Vous êtes dans : Accueil > Actualités >

TRIBUNES LIBRES

En direct du 6ème Congrès National de l'APSSIS, la certification HDS dans la stratosphère de la complexité

Cédric Cartau , le mar. 03 avril 2018 : Ceux qui n’avaient pas d’avis sur la nécessité – ou non – d’un établissement support de GHT à disposer de la certification HDS dans le cadre de la convergence du DPI de GHT et qui ont assisté à cette présentation de l’ASINHPA sont soit morts d’apoplexie, soit se sont enfuis ventre à terre devant la complexité du schmurtz.Lire la suite ...

En direct du 6ème Congrès National de l'APSSIS, le cas du SIH de l’Estonie

Cédric Cartau , le mar. 03 avril 2018 : Présentation extrêmement intéressante du SI de santé de l’Estonie, qui a été pensé pour et autour d’un SI de santé, et non pas comme chez nous un SI qui été construit autour d’une organisation existante, ou plutôt d’une mosaïque d’organisations.Lire la suite ...

RGPD, ambiance de veillée d’armes

Cédric Cartau, le mar. 03 avril 2018 : Il est un débat, au sein des DSI des établissements de santé – publics ou privés – qui consiste à savoir où seront stockées les données des patients dans 10, 20, 30 ans. Les RSSI et les CIL/DPO sont évidemment furieusement actifs dans ce débat. En gros, deux conceptions s’affrontent.Lire la suite ...

RGPD : et pour les éditeurs de logiciels, quel impact ? Rendez-vous au Congrès APSSIS 2018

Enovacom, le mar. 03 avril 2018 : Enovacom vous donne rendez-vous pour une conférence le 3 avril à 17 h 30 au congrès de l’APSSIS où seront abordés les enjeux issus des dernières réglementations : RGPD, chiffrements, certifications…Lire la suite ...

GHT : stratégie de convergence SSI, partie III bis

Cédric Cartau, le mar. 03 avril 2018 : Dans un précédent article(1), nous traitions des stratégies de convergence SSI au sein d’un GHT s’appuyant sur le triptyque audit/appréciation des risques/suivi des actions et, en premier lieu, de l’audit, en décrivant un outil très simple (PingCastle) qui permet d’évaluer le niveau de protection de l’AD. Dans un second volet(2), nous avons développé plus particulièrement les audits de la protection périmétrique, avant de fournir(3) une liste, pour réflexion, d’indicateurs à mettre en place.  Lire la suite ...

Cyber-attaques en milieu hospitalier : un phénomène à prendre au sérieux

Orange Cyberdefense et Orange Healthcare, le mar. 03 avril 2018 : Les incidents liés à la sécurité des systèmes d’information se multiplient de plus en plus dans le monde. La France serait entrée en 2015 dans le top 10 des pays les plus touchés par le piratage informatique. Selon le dernier rapport Norton sur la cybercriminalité, plus de 19 millions de personnes (42% de internautes) ont été victimes d’actes de piratage en France en 2017. Le cout total de cette cyber criminalité s’élève à 6,1 milliards d’euros en 2017, soit trois fois plus qu’en 2016.Lire la suite ...

GHT : stratégie de convergence SSI, partie III

Cédric Cartau, le mar. 27 mars 2018 : Dans un précédent article(1), nous traitions des stratégies de convergence SSI au sein d’un GHT s’appuyant sur le triptyque audit/appréciation des risques/suivi des actions et, en premier lieu, de l’audit en décrivant un outil très simple (PingCastle) qui permet d’évaluer le niveau de protection de l’AD. Dans un second volet(2), nous avons développé plus particulièrement les audits de la protection périmétrique.  Lire la suite ...

Zenis : le rançongiciel chiffrant qui s’attaque aux sauvegardes

Charles Blanc-Rolin, le mar. 27 mars 2018 : Non le rançongiciel n’est pas mort, et il est encore capable de nous surprendre. Vous vous souvenez peut-être du cryptovirus (ou rançongiciel chiffrant) Cerber [1], qui, à l’automne 2016 « innovait » dans le domaine, en s’attaquant aux bases de données. Zenis, est un rançongiciel chiffrant qui pousse le vice un peu plus loin, en s’attaquant aux fichiers de sauvegardes.Lire la suite ...

