TRIBUNES LIBRES

Contrôle à distance : encore une raison de fuir TeamViewer

18 février 2020 | Charles Blanc-Rolin | Tribune

Le logiciel de contrôle à distance TeamViewer est très populaire de par sa simplicité d’utilisation. S’il peut s’avérer pratique pour dépanner l’ordinateur de tatie Micheline qui habite à l’autre bout la France, le voir apparaître dans le système d’information de son établissement n’a pas de quoi réjouir un RSSI.

Tour de France e-santé terminé : les planètes sont enfin alignées

11 février 2020 | Charles Blanc-Rolin | Tribune

La dernière étape du tour de France e-santé s’est déroulée à Lyon, jeudi 6 février. Rythmée par l’enthousiasme débordant de Dominique Pon, cette journée pourrait se résumer par son bilan du tour de France : « après quinze ans de galère, je me dis qu’on va arriver à construire le numérique en santé, les planètes semblent enfin alignées ».

Quand le RSSI se mêle des RH

11 février 2020 | Cédric Cartau | Tribune

Déjà qu’un RSSI bien calibré a une fâcheuse tendance à se mêler de tout et de n’importe quoi – les RSSI, ça ose tout, c’est même à cela qu’on les reconnaît –, si en plus il met son nez dans la gestion des ressources humaines, où va-t-on je vous le demande ? Cthulhu et Belzébuth se seraient-ils concertés pour introduire un peu plus d’entropie dans les organisations (autrement appelée « foutoir » dans les milieux autorisés) ? En fait, la question et la préoccupation sont tout à fait légitimes, comme nous allons le voir.

La Haute Autorité de Santé présente un plan d’action pour l’innovation thérapeutique

04 février 2020 | Me Noémie Mandin-Lafond | Tribune

Durant ces deux dernières décennies, 2 000 essais cliniques ont été réalisés dans le domaine des thérapies géniques et cellulaires, et plus de 20 nouvelles thérapies devraient arriver sur le marché en 2020-2021, bénéficiant d’autorisations de mise sur le marché très précoces, principalement en oncologie, hématologie, neurologie et ophtalmologie.

Le secteur de la santé : champion de France des victimes de rançongiciels

04 février 2020 | Charles Blanc-Rolin | Tribune

C’est une timbale dont nous nous serions bien passés, celle du secteur le plus impacté par les rançongiciels en 2019. Même si les chiffres ne sont peut-être pas très exhaustifs, le fait de monter sur la première marche du podium pour le nombre d’incidents par secteur, traités par l’Anssi, révèle malgré tout, une certaine faiblesse. Il s’avère aussi que, contrairement à d’autres secteurs, nous sommes dans l’obligation de déclarer nos incidents depuis un peu plus de deux ans maintenant.

Les « grippolockers »

04 février 2020 | Cédric Cartau | Tribune

Un très bon ami s’interrogeait récemment sur la question de savoir pourquoi diable l’industrie IT ne réglait pas, une bonne fois pour toutes, cette cochonnerie que sont les cryptolockers. Après tout, pourquoi ne met-on pas dans une pièce les dix meilleurs spécialistes mondiaux de la question, avec ce qu’il faut de stock de bières, de sandwiches et de tabac qui fait rire, avec pour mission de nous plier le sujet en six mois ? À mon humble avis, personne n’a encore trouvé la parade et personne ne la trouvera jamais, pour une raison simple : il n’y en a pas. Tout du moins sur le long terme. Voici pourquoi.  

Vulnérabilités, attaques, fuites de données, on na va décidément pas s’ennuyer cette année !

28 janvier 2020 | Charles Blanc-Rolin | Tribune

Je vous le disais la semaine dernière, je pense vraiment que nous n’allons pas nous ennuyer en 2020 ! Je ne sais pas si ce sont les résolutions de la nouvelle année ou si les chercheurs sentent la neige arriver, mais il y a une véritable émulation de leur côté en ce mois de janvier.

