Vous êtes dans : Accueil > Actualités >

TRIBUNES LIBRES

DSIO : Quand l’habit ne fait pas le moine

Par Me Emmanuelle Peletingeas, le lun. 07 janvier 2019 : Les erreurs de casting, cela existe aussi dans le domaine des systèmes d’information de santé !Lire la suite ...

C’est le jour des bonnes résolutions

Cédric Cartau , le lun. 07 janvier 2019 : Traditionnellement, le premier article de l’année est dédié à la fois au bilan de celle qui vient de s’écouler et aux bonnes résolutions de celle qui s’annonce.Lire la suite ...

Implant files : l’Europe à la rescousse ? (Partie 4 et Fin)

Me Omar Yahia, le mar. 18 décembre 2018 : La Commission européenne n’a pas attendu la presse pour dénoncer la manière dont les États membres de l’UE désignaient les organismes notifiés (ON). Manque de transparence dans les certifications des DM, manque d’intégrité, de compétence et/ou de rigueur des ON : les scandales sanitaires et l’absence d’uniformisation n’ont fait que rappeler l’urgence à réformer le système.Lire la suite ...

SNDBOX : l’intelligence artificielle appliquée à l’analyse de fichiers malveillants

Charles Blanc-Rolin , le mar. 18 décembre 2018 : Quel RSSI n’a jamais rêvé d’être en capacité d’analyser un fichier suspect, de jouer le « pro du reverse engineering » malgré des connaissances techniques limitées et de savoir concrètement les conséquences de l’exécution d’un fichier qu’il suspecte d’être malveillant ?Lire la suite ...

GHT et convergences fonctionnelles

Cédric Cartau , le mar. 18 décembre 2018 : S’il est un sujet qui me plonge dans un abîme de réflexion, c’est bien celui-ci : comment faire converger le SI des établissements d’un GHT ? Sur le plan fonctionnel s’entend.Lire la suite ...

Implant files : l’Europe à la rescousse ? (Partie 3)

Me Omar Yahia, le mar. 11 décembre 2018 : Le règlement européen change la donne également en ce qui concerne l’importateur et le distributeur. Auparavant, les directives ne visaient pas directement ces opérateurs clé dans la chaîne d’approvisionnement du dispositif médical.Lire la suite ...

Signalement des incidents SI, le rapport annuel de l’Asip

Cédric Cartau , le mar. 11 décembre 2018 : Dans un rapport récent [1], l’Asip fait un bilan de la première année de déclaration des incidents de sécurité SI dans les structures de soins, conformément au décret n° 2016-1214 du 12 septembre 2016. Petite analyse critique des résultats.    Lire la suite ...

Implant files : l’Europe à la rescousse ? (Partie 2)

Me Omar Yahia, le mar. 04 décembre 2018 : En fait de dispositifs médicaux, l’histoire semble être un éternel recommencement.  Lire la suite ...

Quelles sont les conséquences de la compromission d’une machine ?

Charles Blanc-Rolin , le mar. 04 décembre 2018 : La compromission d’une machine connectée à un système d’information de santé peut avoir de multiples conséquences. Des conséquences « générales », communes à l’ensemble des systèmes d’information, mais aussi des conséquences propres au secteur de la santé, pouvant conduire, dans les cas les plus extrêmes, au décès du patient.Lire la suite ...

Le scoop de la semaine : la CNIL n’est pas conforme au RGPD…mais ce n’est pas grave

Cédric Cartau , le lun. 03 décembre 2018 : La chaîne Youtube Legiscope, vous connaissez ? Proposée par Thiébault Devergranne, vous y trouvez des vidéos très explicatives sur le RGPD, on peut quasiment s’y former de fond en comble, ou presque.Lire la suite ...

Implant files : l’Europe à la rescousse ? (Partie 1)

Me Omar Yahia, le mar. 27 novembre 2018 : Faire passer un filet de mandarines…pour un implant vaginal. C’est précisément ce qu’a fait une journaliste néerlandaise auprès d’un organisme de certification pour obtenir un accord de principe pour un marquage CE !Lire la suite ...