GHT : stratégie de convergence SSI, partie II

Cédric Cartau, le mar. 20 mars 2018 : Dans un précédent article(1), nous traitions des stratégies de convergence SSI au sein d’un GHT s’appuyant sur le triptyque audit/appréciation des risques/suivi des actions et, en premier lieu, de l’audit, en décrivant un outil très simple (PingCastle) qui permet d’évaluer le niveau de protection de l’AD.  Lire la suite ...

GE Healthcare « patche » 20 dispositifs médicaux

Charles Blanc-Rolin, le lun. 19 mars 2018 : Le constructeur GE Healthcare annonce la mise à disposition d’importants correctifs de sécurité pour 20 dispositifs d’imagerie médicale sur 23 identifiés comme vulnérables, à la suite des travaux réalisés par le chercheur en sécurité Scott Erven. Cet expert en sécurité depuis près de 20 ans travaille depuis 2010 dans le domaine de la sécurité appliquée au monde de la santé et, ces dernières années, dans la recherche sur les dispositifs médicaux.Lire la suite ...

GHT : stratégie de convergence SSI, partie I

Cédric Cartau, le mar. 13 mars 2018 : La loi de santé 2016 impose, au sein d’un GHT, une convergence des SI. Après moult discussions, la notion de convergence est entendue par les pouvoirs publics comme un logiciel unique (le même) pour couvrir un besoin fonctionnel. OK OK, on peut ergoter sur ce qu’est un logiciel et jouer sur les mots entre modules, logiciels, progiciels ou que sais-je, mais la direction semble claire.Lire la suite ...

RGPD et HDS : quelles compatibilités ?

Orange Healthcare, le lun. 12 mars 2018 : Les données de santé à caractère personnel vont bénéficier d’un nouveau cadre de protection avec le règlement général sur la protection des données, le RGPD, qui entre en vigueur le 25 mai 2018 et les nouvelles procédures de certification des hébergeurs de données de santé, applicables au plus tard le 1er janvier 2019. Deux éléments qui doivent contribuer à bâtir un écosystème de confiance autour de la santé numérique. Sont-ils pour autant compatibles ?Lire la suite ...

Convergence des GHT, état des lieux

Cédric Cartau, le mar. 06 mars 2018 : Relaté par Ticsanté(1), l’Asip Santé publie un état des lieux sur l’avancement de la convergence au sein des GHT.  Lire la suite ...

Explosion du nombre et de la criticité des vulnérabilités

Charles Blanc-Rolin, le mar. 06 mars 2018 : Selon les chiffres publiés sur le site CVE Details [1], le nombre de vulnérabilités enregistrées par MITRE [2] dans son célèbre référentiel CVE [3] en 2017 atteint un nombre record de 14 712 vulnérabilités face à 6 447 en 2016, soit une augmentation de près de 130 % !Lire la suite ...

Intelligence Artificielle : Que faut-il croire ?

Thierry Dumoulin, le lun. 05 mars 2018 : Entre le mythe de Frankenstein et la pression consumériste du marketing il est difficile d’avoir une idée claire de la réalité de cette technologie qu’on nous présente tantôt comme merveilleuse et tantôt comme terrifiante.Lire la suite ...

La CNAMTS mise en demeure par la CNIL pour le SNDS

Cédric Cartau, le mar. 27 février 2018 : En juin dernier, suite à une présentation du SNDS (Système National des Données de Santé) par la DREES à tout un parterre de responsables SSI de divers organismes (collectivités territoriales, CHU, administrations centralisées, etc.) certains RSSI exprimaient leur étonnement devant le manque de sécurité dans l’accès aux données du SNDS.Lire la suite ...