La transformation du monde de la santé passe par la maîtrise des données, leur protection et le recours aux acteurs de l’IT

27 janvier 2020 | Patrick Rohrbasser, Veeam | Tribune

Depuis 2016, le monde de la santé est entré dans une phase de mutation, avec la mise en place d’une nouvelle territorialisation qui se concrétise par la création des 136 Groupements hospitaliers de territoire (GHT), rassemblant les 898 établissements qui existaient auparavant. La réussite de cette réorganisation repose avant tout sur la collaboration et le travail en réseau des différents établissements publics de santé. Cette réorganisation permet à chaque région de disposer de son propre GHT, ainsi l’ensemble des acteurs du secteur peut soigner les patients de manière plus effective et ce à moindre coût. L’hôpital étant au centre du système de soins pour bon nombre de patients, cette centralisation du système cristallise de nombreuses attentes. 

La fin des mots de passe prévue aux environ de la saint-glinglin

27 janvier 2020 | Cédric Cartau | Tribune

Il y a un thème que j’adore voir dans les publications, white papers et press marketing en tout genre, c’est celui de la disparition prochaine, annoncée et inéluctable des mots de passe. Je me demande si les gugusses qui écrivent ces bouts de papier croient vraiment à ce qu’ils racontent, ou si c’est juste qu’on les paye pour les rédiger, à défaut de leur faire faire autre chose.

Cybersécurité : 2020 démarre sur les chapeaux de roues !

21 janvier 2020 | Charles Blanc-Rolin | Tribune

Je ne sais pas encore à quelle vitesse va nous propulser l’année 2020 jusqu’au 24 heures du Mans de l’APSSIS [1], mais l’on peut dire que l’année démarre en trombe !  

Quelques idées en vrac pour les RSSI désœuvrés

21 janvier 2020 | Cédric Cartau | Tribune

En général, que l’on soit RSSI technique (ce qui devrait d’ailleurs plutôt s’appeler CSSI) ou métier (que l’on devrait d’ailleurs plutôt appeler « Officier Sécurité SI » ou « Gestionnaire de risque SI »), on passe une bonne partie de son temps en projets divers et variés, à dépenser de l’argent que l’on n’a pas pour sécuriser des processus métiers qui existaient bien avant que l’on naisse, pour des MOA qui parfois ne savent pas qui on est. Bref, la routine.

50 nuances de RSSI : partageons pour avancer

14 janvier 2020 | Charles Blanc-Rolin | Tribune

La fonction de RSSI peut être occupée par des personnes aux profils très différents, et c’est sûrement encore plus le cas dans le secteur de la santé, tout particulièrement pour les établissements publics. Entre l’ingénieur qualité de formation qui ne sait pas ce qu’est un annuaire Active Directory et l’administrateur système qui limite son appréciation des risques au périmètre de son infrastructure technique, il y existe un « Pantone » de RSSI. Nous pourrions débattre pendant des jours entiers des qualités nécessaires pour être un bon gestionnaire de risques, mais ce n’est pas le sujet de cet article.

Interrogations existentielles d’un RSSI en Cyberland

14 janvier 2020 | Cédric Cartau | Tribune

D’habitude, ceux qui subissent mes divagations hebdomadaires savent que je passe une bonne partie de mon temps à exprimer des avis totalement péremptoires (qu’il ne faut pas écouter), à donner des conseils plus que discutables (qu’il ne faut pas suivre) et à critiquer mon prochain (qu’il faut plaindre). Bref, tous les défauts que, personnellement, je déteste chez les autres. Peut-être d’ailleurs aurais-je dû prendre des résolutions en ce sens pour 2020 ; trop tard, on verra en 2021.

Création du Comité pilote d’éthique du numérique

07 janvier 2020 | Me Noémie Mandin-Lafond | Tribune

Le 2 décembre 2019, le Comité consultatif national d’éthique pour les sciences de la vie et de la santé (CCNE) a constitué le Comité pilote d’éthique du numérique, dont l’objectif est « à la fois de remettre des premières contributions sur l’éthique du numérique et de l’intelligence artificielle et de déterminer les équilibres pertinents pour l’organisation du débat sur l’éthique des sciences et technologies du numérique et de l’intelligence artificielle ».

Les bonnes résolutions pour 2020 en 10 commandements

07 janvier 2020 | Charles Blanc-Rolin | Tribune

Vous n’échapperez pas à la tradition, on ne commence pas une nouvelle année sans prendre de bonnes résolutions. Les fêtes de fin d’année sont passées et il temps de se remettre au travail. Je vous propose donc 10 commandements pour bien démarrer l’année 2020 !

