter les précisions adéquates sur la structure des textes et leurs relations).Lire la suite ...

Sensibilisation des utilisateurs au phishing : un exercice difficile

Charles Blanc-Rolin, le mar. 09 octobre 2018 : Même si nos solutions de protection de la messagerie ont fortement progressé en s’appuyant sur de nombreux outils qui prennent en compte de plus en plus de critères, que les commerciaux affamés vous proposeront LA solution miracle à base de poudre de perlimpinpin qui arrête tous les messages frauduleux avec ses petits bras musclés, la sensibilisation des utilisateurs au phishing reste à mon sens indispensable, et l’actualité nous le montre bien.Lire la suite ...

Actu sécu « en bref » : RGPD, Vulnérabilités, Attaques du moment

Charles Blanc-Rolin, le mar. 02 octobre 2018 : Pour commencer ce mois international de la cybersécurité, je vous propose un petit tour rapide des dernières actualités SSI du moment.  Lire la suite ...

Mais je fais quoi avec tous ces mots de passe ? Partie III

Cédric Cartau , le mar. 02 octobre 2018 : Lors du premier volet, nous avons engagé une classification des grandes familles de mots de passe (ID/MDP) et une première évaluation des risques encourus. Dans le deuxième volet nous avons tenté une ébauche de solution de stockage des ID/MDP en fonction des catégories susnommées. Poursuivons.Lire la suite ...

Mais je fais quoi avec tous ces mots de passe ? Partie II

Cédric Cartau , le mar. 25 septembre 2018 : Lors du premier volet, nous avons engagé une classification des grandes familles de mots de passe (ID/MDP) et une première évaluation des risques encourus. Poursuivons.Lire la suite ...

Mais je fais quoi avec tous ces mots de passe ? Partie I

Cédric Cartau , le mar. 25 septembre 2018 : C’est un sujet qui revient régulièrement dans la presse, et en cours les élèves – toute formation confondue – posent souvent la question : avec la multiplication des mots de passe d’accès aux services divers et variés (banque en ligne, réseaux sociaux, etc.), quelles sont les bonnes pratiques à adopter ? J’avais besoin d’un cobaye pour tester deux ou trois trucs, j’ai pris le plus disponible à défaut du plus intelligent : moi ! J’insiste sur le fait qu’il n’y a pas de bonne solution universelle aux questions soulevées dans cet article, et de plus ce domaine suscite immanquablement des débats enflammés, l’indulgence du lecteur est donc requise.Lire la suite ...

L’Anssi ouvre le code source de son système Clip OS

Charles Blanc-Rolin, le ven. 21 septembre 2018 : La news est tombée mercredi dans la soirée, même si le communiqué de presse [1] est daté du 20 septembre, soit deux jours plus tard. L’ Agence nationale de la sécurité des systèmes d’information a officiellement annoncé l’ouverture du code source de son système d’exploitation Clip OS dont on entend parler depuis pas mal d’années !Lire la suite ...

Un espace de stockage Amazon mal configuré et des données de santé une nouvelle fois exposées

Charles Blanc-Rolin, le mar. 18 septembre 2018 : Alors qu’en France la première certification HDS vient d’être délivrée [1], dans de nombreux autres pays, comme les États-Unis par exemple, les établissements traitant des données de santé ne sont pas restreints dans le choix d’un prestataire d’hébergement de données de santé.Lire la suite ...

Google pourrait-il connaître l’état de santé de tout le monde ou presque ?

Charles Blanc-Rolin, le mar. 18 septembre 2018 : Déduire la situation sanitaire des utilisateurs de ses services ou identifier les titulaires d’une carte de crédit, même si leurs achats ont lieu hors ligne, Google en serait-il capable ?Lire la suite ...

L’IA va-t-elle faire disparaître les pilotes de ligne ? Partie II

Cédric Cartau , le mar. 18 septembre 2018 : Dans le volet précédent, nous avons entamé l’analyse d’un article[1]du Dr Laurent Alexandre dans L’Expresssur la fin programmée du métier de pilote de ligne. En substance, il nous paraît fortement optimiste d’affirmer que vers 2030 le métier de pilote disparaîtra, battu par une IA plus performante.    Lire la suite ...