Chiffrement, compression : révisons nos configurations OpenVPN

Charles Blanc-Rolin , le mar. 27 novembre 2018 : Malgré l’apparition il y a quelques années de la très séduisante solution libre Wireguard [1], OpenVPN reste l’outil de prédilection pour mettre en place facilement des tunnels VPN client / serveur, tout comme IPsec reste le standard en matière de connexion VPN site à site (ou routeur à routeur).Lire la suite ...

Sécurisation des comptes admin : une complexité fractale

Cédric Cartau , le mar. 27 novembre 2018 : Il se trouve que parmi mes préoccupations – pas seulement celles du moment, mais en général –, la sécurisation des comptes à privilèges occupe une place particulière parce qu’il s’agit d’une tâche pas si évidente. Petit état des lieux.Lire la suite ...

Le destin de l’hôpital : banalisation, ’’coopétition’’, fusion

Par Me Emmanuelle Peletingeas et Me Omar Yahia, le mar. 20 novembre 2018 : Comme un puzzle qui se met lentement (mais sûrement) en place, l’hôpital n’en finit pas de se transformer, sous la houlette de la frénésie réformatrice des Pouvoirs publics. Lire la suite ...

La génétique selon la Cnil

Cédric Cartau , le mar. 20 novembre 2018 : Outre son rôle relatif à la protection des données personnelles – qui a démarré en 1978 à la suite du célèbre projet Safari d’interconnexion des fichiers administratifs[1] –, la Cnil publie aussi bon nombre de guides techniques ou sectoriels visant à apporter une aide, à la fois aux entreprises et aux particuliers, sur la compréhension de la réglementation en vigueur, qui se complexifie notoirement avec les avancées technologiques et les usages. On trouve ainsi des référentiels sur la Blockchain, les messageries sécurisées en santé, les obligations issues de la loi Informatiques et Libertés (IL) relatives au traitement des données RH et j’en passe.  Lire la suite ...

« Concilier recherche médicale et RGPD, un prérequis indispensable pour continuer à innover »

, le lun. 19 novembre 2018 : Par Carole Le Goff, Sales & Marketing Manager, e-Health chez bcomLire la suite ...

Certification HDS : puissance VS souveraineté

Charles Blanc-Rolin , le mar. 13 novembre 2018 : La semaine dernière, Microsoft annonçait avoir enfin obtenu LA certification HDS [1], Saint Graal détenue à ce jour par un seul acteur bien connu du secteur de la santé, le GIP MIPIH. Une question me vient alors à l’esprit, la souveraineté doit-elle être prise en compte dans le choix de son hébergeur ?Lire la suite ...

Réflexions technico-juridiques autour des virus

Cédric Cartau & Me Omar Yahia , le mar. 13 novembre 2018 : Depuis un petit moment déjà, certaines réflexions autour des virus me titillent en me posant question. Et comme me disait mon institutrice de CE1 : « Mon petit Cédric, il faut poser ses questions ; s’il y a une chose que tu ne comprends pas, dis-toi que tu n’es pas le seul. » J’appelle donc à la rescousse mon illustre coauteur Me Omar Yahia. Go.Lire la suite ...

RGPD ou l’art de croire au père Noël

Cédric Cartau , le mar. 13 novembre 2018 : La société « Foutoir Informatique  » – n’insistez pas, je garantis toujours l’anonymat de mes sources – envoie à ses clients un avenant RGPD. Normal, me direz-vous, il s’agit là de l’un des points à régler afin de déterminer qui est responsable de quoi au sein d’un traitement dont le client est en principe RT (responsable de traitement) et le fournisseur ST (sous-traitant).Lire la suite ...

JIB 2018 : une relance par l’innovation réussie

Dominique Bellanger, le mar. 13 novembre 2018 : Le défi de l’édition 2018 des JIB, Journées de l’innovation en biologie (ex Journées internationales de biologie), était de réinventer ce rendez-vous de la biologie médicale autour de la thématique de l’Innovation. Pari réussi. Cette édition a été un succès. Le redéploiement des JIB se poursuivra dès 2019 au Palais des Congrès, Porte-Maillot, à Paris, les 21 et 22 novembre.   Lire la suite ...