C’est le jour des bonnes résolutions

06 janvier 2020 | Cédric Cartau | Tribune

Traditionnellement, le premier article de l’année est dédié à la fois au bilan des 12 mois écoulés et aux bonnes résolutions de l’année à venir.

Bilan 2019

31 décembre 2019 | Cédric Cartau | Tribune

Crise de foie est synonyme de bilan de l’année, nous n’allons donc pas déroger à la tradition. Et ce fut une année riche, très riche.

Ma lettre au Père Noël

24 décembre 2019 | Cédric Cartau | Tribune

     

Quoi de neuf dans la cyber à l’approche de l’hiver ?

18 décembre 2019 | Charles Blanc-Rolin | Tribune

L’hiver approche à grands pas, et pourtant certaines espèces qui passent le plus clair de leur temps à l’intérieur ne sont pas près d’hiberner. RSSI, DPO, RSI, DSI, administrateurs systèmes et tout autre membre de l’équipe IT auront bien autre chose à faire que regarder tomber la neige. Et s’il y avait un calendrier de l’Avent des vulnérabilités, avec 15 000 CVE annuelles référencées sur les trois dernières années en moyenne, il n’y aurait pas de quoi s’ennuyer.

Ce que le DPO n’est pas (suite)

17 décembre 2019 | Cédric Cartau | Tribune

Il n’était pas prévu de créer un second volet, mais à la suite du grand nombre de remarques et de commentaires (notamment de Boris Motylewski, créateur entre autres de www.cybersecu.fr) qu’a suscités le premier article (1) , il semble important d’apporter quelques précisions.

Ce que le DPO n’est pas

10 décembre 2019 | Cédric Cartau | Tribune

Il arrive assez régulièrement que des confrères DPO me contactent pour me signaler certaines de leurs difficultés dans l’exercice de leur mission. Elles tournent régulièrement autour du même sujet : leur responsable de traitement (RT) refuse de mettre en œuvre les préconisations de sécurité dudit DPO, entendre par là les mesures destinées à réduire les risques identifiés. Le confrère en question me demande alors comment contraindre le RT à appliquer les mesures préconisées. Il me semble qu’il y a là une erreur de positionnement, qui vaut bien un billet.

Télémédecine : l’Asip Santé publie un état des lieux et des besoins !

03 décembre 2019 | Me Noémie Mandin-Lafond | Tribune

Le 13 novembre 2019, l’Agence des systèmes d’information partagés de santé (Asip Santé) a publié, sur son site internet, un état des lieux de l’offre de service de télémédecine et des besoins pour développer cette pratique en France.

Vous prendrez bien un peu de données personnelles ?

02 décembre 2019 | Cédric Cartau | Tribune

Un article, relayé largement sur LinkedIn[1] en fin de semaine, a attiré mon attention. Deux chercheurs de l’Université catholique de Louvain (Luc Rocher et Julien Hendrickx) se sont posé la question de savoir si des données anonymisées pouvaient tout de même être réidentifiées. On subodorait déjà que la réponse était oui : on en a maintenant la preuve. Explications.  

Un budget en R&D apparemment supérieur pour les attaquants que chez les éditeurs de logiciels : difficile pour nous de lutter

27 novembre 2019 | Charles Blanc-Rolin | Tribune

En regardant les innovations techniques apportées aux logiciels malveillants, je me dis deux choses. Tout d’abord que les attaquants ne sont pas en manque d’inspiration lorsqu’il s’agit de malmener nos pauvres systèmes d’information. Ensuite qu’ils doivent attribuer beaucoup plus de budget au département recherche et développement que les éditeurs de logiciels « bienveillants », en particulier ceux du secteur de la santé.

Sécuriser son AD, une mission presque divine

26 novembre 2019 | Cédric Cartau | Tribune

Le CHU de Rouen a subit l’attaque informatique que l’on sait, et bon nombre d’entre nous sommes en train de colmater autant de brèches que l’on peut avant que cela soit notre tour. Mais par quel bout commencer ? L’AD bien entendu, ce n’est rien de moins que le composant le plus sensible du SI (et paradoxalement celui qui est souvent dans le pire état en termes de SSI). Mais comment aborder cette sécurisation, par quelles mesures ?