L’IA va-t-elle faire disparaître les pilotes de ligne ? Partie I

Cédric Cartau , le mar. 18 septembre 2018 : Le Dr Laurent Alexandre – dont je suis fan – a récemment publié un article[1]dans L’Expresssur la fin programmée du métier de pilote de ligne. J’aime les analyses poussées du Dr Alexandre dans ses ouvrages (La Mort de la mortet La Guerre des intelligences, à lire absolument), mais paradoxalement, pour ce qui concerne cette chronique, je suis plus nuancé.  Lire la suite ...

Les limites de l’IA selon Jean de La Fontaine

Cédric Cartau , le lun. 10 septembre 2018 : J’ai encore les tongs aux pieds et du sorbet vanille-fraise plein les doigts, mais certaines de mes lectures de cet été m’ont inspiré. Notamment La Guerre des intelligences, le dernier essai du Dr Laurent Alexandre, à lire absolument. En l’occurrence, l’ouvrage(1) traite de l’IA sous toutes ses formes, et surtout du fait qu’elle va tous – nous les humains – nous renvoyer aux oubliettes de l’évolution (les dinosaures ont bien fini par disparaître et même l’empire romain s’est écroulé, alors…). On est tous fichu, la seule question est de savoir si ce sera avant la prochaine Coupe du monde de foot ou après.  Lire la suite ...

La guerre des intelligences, selon le Dr Alexandre

Cédric Cartau , le mar. 04 septembre 2018 : Je ne m’en cache pas, je suis un fan des ouvrages du Dr Laurent Alexandre (comment donc, vous n’avez encore pas lu La Mort de la mort ?) ; j’ai donc mis à profit l’été pour lire son dernier ouvrage : La Guerre des intelligences. Et j’ai adoré.Lire la suite ...

Orages de vulnérabilités pour des inondations d’informations

Charles Blanc-Rolin, le mar. 28 août 2018 : Les données de santé de 2 millions de patients mexicains exposés sur InternetLire la suite ...

Def Con 2018 : le chercheur Douglas McKee récupère et modifie les constantes vitales d’un patient

Charles Blanc-Rolin, le mar. 21 août 2018 : La Def Con figure parmi les conférences les plus incontournables dans le domaine de la sécurité numérique. Pour sa 26ème édition à Las Vegas qui s’est déroulée du 9 au 12 août, la sécurité des dispositifs médicaux faisaient partie, une fois encore des sujets phares de l’évènement.  Lire la suite ...

Phishing, rançongiciel, fuite de données, DDoS : ça chauffe aussi sous le soleil cyber

Charles Blanc-Rolin, le lun. 13 août 2018 : Depuis le début du mois, nous observons dans les établissements de santé français deux importantes campagnes de courriels malveillants.Lire la suite ...

Les archives, meilleurs amis du RSSI ?

Cédric Cartau , le lun. 30 juillet 2018 : Pour le dernier article de cette première moitié d’année, j’ai décidé de revenir sur la question du rattachement hiérarchique et fonctionnel du RSSI : après tout, tant qu’à commenter des idées stupides, autant qu’elles viennent directement de moi. En l’occurrence, je me suis interrogé sur la question de savoir s’il était opportun ou pas de rattacher le RSSI au service des archives.Lire la suite ...

Externalisation des SI : le GHT comme argument fallacieux

Cédric Cartau , le jeu. 26 juillet 2018 : Dans un article récent de Tic Santé (1) qui relate la position Syntec numérique concernant l’externalisation, le lecteur pourra prendre connaissance d’un argumentaire éculé qui relève plus de la discussion de comptoir que d’une réelle connaissance du secteur et de ce que recouvrent les concepts d’externalisation.    Lire la suite ...

Singapour : l’infection d’un ordinateur permet le vol des données d’1,5 million de patients

Charles Blanc-Rolin, le mar. 24 juillet 2018 : Dans un communiqué publié vendredi [1], le Ministère de la santé de Singapour a révélé une fuite de données massive au sein du groupement d’établissements de santé publics / privés SingHealth qui a permis l’exfiltration de données à caractère personnel d’1,5 million de patients, soit le quart de la population du pays !Lire la suite ...

Informatique de santé : les leçons très altruistes du Syntec

Cédric Cartau , le jeu. 19 juillet 2018 : Dans un article récent de tic santé(1) qui relate une interview avec un représentant du Syntec, le lecteur pourra prendre connaissance de conseils de bon aloi de ce dernier concernant l’informatique de santé. Ainsi, le Syntec travaille (je cite) à un programme de sensibilisation des directions générales, afin de leur porter la bonne parole – sans nul doute entièrement désintéressée – et leur expliquer les avantages de l’externalisation. Bien entendu, les informaticiens ne sont pas conviés à ce genre d’intervention, on ne va tout de même pas inviter les soutiers à des débats stratégiques, que diable !  Lire la suite ...