DPI de GHT : habilitations et contrôles, partie IV

Cédric Cartau, le mar. 27 février 2018 : Dans une première partie(1), nous avons examiné les deux grandes familles de politique d’habilitation dans les accès à un DPI d’établissement de santé. Nous en avons conclu que la seule méthode viable à terme au sein d’un GHT était celle du contrôle a posteriori. Dans une deuxième partie(2), nous avons décrit les trois conditions pour aller vers ce mode de gestion : concertation entre les CME, systèmes homogènes de sanctions au sein de tous les établissements du GHT et généralisation de l’analyse des traces d’accès. Dans une troisième partie(3), nous avons décrit les grands principes du système de contrôle d’accès aux données patients. Intéressons-nous maintenant à la question des accès aux données des administrateurs qui, à une époque pas si lointaine, faisait pas mal fantasmer dans les chaumières (j’ai connu des diplodocus qui refusaient de saisir des données dans un logiciel métier au prétexte que le DBA(4) y avait accès en direct en saisissant des requêtes SQL).  Lire la suite ...

RGPD : la CNIL nous aide dans nos analyses d’impact

Charles Blanc-Rolin, le mar. 27 février 2018 : Alors que nous sommes passés sous la barre des 90 jours avant l’entrée en application du RGPD [1], le fameux Règlement général européen sur la protection des données à caractère personnel, également connu sous l’acronyme anglais GDPR (general data protection regulation), pour lequel, de nombreux « vendeurs à la sauvette » proposent, grigris, amulettes ou encore élixirs permettant une miraculeuse mise en conformité immédiate avec le fameux règlement.Lire la suite ...

DPI de GHT : habilitations et contrôles, partie III

Cédric Cartau, le mar. 20 février 2018 : Dans une première partie(1), nous avons examiné les deux grandes familles de politique d’habilitation dans les accès à un DPI d’établissement de santé. Nous en avons conclu que la seule méthode viable à terme au sein d’un GHT était celle du contrôle a posteriori. Dans une deuxième partie(2), nous avons décrit les trois conditions pour s’acheminer vers ce mode de gestion : concertation entre les CME, systèmes homogènes de sanctions au sein de tous les établissements du GHT et généralisation de l’analyse des traces d’accès.  Lire la suite ...

Nos sites web dans la lunette des assaillants

Charles Blanc-Rolin, le mar. 20 février 2018 : Diffusion de logiciels malveillants, hébergement de pages de phishing, vols d’informations, porte d’entrée dans le système d’information, minage de cryptomonnaies(1)… Les raisons de s’en prendre à nos sites Web ne manquent pas, ainsi que les conséquences désastreuses qui en découlent : atteinte à l’image de l’établissement, perte de confiance de la part des patients, intrusion dans le système d’information, intégrité, disponibilité et confidentialité des données de santé mises à mal, et dans le pire des cas, risques pour la vie des patients. La sécurité de nos sites web n’est donc pas à prendre à la légère.Lire la suite ...

DPI de GHT : habilitations et contrôles, partie II

Cédric Cartau, le mar. 13 février 2018 : Dans une première partie(1), nous avons examiné les deux grandes familles de politique d’habilitation dans les accès à un DPI d’établissement de santé. Nous en avons conclu que, dès lors que l’établissement affichait une taille conséquente, avec des métiers de santé transversaux multiples et des accès 24/365, la seule méthode viable à terme était celle du contrôle « a posteriori » : tout est accessible au corps médical et au corps soignant, avec pour corollaire des accès systématiquement tracés, les traces minutieusement analysées et les abus nécessairement sanctionnés.    Lire la suite ...

Le secteur de la santé représenté lors de la première édition des Scadays

Charles Blanc-Rolin, le mar. 13 février 2018 : Organisée par le CyberCercle (1), sous l’impulsion de sa directrice, Bénédicte Pilliet, la première édition des Scadays s’est déroulée le 8 février dernier, dans un lieu d’exception, l’hôtel de ville de Lyon.Lire la suite ...

Les beaux jours de l’aide à la décision et de l’IA en radiologie. Pourquoi pas d’autres disciplines médicales ?

Marius Fieschi, le mar. 06 février 2018 : Les promesses et les annonces concernant les résultats des méthodes d’intelligence artificielle et l’aide à la décision en imagerie conduisent à s’interroger : pourquoi la radiologie ? Qu’est-ce qui la distingue d’autres disciplines cliniques pour lesquelles les prospectivistes ne disent rien ou sont plus réservés ? S’agit-il des caractéristiques de la discipline, des méthodes du deep learning qui seraient particulièrement bien adaptées à ce type de données, de la disponibilité des données massives, des types de décisions ou des conditions d’exercice en imagerie ?Lire la suite ...