Carte Vitale biométrique : une arme contre la fraude sociale ?

26 novembre 2019 | Me Noémie Mandin-Lafond | Tribune

Mardi 19 novembre, le Sénat a adopté la proposition de loi tendant à instituer une carte Vitale biométrique, déposée le 21 mai 2019 par M. Philippe Mouiller, ce texte visant à lutter contre la fraude sociale, autrement dit à « empêcher l’utilisation de vraies cartes Vitale par des personnes qui n’en sont pas les titulaires ».

Sécurité des SI de santé : an 0 ?

25 novembre 2019 | Cédric Cartau | Tribune

Dans un de mes précédents postes, une directrice de soins avait coutume de dire que « l’informatique dans les hôpitaux, c’est comme l’URSS : on sait envoyer des types dans l’espace, mais il n’y a pas de pain dans les boulangeries ». On était au début des années 2000, bien avant le premier plan Hôpital numérique, et les DSI des hôpitaux n’avaient pour la plupart pas encore franchi la porte de l’unité de soins, mais je crains que si le cœur de métier a subi une grosse informatisation en presque 20 années, on en soit toujours au même stade sur le volet Sécurité.

Le CHU de Rouen vient s’ajouter à la liste des cyber-victimes du secteur de la santé

19 novembre 2019 | Charles Blanc-Rolin | Tribune

Connaissant très bien cette situation pour être déjà passé par là, à l’heure où j’écris ces lignes, je pense évidemment à nos collègues des équipes SI du CHU Rouen qui font tout ce qui est en leur pouvoir pour relancer au plus vite le système d’information de leur établissement à l’arrêt depuis le 15 novembre au soir [1]. Comment ne pas penser également aux professionnels de santé, privés de leurs outils, dossier patient, prescriptions, résultats d’analyses, prise de commande des repas etc... 

La convergence SI, un exemple immédiat

19 novembre 2019 | Cédric Cartau | Tribune

L’AP-HP a récemment annoncé avoir déployé son DPI Orbis dans ses 39 hôpitaux, et cette information parue dans un média[1], est très intéressante à la fois par ce qu’elle dit et par ce qu’elle ne dit pas.

La passion de l’échec

12 novembre 2019 | Cédric Cartau | Tribune

Pendant la Seconde Guerre mondiale, et en particulier durant la bataille du Pacifique qui se joua pas mal dans les airs, les chasseurs bombardiers japonais (les fameux Zero, hypermaniables et très légers) affrontaient les Grumman et autres Curtiss américains, construits selon une philosophie tout à fait différente qui en faisait des appareils lourds mais solides. Les mécaniciens américains qui voyaient revenir du front des avions, parfois dans un sale état, faisaient une expertise rapide de ce qui avait été touché sur les appareils pour solidifier ou protéger les composants en question. Jusqu’à ce que l’un d’eux se rende compte que c’était exactement le contraire qu’il fallait faire : non pas expertiser les avions qui étaient revenus, mais au contraire aller chercher ceux qui étaient restés pour savoir justement ce qui avait été touché, et donc ce qu’il fallait renforcer.

Chrome, PHP, RDP… des vulnérabilités comme s’il en pleuvait…

05 novembre 2019 | Charles Blanc-Rolin | Tribune

Il n’y a pas que le temps qui est maussade ces derniers jours, dans le « cyberespace », les vulnérabilités, elles aussi pleuvent à seaux. Si de nombreuses régions sont actuellement touchées par les inondations, il en est de même pour nos systèmes d’informations, l’eau s’infiltre un peu partout, et la « to-do list » du RSSI finit par déborder.

Le quart d’heure gadgets utiles

05 novembre 2019 | Cédric Cartau | Tribune

La vie de RSSI n’est pas faite que de projets, de négociations budgétaires, de formations et d’actions de sensibilisation : il faut l’alimenter par un flux constant de veilles en tout genre. On trouve suffisamment de sources professionnelles pour le volet High Level : séminaires, congrès, réunions entre pairs, et j’en passe. Mais il convient aussi de faire une petite veille constante dans le domaine plus orienté « informatique personnelle » : une bonne partie des produits professionnels proviennent de ce canal spécifique, et en plus, ne nous cachons pas, le plaisir de la bidouille est un des côtés « fun » du job. Quelques petites découvertes, sans prétention.