Les GHT sont morts, vivent les EPST ?

Me Omar Yahia, le mar. 06 novembre 2018 : Pour prématurée ou provocante qu’elle puisse paraître, la question se pose et s’impose à la lecture du rapport final intitulé Repenser l’organisation territoriale de soins. Lire la suite ...

Les lectures de la Toussaint

Par Cédric Cartau, le mar. 06 novembre 2018 : Les semaines de vacances sont propices aux lectures de fond, du genre de celles auxquelles l’on n’a ni le temps de s’adonner pendant la journée de travail, ni l’envie de s’atteler le soir à la veillée. En voici quatre, parmi d’autres.Lire la suite ...

Chiffrer ses postes clients Windows avec BitLocker en connaissance de cause

Charles Blanc-Rolin , le mar. 06 novembre 2018 : Pour préserver la confidentialité et éviter toute violation de données à caractère personnel, à plus forte raison lorsqu’il s’agit de données aussi sensibles que les données de santé manipulées au quotidien par nos utilisateurs, le recours au chiffrement peut s’avérer nécessaire, comme le souligne à plusieurs reprises le RGPD.Lire la suite ...

4ème Colloque SSI santé du Ministère (suite et fin)

Charles Blanc-Rolin, le mar. 30 octobre 2018 : Dans une première partie [1], nous avions évoqué la vision ministérielle relative à l’importance du numérique dans la transformation de notre système de santé, ainsi que les grandes lignes du programme HOP’EN.  Lire la suite ...

RGPD, saison des prunes au Portugal

Cédric Cartau, le mar. 30 octobre 2018 : Dans un article récent[1], on apprend que la CNPD (la Cnil portugaise) vient d’infliger une amende de 400 000 euros à un hôpital pour défaut de respect du RGPD. Analyse.  Lire la suite ...

Top 3 des incidents SSI Santé des semaines passées

Charles Blanc-Rolin, le mar. 30 octobre 2018 : Les dernières semaines ont encore été riches en « fails » pour le secteur de la santé, en France et à l’international.Lire la suite ...

La directive NIS, volet juridique, partie II

Me Omar Yahia , le mar. 23 octobre 2018 : Accompagner et expliquer ? Ordonner et sanctionner ? Il semble que le législateur ait choisi.Lire la suite ...

La directive NIS en application, volet SSI, partie II

Cédric Cartau, le mar. 23 octobre 2018 : Dans le premier volet[1], nous avons décortiqué la directive NIS ainsi que son positionnement par rapport à l’avalanche de textes régissant la SSI qui nous ont submergés depuis 2016. Me Yahia a quant à lui embrayé sur les aspects juridiques du dispositif[2], avec une vision encore plus large sur les éventuels recouvrements avec le décret hébergeur et les obligations de signalement des incidents SSI (obligations multiples, signalements multiples). L’analyse de l’avocat et celle du RSSI se rejoignent sur un point : les ennuis ne font que commencer.  Lire la suite ...

Les Assises de la sécurité : l’actu de l’Anssi

Charles Blanc-Rolin, le mer. 17 octobre 2018 :       Lire la suite ...

La directive NIS, volet juridique, partie 1

Me Omar Yahia , le mar. 16 octobre 2018 : Puisque mon illustre coauteur, Cédric Cartau, me tend la perche, je m’en voudrais de ne pas la saisir !Lire la suite ...

La directive NIS en application, volet SSI, partie I

Cédric Cartau, le mar. 16 octobre 2018 : Alors que le landerneau informatique avait les yeux rivés, au matin du 25 mai dernier, sur la sortie du RGPD, personne ou presque n’a manifesté son inquiétude ou son intérêt à propos du décret n° 2018-384 relatif à la directive NIS, pourtant promulgué deux jours plus tôt (et je laisse à mon illustre coauteur Me Yahia le soin d’apporter les précisions adéquates sur la structure des textes et leurs relations).Lire la suite ...