DPI de GHT : habilitations et contrôles, partie I

Cédric Cartau, le mar. 06 février 2018 : La question de la politique d’habilitation des accès à un DPI d’établissement a fait couler beaucoup d’encre, dès que les premiers plans nationaux d’informatisation ont démarré au milieu des années 2000 : plan Hôpital 2007, puis 2011, etc. Tant que chaque service d’un hôpital était informatisé par un progiciel vertical de spécialité, la question ne se posait pas : dès lors que les DPI transversaux ont déboulé, il a bien fallu réfléchir à une politique générale, et pas seulement à l’accès des cardiologues aux dossiers des patients hospitalisés en cardiologie. Il y a, globalement, deux façons de répondre à ce besoin.Lire la suite ...

Après les crypto ransomwares, place aux crypto miners

Charles Blanc-Rolin, le mar. 06 février 2018 : Les rançongiciels chiffrant, sont déjà depuis plusieurs années dans le spectre des équipes SI et SSI. En effet, quel établissement de santé peut se vanter de ne pas avoir eu à faire, ne serait-ce qu’une fois à l’une de ces attaques lors des cinq dernières années. L’infection de 81 hôpitaux britanniques par le ransomware Wannacry en mai 2017, en est sûrement l’exemple le plus marquant(1).Lire la suite ...

Le RGPD et l’IA

Cédric Cartau, le mar. 30 janvier 2018 : Dans un article récent(1), le Dr Laurent Alexandre s’interroge sur le frein que peuvent représenter les réglementations européennes dans la course mondiale de l’économie des data. Ce n’est pas la première fois qu’il développe ce thème, puisqu’on le trouve déjà dans son ouvrage La Mort de la mort(2) concernant la génétique.  Lire la suite ...

Notre confiance dans le « chiffrement » remise en question

Charles Blanc-Rolin, le mar. 30 janvier 2018 : La sécurité, dans le secteur du numérique, ou plutôt, le sentiment de sécurité que nous pouvons ressentir, repose avant tout sur la confiance que nous accordons aux différentes technologies que nous utilisons. Le matériel, tout d’abord, et les récentes vulnérabilités Meltdown et Spectre(1), nous prouvent encore une fois, qu’il s’agit d’un paramètre non négligeable, puis les systèmes d’exploitation, fonctionnant en mode « boîte noir », pour une majorité des serveurs, terminaux et autres dispositifs médicaux équipant nos établissements de santé, pour finir avec les applicatifs, qui là encore, ne présentent que rarement le code « qu’ils ont dans le ventre ».Lire la suite ...

Inondations : Les données aussi

Thierry Dumoulin, le lun. 29 janvier 2018 : Il n’y a pas que les fleuves et les rivières qui débordent en ces temps diluviens. Nos espaces disques aussi peinent à contenir la pluie ininterrompue des données numériques.Lire la suite ...

Le RGPD et l’autoréflexivité des SI

Cédric Cartau, le mar. 23 janvier 2018 : Ce qui frappe quand on étudie l’histoire des idées dans une discipline telle que les mathématiques, c’est ce qui s’est passé tout au début du xxe siècle. Pendant plus de deux millénaires, les matheux ont étudié des objets (la géométrie, les nombres, les équations) en essayant d’en dégager des lois, des théorèmes ou des propriétés. Au xxe siècle, une frange des mathématiciens (les logiciens) s’est mise à étudier comme objet… les mathématiques elles-mêmes, et a prouvé des théorèmes étonnants, comme les champs qu’il serait à jamais impossible d’investiguer(1).    Lire la suite ...

La santé : secteur privilégié des mercenaires du clavier ?

Charles Blanc-Rolin, le mar. 23 janvier 2018 : Cette nouvelle année semble, comme la précédente, bien commencer.Demandes de rançon, fuites de données, ventes de données, menaces pour la vie des patients, les exemples d’incidents ne manquent pas, en particulier outre-Atlantique, mais aussi en Europe [1].Selon le rapport de l’éditeur de solutions de sécurité Vectra, le secteur de la santé a été le plus attaqué au premier trimestre 2017 [2].Lire la suite ...