L’obligation d’utiliser l’identifiant national de santé est différée à 2021 !

29 octobre 2019 | Me Noémie Mandin-Lafond | Tribune

Publié le 10 octobre 2019 au Journal officiel, un décret a modifié les dispositions relatives à l’utilisation du numéro d’inscription au répertoire (NIR) en tant qu’identifiant national de santé (INS), pour les mettre en conformité avec la loi n°78-17 du 6 janvier 2018 modifiée relative à l’informatique, aux fichiers et aux libertés, dans sa rédaction résultant de l’ordonnance n°2018-1125 du 12 décembre 2018.

Sécurité numérique et santé au programme des rencontres Cybersécurité à Lyon

29 octobre 2019 | Charles Blanc-Rolin | Tribune

Le tour de France, non pas de la e-santé cette fois-ci, mais de la cybersécurité a fait escale dans le somptueux Hôtel du Département du Rhône, à Lyon, le 24 octobre dernier. Un évènement riche de partages et d’échanges dans un cadre prestigieux, orchestré par une grande dame de la cyber, Madame Bénédicte Pilliet, Présidente du Cyber Cercle.

Les échanges sécurisés de données de santé : une équation complexe

29 octobre 2019 | Cédric Cartau | Tribune

Récemment, j’ai participé à une discussion au cours de laquelle l’un des protagonistes mentionnait certaines mauvaises habitudes de ses utilisateurs, notamment l’usage de la messagerie WhatsApp pour échanger des données de santé.

Un « kit SI » destiné aux directeurs de structures médico-sociales est publié !

22 octobre 2019 | Me Noémie Mandin | Tribune

Les directeurs d’établissements médico-sociaux se trouvent parfois confrontés à des questionnements liés aux systèmes d’informations. Pour les soutenir, l'Agence Nationale d'Appui à la Performance (Anap) vient de mettre en ligne un « kit système d'information » (SI) qui leur est spécialement destiné.

C’est toujours la faute du réseau

22 octobre 2019 | Cédric Cartau | Tribune

Il semble que dans cette merveilleuse société qui est la nôtre, on ne cultive pas suffisamment une qualité essentielle de l’individu : l’art de rejeter la faute sur les autres. Par exemple, quand un machin tombe en panne dans l’informatique, croyez-en mon expérience, il faut toujours dire que c’est la faute du réseau. Le DPI qui rame ? La faute du réseau. Les batches de paye bloqués ? La faute au réseau. La machine à café connectée en panne ? Oui, non là, ça va être compliqué d’incriminer le réseau. Quoique, avec tous ces objets connectés, on pourra toujours dire que la trame IP est incompatible avec le certificat SSI 802?1x, ce qui ne veut rien dire, mais aucune importance, personne ne le sait.

Les Assises de la sécurité : la conférence de Guillaume Poupard

21 octobre 2019 | Charles Blanc-Rolin | Tribune

  Les Assises de la sécurité à Monaco sont « une véritable réunion de famille », comme l’a indiqué en patriarche Guillaume Poupard, dont la conférence d’ouverture est toujours attendue comme une grand-messe pour les paroissiens de la cybersécurité.

Le zéro papier à l’hôpital… Et si le numérique était une partie de la solution ?

15 octobre 2019 | Olivier Boussekey, OPB Consulting | Tribune

Les hôpitaux souffrent d’un manque de moyens et de ressources depuis de nombreuses années. Les changements de réglementation, les contraintes économiques et démographiques, les regroupements, fermetures et reconstructions d’établissements n’ont jamais permis à ces structures particulièrement complexes de s’organiser pour être à la fois plus efficaces, moins coûteuses et propices à une meilleure qualité de vie au travail des soignants.

Analyse d’une DSI selon le paradigme de la chaîne alimentaire

15 octobre 2019 | Cédric Cartau | Tribune

Pour ceux qui ne sont pas du « sérail » – comprendre la bande de geeks qui parlent IPv6 dans le texte –, il est important de comprendre un fait majeur : tout comme la nature a sa chaîne alimentaire, la DSI a la sienne.

