Vous êtes dans : Accueil > dsih >
Diffusion de logiciels malveillants, hébergement de pages de phishing, vols d’informations, porte d’entrée dans le système d’information, minage de cryptomonnaies(1)… Les raisons de s’en prendre à nos sites Web ne manquent pas, ainsi que les conséquences désastreuses qui en découlent : atteinte à l’image de l’établissement, perte de confiance de la part des patients, intrusion dans le système d’information, intégrité, disponibilité et confidentialité des données de santé mises à mal, et dans le pire des cas, risques pour la vie des patients. La sécurité de nos sites web n’est donc pas à prendre à la légère.
Dans une première partie(1), nous avons examiné les deux grandes familles de politique d’habilitation dans les accès à un DPI d’établissement de santé. Nous en avons conclu que, dès lors que l’établissement affichait une taille conséquente, avec des métiers de santé transversaux multiples et des accès 24/365, la seule méthode viable à terme était celle du contrôle « a posteriori » : tout est accessible au corps médical et au corps soignant, avec pour corollaire des accès systématiquement tracés, les traces minutieusement analysées et les abus nécessairement sanctionnés.
La reconnaissance vocale au curseur de Nuance équipe les praticiens de l’Hôpital européen de Marseille pour permettre une meilleure tenue du DPI, produire les lettres de liaison à J-0 et aider l’établissement à absorber la croissance de son activité, de plus de 45 % depuis son ouverture en 2013. Choix stratégique pour la DSI de l’hôpital, Dragon Medical Direct de Nuance a déjà permis des gains d’efficience, notamment dans le service des urgences, qui a gagné 25 % en temps de prise en charge des patients.
Les rançongiciels chiffrant, sont déjà depuis plusieurs années dans le spectre des équipes SI et SSI. En effet, quel établissement de santé peut se vanter de ne pas avoir eu à faire, ne serait-ce qu’une fois à l’une de ces attaques lors des cinq dernières années. L’infection de 81 hôpitaux britanniques par le ransomware Wannacry en mai 2017, en est sûrement l’exemple le plus marquant(1).
La question peut paraître incongrue alors que la tendance est à leur promettre toujours plus de services numériques, toujours plus d’applications capables de les suivre « en mobilité », toujours plus de formulaires en ligne… et toujours plus d’incitations financières s’ils se plient à certaines exigences de collecte d’indicateurs(1).
La sécurité, dans le secteur du numérique, ou plutôt, le sentiment de sécurité que nous pouvons ressentir, repose avant tout sur la confiance que nous accordons aux différentes technologies que nous utilisons. Le matériel, tout d’abord, et les récentes vulnérabilités Meltdown et Spectre(1), nous prouvent encore une fois, qu’il s’agit d’un paramètre non négligeable, puis les systèmes d’exploitation, fonctionnant en mode « boîte noir », pour une majorité des serveurs, terminaux et autres dispositifs médicaux équipant nos établissements de santé, pour finir avec les applicatifs, qui là encore, ne présentent que rarement le code « qu’ils ont dans le ventre ».
Cette nouvelle année semble, comme la précédente, bien commencer.Demandes de rançon, fuites de données, ventes de données, menaces pour la vie des patients, les exemples d’incidents ne manquent pas, en particulier outre-Atlantique, mais aussi en Europe [1].Selon le rapport de l’éditeur de solutions de sécurité Vectra, le secteur de la santé a été le plus attaqué au premier trimestre 2017 [2].
On se souvient du slogan #DeverrouillonsLaTelemedecine lancé par la Fédération hospitalière de France (FHF) en juillet 2016(1). Le directeur de l’Agence régionale de santé du Grand Est, Christophe Lannelongue, a annoncé avoir franchi une étape indispensable dans ce sens en signant une convention avec l’assurance maladie pour l’ouverture d’un « guichet intégré ». Il a exposé cette action à l’occasion du Congrès de la Société française de télémédecine à Paris le 7 décembre dernier.
À l’occasion du CES de Las Vegas, le salon international de l’innovation dans le domaine du numérique et des nouvelles technologies, qui se déroule cette semaine, la Wi-Fi Alliance® a annoncé l’arrivée de la norme WPA3, implémentée dès cette année, elle viendra remplacer WPA2 (1).
Le décret « portant définition de la stratégie nationale de santé » (SNS) sur la période 2018-2022 est paru au JO du 31 décembre (1). Il rappelle les quatre axes privilégiés par le gouvernement : mettre en place une politique de promotion incluant la prévention, lutter contre les inégalités d’accès, garantir qualité, sécurité et pertinence des prises en charge, innover pour transformer notre système de santé.