Sensibilisation des utilisateurs au phishing : un exercice difficile

Charles Blanc-Rolin, le mar. 09 octobre 2018 : Même si nos solutions de protection de la messagerie ont fortement progressé en s’appuyant sur de nombreux outils qui prennent en compte de plus en plus de critères, que les commerciaux affamés vous proposeront LA solution miracle à base de poudre de perlimpinpin qui arrête tous les messages frauduleux avec ses petits bras musclés, la sensibilisation des utilisateurs au phishing reste à mon sens indispensable, et l’actualité nous le montre bien.Lire la suite ...

Actu sécu « en bref » : RGPD, Vulnérabilités, Attaques du moment

Charles Blanc-Rolin, le mar. 02 octobre 2018 : Pour commencer ce mois international de la cybersécurité, je vous propose un petit tour rapide des dernières actualités SSI du moment.  Lire la suite ...

Mais je fais quoi avec tous ces mots de passe ? Partie III

Cédric Cartau , le mar. 02 octobre 2018 : Lors du premier volet, nous avons engagé une classification des grandes familles de mots de passe (ID/MDP) et une première évaluation des risques encourus. Dans le deuxième volet nous avons tenté une ébauche de solution de stockage des ID/MDP en fonction des catégories susnommées. Poursuivons.Lire la suite ...

Mais je fais quoi avec tous ces mots de passe ? Partie II

Cédric Cartau , le mar. 25 septembre 2018 : Lors du premier volet, nous avons engagé une classification des grandes familles de mots de passe (ID/MDP) et une première évaluation des risques encourus. Poursuivons.Lire la suite ...

Mais je fais quoi avec tous ces mots de passe ? Partie I

Cédric Cartau , le mar. 25 septembre 2018 : C’est un sujet qui revient régulièrement dans la presse, et en cours les élèves – toute formation confondue – posent souvent la question : avec la multiplication des mots de passe d’accès aux services divers et variés (banque en ligne, réseaux sociaux, etc.), quelles sont les bonnes pratiques à adopter ? J’avais besoin d’un cobaye pour tester deux ou trois trucs, j’ai pris le plus disponible à défaut du plus intelligent : moi ! J’insiste sur le fait qu’il n’y a pas de bonne solution universelle aux questions soulevées dans cet article, et de plus ce domaine suscite immanquablement des débats enflammés, l’indulgence du lecteur est donc requise.Lire la suite ...

L’Anssi ouvre le code source de son système Clip OS

Charles Blanc-Rolin, le ven. 21 septembre 2018 : La news est tombée mercredi dans la soirée, même si le communiqué de presse [1] est daté du 20 septembre, soit deux jours plus tard. L’ Agence nationale de la sécurité des systèmes d’information a officiellement annoncé l’ouverture du code source de son système d’exploitation Clip OS dont on entend parler depuis pas mal d’années !Lire la suite ...

Un espace de stockage Amazon mal configuré et des données de santé une nouvelle fois exposées

Charles Blanc-Rolin, le mar. 18 septembre 2018 : Alors qu’en France la première certification HDS vient d’être délivrée [1], dans de nombreux autres pays, comme les États-Unis par exemple, les établissements traitant des données de santé ne sont pas restreints dans le choix d’un prestataire d’hébergement de données de santé.Lire la suite ...

Google pourrait-il connaître l’état de santé de tout le monde ou presque ?

Charles Blanc-Rolin, le mar. 18 septembre 2018 : Déduire la situation sanitaire des utilisateurs de ses services ou identifier les titulaires d’une carte de crédit, même si leurs achats ont lieu hors ligne, Google en serait-il capable ?Lire la suite ...

L’IA va-t-elle faire disparaître les pilotes de ligne ? Partie II

Cédric Cartau , le mar. 18 septembre 2018 : Dans le volet précédent, nous avons entamé l’analyse d’un article[1]du Dr Laurent Alexandre dans L’Expresssur la fin programmée du métier de pilote de ligne. En substance, il nous paraît fortement optimiste d’affirmer que vers 2030 le métier de pilote disparaîtra, battu par une IA plus performante.    Lire la suite ...