5e Colloque SSI du ministère de la Santé

10 octobre 2019 | Charles Blanc-Rolin | Tribune

   

URGENT/11 : des dispositifs médicaux atteints par la fameuse pathologie et une solution pour identifier les malades

02 octobre 2019 | Charles Blanc-Rolin | Tribune

Deux mois après l’annonce de URGENT/11 [1], une panoplie de 11 vulnérabilités affectant les systèmes VxWorkrs, la société ARMIS nous passe la deuxième couche de rouge vif.

Les CHU : fer de lance de l’IA en santé ?

01 octobre 2019 | Me Omar YAHIA et Me Domitille Flageul | Tribune

Prudemment mais sûrement, le Gouvernement s’est emparé de la question en lançant un programme d’investissements d’avenir (PIA), devant permettre de ’’tester sur le terrain, par des applications concrètes, le potentiel l’IA’’(Cf. communiqué de presse commun de la Dinsic et de la DITP). 

Sauver la sauvegarde, à l’usage des DSI

01 octobre 2019 | Cédric Cartau | Tribune

À une époque pas si lointaine (il me semble) de mon existence, la SSII dans laquelle je travaillais avait constaté qu’un de nos clients faisait religieusement ses sauvegardes tous les soirs, comme on le lui avait montré. OK, c’était au millénaire précédent, OK, c’était sur des disquettes souples 5 ¼ pouces, OK, je ne suis pas exactement le perdreau de l’année, mais sauvegardes tout de même il y avait. Sauf que tous les soirs, juste avant de partir, le chef du client en question mettait un coup de trouilloteuse dans ladite disquette pour pouvoir la ranger dans un grand classeur à anneaux (authentique).

La majorité des attaques cyber porterait sur seulement 3 ports TCP

26 septembre 2019 | Charles Blanc-Rolin | Tribune

     

Les premiers pas (concluants) de la certification HDS

24 septembre 2019 | Me Domitille Flageul | Tribune

Ils sont actuellement 48 à avoir décroché la certification hébergeurs de données de santé, d’après le site de l’Asip Santé, le dernier en date étant, sauf erreur, le groupement de coopération sanitaire GCS Tesis (La Réunion et Mayotte), premier groupement régional d'appui au développement de l'e-santé (Grades) de la liste des hébergeurs pour son datacenter, et qui en plus couvre les 6 activités du référentiel. 

Où en est-on de la sécurité des données patients ?

24 septembre 2019 | Cédric Cartau | Tribune

Le top départ de l’e-santé 2022 a récemment été donné (voir la vidéo [1]de la première session du Tour de France ainsi que l’analyse [2]à grosse maille de votre serviteur), et c’est une bonne chose que la SSI fasse partie des préoccupations officielles des pouvoirs publics. Cela étant, où en est-on de la sécurité des données patients, justement ? D’où part-on ? Quel chemin, de roses ou de croix, à parcourir ?    

Délibération CNIL du 4 juillet 2019 : nouvelle réglementation sur le pistage numérique

17 septembre 2019 | Charles Blanc-Rolin | Tribune

Cette nouvelle délibération de la CNIL [1] arrive comme une pépite de chocolat sur le cookie afin de préciser les lignes directrices relatives à l’application de l’article 82 de loi informatique et libertés [2] et plus précisément aux opérations de lecture / écriture de traceurs sur le terminal d’un utilisateur.

E-santé 2022 : top départ

17 septembre 2019 | Cédric Cartau | Tribune

N’ayant pas pu être présent à Lille pour le lancement du Tour de France de présentation du programme Ma santé 2022, je me suis rattrapé en visionnant la conférence (ici1) pour vous faire un premier retour à chaud.  

Les CPTS : nouvel outil de déploiement de la télésanté ?

10 septembre 2019 | Me Noémie Mandin | Tribune

« Développer le recours à la télésanté (télémédecine et télésoin) », telle est l’une des missions désormais obligatoires des communautés professionnelles territoriales de santé (CPTS) souscrivant à l’accord conventionnel interprofessionnel signé le 20 juin 2019 et approuvé par arrêté publié au Journal officiel le 24 août dernier[1].  

Les plus lus