Succédant à la sensibilisation(1) et au RGPD(2), le troisième thème abordé lors de ce colloque SSI co-organisé par la DGOS, la DSSIS, le service du HFDS et l’ASIP Santé, fut la mise en œuvre des démarches nationales de prévention des incidents SSI.
Depuis quelques mois, le sujet « RGPD » sature la bande passante des canaux d’information des DSI et des RSSI de santé. Son application en mai 2018 (c’est bientôt), ses 99 articles et 173 considérants (c’est épais), les montants des amendes pour non-conformité (élevés) et l’ampleur du travail estimé (important) font partie des sources d’angoisse générées.
Fin 2018, tout organisme hébergeant des données de santé devra être certifié ISO 27001. Une démarche qui renforce le crédit des établissements concernés. Pour les accompagner dans cette évolution, DSIH Formations organise en 2018, à Paris, deux formations ISO/CEI 27001 Lead Implementer du 19 au 23 mars et du 24 au 28 septembre prochains. Entretien avec Alexandre Caron, chef de projet et responsable de la sécurité des systèmes d’information chez Apicem, qui a choisi de suivre ce module.
Convaincue que les professionnels de santé doivent poursuivre un processus dynamique d’acculturation aux technologies numériques en constante évolution, l’équipe de DSIH lance son activité de formation avec d’ores et déjà deux modules proposés : « Stratégie des SI de Santé » et « ISO/IEC 27001 Lead Implementer ».
En avril dernier, en plein congrès de l’Apssis, je commettais déjà un premier article(1) sur le sujet expliquant que l’obtention de l’agrément HDS nouvelle mouture (qui sera effectif en 2018) coûterait au bas mot deux à trois fois plus cher que l’obtention de l’ancienne version, ce qui faisait déjà une sacrée note.
Les exemples de découvertes de vulnérabilités sur les dispositifs médicaux ne manquent pas et l’actualité nous le rappelle de plus en plus régulièrement. Pacemakers, autoclaves, moniteurs patients, imagerie médicale, pompes à perfusion… [1] ont fait la une de l’actualité SSI depuis le début de l’année.
Il y a un an, le Pr Patrice Degoulet(1) organisait, à l’occasion de son départ de l’hôpital européen Georges Pompidou, un prestigieux colloque sur le thème de « l’e-santé en perspective ».
Dans un premier volet(1), nous avons exposé la problématique générale du RGPD dans le monde de la santé. Dans un second volet(2), nous avons disserté sur la question centrale de la méthode d’appréciation des risques. Dans un troisième volet(3), nous avons parlé de la démarche globale. Nous avons conclu dans un dernier volet(4) sur les difficultés inhérentes à cette démarche. Il est maintenant temps de nous lâcher un peu sur ce qui est, très clairement, une entreprise d’intox généralisée chez pas mal de fournisseurs : l’esbroufe autour du RGPD, ce que cela implique et les outils pour devenir conforme.
Les fuites de données liées à un mauvais paramétrage d’espaces de stockage cloud d’Amazon s’enchaînent. Et oui, pas toujours besoins de « méchants hackers » pour que les données s’évaporent dans la nature. Une simple négligence d’un administrateur suffit.
Dans un premier volet(1), nous avons exposé la problématique générale du RGPD dans le monde de la santé. Dans un deuxième volet(2), nous avons disserté sur la question centrale de la méthode d’appréciation des risques. Dans un troisième volet(3), nous avons parlé de la démarche globale. Il nous reste à conclure sur les difficultés de la démarche.
Dans un premier volet(1), nous avons exposé la problématique générale du RGPD dans le monde de la santé. Dans un deuxième volet(2), nous avons disserté sur la question centrale de la méthode d’appréciation des risques. Attaquons à présent le chapitre de la démarche globale.
#Nos collègues les robots. Vont-ils prendre notre boulot ? Les robots inquiètent, le plus souvent. Pourtant, les comparaisons internationales montrent que le taux de chômage est inférieur là où l’industrie a le plus robotisé sa production. Ce qui ne fait pas de doute, c’est qu’ils vont (et ils ont déjà commencé à le faire) transformer les organisations et les métiers. Y compris à l’hôpital. DSIH a choisi de zoomer sur des activités où ces « collègues » du troisième type, loin de se montrer dangereux, peuvent rendre de grands services.
Dans un premier volet(1), nous avons exposé la problématique générale du RGPD dans le monde de la santé. Attaquons à présent une question pas forcément vitale, mais importante tout de même : l’évaluation de son impact sur la vie privée des incidents de sécurité, ou l’appréciation des risques.