Dark Web : quand les données d’établissements de santé alimentent le black market

Charles Blanc-Rolin, le mar. 17 juillet 2018 : Sans réelle surprise, on constate aux États-Unis, une croissance parallèle entre les ventes de dossiers médicaux sur le Dark Web et les incidents relatifs à des fuites de données constatés dans le secteur de la santé.Lire la suite ...

Sécurité SI dans les établissements de santé vu du CLUSIF

Cédric Cartau, le lun. 09 juillet 2018 : Faites le test suivant : si vous avez un ado à la maison, annoncez-lui pile au moment de se mettre à table le soir en famille que juste à la fin du repas vous allez inspecter sa chambre, et que si vous la trouvez un tantinet en désordre, il sera privé d’argent de poche et de smartphone pendant une semaine (ok le coup du smartphone c’est taquin, mais bon c’est juste un test, même si votre ado ne le sait pas). Et observez bien attentivement sa réaction : si les cheveux et les poils se dressent, si les yeux roulent alors il y a de fortes chances pour que sa chambre soit effectivement dans un grand état de foutoir.Lire la suite ...

Rendez-vous médicaux en ligne et données personnelles : le scandale australien

Charles Blanc-Rolin, le lun. 09 juillet 2018 : Alors qu’en France, le marché de la prise de rendez-vous médicaux en ligne est en plein essor et que certains professionnels de santé libéraux imposent ce système à leur patientèle en refusant tout bonnement la prise de rendez-vous par téléphone. Nos amis australiens, échaudés par les pratiques de la plateforme de prise de rendez-vous médicaux de référence en Australie, vont sûrement réviser leur jugement sur ce type de services.Lire la suite ...

Directive NIS, la fin de l’innocence

Cédric Cartau , le mar. 03 juillet 2018 : Si pas mal de monde avait les yeux rivés sur le RGPD le 24 mai au soir, et au-delà, on a beaucoup moins entendu parler du décret n° 2018-384, qui a pourtant été publié le 23 mai dernier, et qui concerne les obligations des futurs opérateurs de services essentiels (OSE), pendant de la LPM (loi de programmation militaire) pour les OIV (opérateurs d’importance vitale).Lire la suite ...

Kaspersky VS le reste du monde

Charles Blanc-Rolin, le mar. 03 juillet 2018 : Que se passe-t-il en ce moment avec l’éditeur d’antivirus Kaspersky ?On dirait que la planète entière est en train de lui tourner le dos. Sans que cela n’ait réellement été prouvé, on entend depuis plusieurs années que l’éditeur d’antivirus Kaspersky pourrait être lié au gouvernement Russe et pourrait opérer pour son compte dans des opération d’espionnage.Un scénario qui n’est pas improbable, mais qui, sans preuve tangible, reste une rumeur.À moins que l’on ne nous dise pas tout.Alors quelle position doit-on adopter ?Lire la suite ...

Comment ré-humaniser le secteur sanitaire et médico-social ?

Silvère Jauny Président de Spin'R, le lun. 02 juillet 2018 : Le secteur de la santé, des hôpitaux aux EHPAD, traverse aujourd'hui une crise majeure qui a commencé il y a déjà presque 20 ans. Cette crise trouve ses racines dans sa lointaine histoire, des Hôtel-Dieu aux congrégations qui géraient ces lieux avant l'émergence de la professionnalisation du secteur. Cette professionnalisation a progressivement entraîné tous les acteurs dans une exigence de qualité, tout à fait légitime, initiée et voulue tant par l'État, les professionnels, les usagers que les familles.  Lire la suite ...

Back to the future : Conficker de retour dans un établissement de santé français

Charles Blanc-Rolin, le mar. 26 juin 2018 : C’est avec étonnement pour certains, sans réelle surprise pour d’autres, que nous avons pu découvrir l’alerte lancée par la cellule d’accompagnement à la cybersécurité des structures de santé vendredi dernier [1].Lire la suite ...

Comment la nouvelle certification d’hébergement de données de santé s’applique-elle aux métiers de l’hébergement et de l’infogérance ?