L’IA va-t-elle faire disparaître les pilotes de ligne ? Partie I

Cédric Cartau , le mar. 18 septembre 2018 : Le Dr Laurent Alexandre – dont je suis fan – a récemment publié un article[1]dans L’Expresssur la fin programmée du métier de pilote de ligne. J’aime les analyses poussées du Dr Alexandre dans ses ouvrages (La Mort de la mortet La Guerre des intelligences, à lire absolument), mais paradoxalement, pour ce qui concerne cette chronique, je suis plus nuancé.  Lire la suite ...

Les limites de l’IA selon Jean de La Fontaine

Cédric Cartau , le lun. 10 septembre 2018 : J’ai encore les tongs aux pieds et du sorbet vanille-fraise plein les doigts, mais certaines de mes lectures de cet été m’ont inspiré. Notamment La Guerre des intelligences, le dernier essai du Dr Laurent Alexandre, à lire absolument. En l’occurrence, l’ouvrage(1) traite de l’IA sous toutes ses formes, et surtout du fait qu’elle va tous – nous les humains – nous renvoyer aux oubliettes de l’évolution (les dinosaures ont bien fini par disparaître et même l’empire romain s’est écroulé, alors…). On est tous fichu, la seule question est de savoir si ce sera avant la prochaine Coupe du monde de foot ou après.  Lire la suite ...

La guerre des intelligences, selon le Dr Alexandre

Cédric Cartau , le mar. 04 septembre 2018 : Je ne m’en cache pas, je suis un fan des ouvrages du Dr Laurent Alexandre (comment donc, vous n’avez encore pas lu La Mort de la mort ?) ; j’ai donc mis à profit l’été pour lire son dernier ouvrage : La Guerre des intelligences. Et j’ai adoré.Lire la suite ...

Orages de vulnérabilités pour des inondations d’informations

Charles Blanc-Rolin, le mar. 28 août 2018 : Les données de santé de 2 millions de patients mexicains exposés sur InternetLire la suite ...

Def Con 2018 : le chercheur Douglas McKee récupère et modifie les constantes vitales d’un patient

Charles Blanc-Rolin, le mar. 21 août 2018 : La Def Con figure parmi les conférences les plus incontournables dans le domaine de la sécurité numérique. Pour sa 26ème édition à Las Vegas qui s’est déroulée du 9 au 12 août, la sécurité des dispositifs médicaux faisaient partie, une fois encore des sujets phares de l’évènement.  Lire la suite ...

Phishing, rançongiciel, fuite de données, DDoS : ça chauffe aussi sous le soleil cyber

Charles Blanc-Rolin, le lun. 13 août 2018 : Depuis le début du mois, nous observons dans les établissements de santé français deux importantes campagnes de courriels malveillants.Lire la suite ...

Les archives, meilleurs amis du RSSI ?

Cédric Cartau , le lun. 30 juillet 2018 : Pour le dernier article de cette première moitié d’année, j’ai décidé de revenir sur la question du rattachement hiérarchique et fonctionnel du RSSI : après tout, tant qu’à commenter des idées stupides, autant qu’elles viennent directement de moi. En l’occurrence, je me suis interrogé sur la question de savoir s’il était opportun ou pas de rattacher le RSSI au service des archives.Lire la suite ...

Externalisation des SI : le GHT comme argument fallacieux

Cédric Cartau , le jeu. 26 juillet 2018 : Dans un article récent de Tic Santé (1) qui relate la position Syntec numérique concernant l’externalisation, le lecteur pourra prendre connaissance d’un argumentaire éculé qui relève plus de la discussion de comptoir que d’une réelle connaissance du secteur et de ce que recouvrent les concepts d’externalisation.    Lire la suite ...

Singapour : l’infection d’un ordinateur permet le vol des données d’1,5 million de patients

Charles Blanc-Rolin, le mar. 24 juillet 2018 : Dans un communiqué publié vendredi [1], le Ministère de la santé de Singapour a révélé une fuite de données massive au sein du groupement d’établissements de santé publics / privés SingHealth qui a permis l’exfiltration de données à caractère personnel d’1,5 million de patients, soit le quart de la population du pays !Lire la suite ...