Meltdown et Spectre à fond

Cédric Cartau, le mar. 16 janvier 2018 : On commence l’année à fond à fond à fond. Meltdown et Spectre ont alimenté la presse spécialisée toute la semaine – et ce n’est certainement pas terminé. Voir à ce sujet l’excellent podcast du Comptoir Sécu(1), qui propose une synthèse de très bon niveau, et que l’on peut le résumer de la sorte.  Lire la suite ...

Faille processeurs Intel, AMD et ARM pas seulement une question de sécurité

Thierry Dumoulin, le lun. 15 janvier 2018 : Le bug de protection mémoire révélé la semaine dernière a mis immédiatement en alerte tous les RSSI de la planète. Cependant, l’impact de cette faille dépasse le champ de la sécurité et est de nature à entamer profondément la confiance dans le numérique.Lire la suite ...

En quoi WPA3 va renforcer la sécurité de nos réseaux Wifi ?

Charles Blanc-Rolin, le jeu. 11 janvier 2018 : À l’occasion du CES de Las Vegas, le salon international de l’innovation dans le domaine du numérique et des nouvelles technologies, qui se déroule cette semaine, la Wi-Fi Alliance® a annoncé l’arrivée de la norme WPA3, implémentée dès cette année, elle viendra remplacer WPA2 (1).Lire la suite ...

Digital ou numérique, la fin d’une polémique ?

Thierry Dumoulin, le lun. 08 janvier 2018 : Le GCS UniHA vient de renommer sa filière NTIC en filière Santé digitale et numérique. Cette initiative est de nature à réconcilier les tenants du parler vrai et ceux du parler bien.Lire la suite ...

Dysfonctionnement d’un logiciel : l’important, c’est la preuve (suite)

Par Me Omar Yahia, le lun. 08 janvier 2018 : Il était une fois un GCS e-santé ayant conclu, avec une société de conseil, un marché portant sur des prestations de maîtrise d’oeuvre d'intégration et de maintenance du socle du système d'information santé régional "comprenant les composants d'un portail base sur un framework, un ou des annuaires sécurisés, un système d'authentification et d'identification unique pour l'ensemble des modules et des applications accessibles depuis le portail ENRS".Lire la suite ...

Y a du sport au village des RSSI

Cédric Cartau, le lun. 08 janvier 2018 : Là tout de même, j’avoue que de mémoire de Cédric on n’avait pas connu un tel début d’année, un vrai feu d’artifice. Je vous laisse juge.Lire la suite ...

Meltdown & Spectre : l’Armageddon numérique ?

Charles Blanc-Rolin, le ven. 05 janvier 2018 : Paco Rabanne et Nostradamus ne l’avaient pas vu arriver celle là !  Lire la suite ...

2018 : L’aube d’une nouvelle ère pour le réseau Internet ?

Charles Blanc-Rolin, le mar. 02 janvier 2018 : Pour commencer cette nouvelle année, je vous propose de sortir des petits sentiers que sont nos SIH pour aller faire un tour sur l’autoroute Internet, sujet qui nous concerne tous, puisque que nous empruntons tous quotidiennement un « échangeur » pour rejoindre cette voie à grande vitesse.Lire la suite ...

C’est le jour des bonnes résolutions

Cédric Cartau, le mar. 02 janvier 2018 : Traditionnellement, le premier article de l’année est dédié à la fois au bilan de l’année passée et aux bonnes résolutions de l’année à venir.Lire la suite ...

Externaliser le SI ? Oui mais pourquoi faire ?

Cédric Cartau, le mar. 26 décembre 2017 : Dans un récent article, le magazine ticsante relate une étude(1), menée avec l’APM, et selon laquelle pas loin de la moitié (selon la façon dont on interprète les résultats) des établissements de santé comptent externaliser l’hébergement des données. Avec un petit bémol : ils sont plus nombreux dans les non-CHU (55%) que dans les CHU (moins de 35%).  Lire la suite ...

Le Machine Learning, nouvel accompagnant dans le suivi de patients souffrant de pathologies chroniques

Orange Healthcare, le jeu. 21 décembre 2017 : Orange Healthcare et la division Innovation, Marketing et Technologies (IMT) d’Orange ont démontré que les poussées de rhumatismes inflammatoires (Polyarthrite Rhumatoïde et Spondylarthrite) peuvent être détectées grâce aux data générées par un tracker d’activité couplé à la technologie de Machine Learning d’Orange Khiops©. Lire la suite ...