, le mer. 20 juin 2018 : Par Adèle Adam, Data Protection Officer et Christophe Jodry, Directeur de l’offre eSanté chez Claranet FranceLire la suite ...

Quid d’un SMSI en santé ?

DSIH, le mar. 19 juin 2018 : Les systèmes d’information dans le domaine de la santé sont soumis à de fortes exigences, portées par des textes réglementaires, référentiels et normes.Lire la suite ...

Entrepôts de données de santé : la question de la sécurisation

Cédric Cartau, le mar. 19 juin 2018 : Un article(1) récent qui traite de la mise en place de l’entrepôt de données de santé (EDS) à l’AP-HP et rapporte les propos du Pr Lechat lors du 10e Colloque « Données de santé en vie réelle » du 7 juin dernier. Un certain nombre de difficultés et d’enjeux sont évoqués, parmi lesquels la constitution des EDS qui représente sans nul doute la prochaine révolution dans le monde médical et qui transformera autant la pratique dans ce domaine que l’ont changée l’apparition de l’anesthésie, de l’imagerie médicale ou des antibiotiques.  Lire la suite ...

3 ans de prison pour avoir volé des données patient

Charles Blanc-Rolin, le mar. 19 juin 2018 : Le moins que l’on puisse dire, c’est que les américains ne plaisantent pas lorsqu’il s’agit de données de santé. Un employé d’un établissement de santé publique destiné aux anciens combattants à Long Beach en Californie a été condamné le 4 juin dernier à trois ans de prison pour plusieurs de ses méfaits, dont le vol de données patient et plusieurs usurpations d’identités selon le Daily Breeze [1].  Lire la suite ...

C’est la saison des prunes à la Cnil

Cédric Cartau, le mar. 12 juin 2018 : Relayée par différents médias en ligne, on apprend que la Cnil(1) vient d’infliger une amende de 250 000 euros – tout de même – à Optical Center pour manquement à la protection des données de ses clients. En substance, les comptes des clients étaient accessibles sans identifiant ni mot de passe sur le site Internet, avec leurs données administratives et commerciales, les ordonnances médicales des produits pour la correction visuelle, etc. Ce n’est pas la première fois que la Cnil prononce des sanctions de cette nature et de ce montant, mais ce cas particulier appelle plusieurs commentaires.  Lire la suite ...

Necurs : le cheval de Troie qui s’infiltre via la messagerie et esquive les antivirus

Charles Blanc-Rolin, le mar. 12 juin 2018 : Dans une récente campagne de messages non sollicités, révélée par l’éditeur Barkly [1], les attaquants ont réussi déjouer les analyses antivirales en utilisant un type de fichier très peu courant : Excel Web Query, dont l’extension de fichier est .iqy.Lire la suite ...

VPNFilter : un logiciel malveillant plus inquiétant que prévu

Charles Blanc-Rolin, le jeu. 07 juin 2018 : L’équipe Talos revient cette semaine sur l’analyse du logiciel malveillant VPNFilter dont nous avions parlé il y a une quinzaine de jours [1]. Les chercheurs ont continué leurs investigations, et le moins que l’on puisse dire, c’est que les nouvelles ne sont pas franchement bonnes [2].Lire la suite ...

AFIB : journée régionale SUD sur le thème de la connectivité et la sécurité des dispositifs médicaux

Charles Blanc-Rolin, le mar. 05 juin 2018 : Que les DSI qui ont encore du mal à considérer la sécurité du numérique en prennent de la graine. Les ingénieurs biomédicaux semblent pour leur part, avoir bien pris conscience de sa nécessité.Lire la suite ...

Informatisation du dossier patient : un bilan contrasté

Cédric Cartau, le mar. 05 juin 2018 : Le webzine Ticsanté a récemment relaté(1) une étude issue de la dernière édition de l’Atlas des systèmes d’information hospitaliers sur l’informatisation des établissements de santé faisant suite au programme Hôpital numérique. Et le moins que l’on puisse dire, c’est que le bilan est plus que contrasté, sans parler de chiffres qui, mis côte à côte, interrogent carrément.  Lire la suite ...

L’échelle de Kardashev appliquée à l’informatique, partie II

Cédric Cartau , le mar. 29 mai 2018 : Dans un précédent article, nous avons disserté sur la comparaison entre l’échelle de Kardashev et l’incident IT.Lire la suite ...