Lettre au père Noël d’un RSSI

Cédric Cartau, le jeu. 21 décembre 2017 : Cher père Noël,Lire la suite ...

3ème Colloque SSI Santé du ministère (Partie 3)

Charles Blanc-Rolin, le mar. 19 décembre 2017 : Succédant à la sensibilisation(1) et au RGPD(2), le troisième thème abordé lors de ce colloque SSI co-organisé par la DGOS, la DSSIS, le service du HFDS et l’ASIP Santé, fut la mise en œuvre des démarches nationales de prévention des incidents SSI.  Lire la suite ...

L’appréciation des risques façon Armageddon

Cédric Cartau, le mar. 19 décembre 2017 : Prenez deux RSSI, branchez-les sur la question de la méthode de l’appréciation des risques, et il y a de fortes chances que le lendemain à la même heure ils soient encore en train de s’écharper sur la question de savoir quelle est la meilleure. Petit historique.Lire la suite ...

Les GHT, fusion ou fédération ?

Cédric Cartau, le mar. 12 décembre 2017 : Je ne sais pas pour vous, mais en ce qui me concerne ce sujet me titille, une sorte de vélo lancinant qui me trotte entre les deux oreilles et qui refuse de s’arrêter, avec son pédalier qui couine et sa sonnette qui fait dring dring à chaque passage. Car enfin, quelle est la cible du modèle GHT ? Et question bonus, quelqu’un a-t-il une fichtre réponse à cette fichtre question ?Lire la suite ...

RGPD, et alors ? Une synthèse positive et non alarmiste à l’usage des établissements de santé

Vincent Trély, le mar. 12 décembre 2017 : Depuis quelques mois, le sujet « RGPD » sature la bande passante des canaux d’information des DSI et des RSSI de santé. Son application en mai 2018 (c’est bientôt), ses 99 articles et 173 considérants (c’est épais), les montants des amendes pour non-conformité (élevés) et l’ampleur du travail estimé (important) font partie des sources d’angoisse générées.Lire la suite ...

3e Colloque SSI Santé du ministère (partie 2)

Charles Blanc-Rolin, le mar. 12 décembre 2017 : Après la sensibilisation à la SSI évoquée dans une première partie(1), le second thème abordé lors de ce congrès fut le RGPD (2), qui entrera en application le 25 mai 2018 et pour lequel la mobilisation de chacun s’amplifie de jour en jour.Lire la suite ...

Certification des LAP : on efface tout et on recommence ?!

Par Me Omar Yahia, le lun. 11 décembre 2017 : On nous aurait menti ?! C’est un véritable séisme qui secoue le milieu des éditeurs des logiciels d’aide à la prescription.Lire la suite ...

Le Palais idéal du Facteur Cheval…

Michaël De Block , le lun. 11 décembre 2017 : Certains d’entre vous ont peut-être déjà eu l’occasion de visiter cet édifice incroyable, situé à Hauterives dans la Drôme : le Palais idéal de Ferdinand Cheval (1). Inclassable et mélangeant des thématiques aussi variées qu’improbables (église gothique, manoir féodal, temple hindou, mosquée, etc.), il est l’œuvre d’une vie et défie encore aujourd’hui les lois de la construction, au point que les experts continuent de s’interroger sur la manière dont certaines pièces ont été assemblées pour réussir à tenir ainsi…Lire la suite ...

Certification hébergement données de santé : un nouveau modèle pour les infogéreurs

Par Christophe Jodry, Claranet e-Santé, le ven. 08 décembre 2017 : En 2018, le processus d’agrément des hébergeurs de données de santé va évoluer vers une certification basée sur les normes ISO. Ce passage d’un agrément basé sur un dossier déclaratif, à une certification basée sur un audit sur site, va bouleverser la manière de travailler d’un certain nombre d’HADS (Hébergeurs Agréés de Données de Santé). Une partie d’entre eux vont voir leur métier modifié au-delà de ce changement de procédure.Lire la suite ...