Dans ma précédente prose(1), je me suis livré à l’analyse du durcissement du ton des autorités US vis-à-vis de l’éditeur d’antivirus russe Kaspersky. Certains commentaires postés sur LinkedIn m’ont fait remarquer à juste titre – et je les en remercie – qu’il existait des éditeurs européens, par exemple Bitdefender. J’en profite d’ailleurs pour préciser que le consortium Hexatrust est constitué d’éditeurs français d’excellent niveau officiant dans le domaine de la sécurité, comme ITrust et bien d’autres.
Spécialement conçue pour les professionnels de santé – DA, DSI, RSI, RSSI, référents, médecins DIM et chefs de projets –, la nouvelle formation de l’APSSIS a été délivrée trois fois, à Paris, Nantes et Bordeaux, réunissant à chaque session une dizaine d’établissements publics et de structures de santé privées. La formation sera délivrée à Dinard, en partenariat avec DSIH magazine, les 11, 12 et 13 septembre 2017.
Cette première partie d’année a encore été riche en évènements…un petit coup d’œil dans le rétro avant le maillot.
À travers cette chronique faisant à la fois la synthèse des 5 précédents, Michaël De Block, directeur de l’information numérique des Hôpitaux de Champagne Sud, qui pilote le chantier SI pour le GHT de l’Aube et du Sézannais, met en relief une facette du métier de DSI qu’on connaît moins bien et qui fait partie intégrante de ses fonctions (surtout depuis la mise en place des GHT) : la recherche de financements.
À partir du 1er octobre 2017, les établissements de santé devront déclarer les incidents de sécurité SI. Et c’est une bonne chose. Lors de la Paris Healthcare Week, le directeur de l’Asip Santé, Michel Gagneux, a détaillé le dispositif et sa mise en œuvre, qui font suite à l’article 110 de la loi du 26 janvier 2016. Pas mal d’articles ont récemment été écrits sur le sujet, et notamment celui de ticsante [1] et, bien entendu, ceux de DSIH [2].
L’Asip Santé a profité de sa participation à la Paris Healthcare Week (PHW) 2017 pour mettre en avant ses actions d’accompagnement à destination des établissements de santé. Son directeur, Michel Gagneux, a répondu à nos questions et précisé les orientations de l’agence en ce qui concerne la cybersécurité, les travaux portant sur l’authentification forte auprès des SI de santé et l’évolution des textes réglementaires liés à la PGSSI-S(1).
Médecin de formation, cette spécialiste en hématologie de 54 ans a enseigné à l’Université Paris Descartes et mené de nombreuses recherches en immunologie à l'Institut national de la santé et de la recherche médicale (Inserm).
Au lendemain de l’élection d’Emmanuel Macron à la présidence de la République, DSIH revient sur les propositions phares de son programme en matière de santé et ses intentions en termes de méthode.
# Prendre soin au-delà des soins. La qualité des soins prodigués lors de la consultation ou de l’intervention chirurgicale ne suffit plus. Les établissements de santé sont attendus sur la manière dont ils préparent l’accueil et la sortie d’hospitalisation, mais aussi sur le continuum des soins et la coordination entre professionnels. Les cliniques privées investissent pour développer activité – et attractivité –, mais elles ne sont pas les seules. Les hôpitaux publics ont bien compris l’intérêt de tisser des liens avec les patients en multipliant les services numériques. Et si on parlait de la relation « client » à l’hôpital ?
Récemment sur les réseaux santé[1], on a vu tomber cette annonce a priori anodine : les quatre fédérations hospitalières refusent d’intégrer l’Institut national des données de santé (INDS). Anodine, car de prime abord on finit la lecture de l’article en se disant : oui, bon, et alors ?
Comme évoqué la semaine dernière dans la première partie de ce retour sur le #CNSSIS(1), l’hébergement de données de santé et la certification ISO27001 ont fait partie des grands sujets de ce congrès.
Table ronde très appréciée de TREND coordonnées par Loïc Guézo, évangéliste chez TREND, avec le témoignage d’un CHU sur sa protection antivirale. Le sujet est complexe et le lecteur pourra se reporter à un précédent article et notamment celui-ci[1].
Elie Lobel s’est félicité, à l’occasion d’une conférence de presse, de la place d’ores et déjà occupée par la filiale santé de l’opérateur Orange, qu’il dirige depuis près d’un an : « nous travaillons avec plus de 70% des hôpitaux français ». Mais il a surtout voulu souligner qu’il était prêt à répondre à des besoins qui vont aller croissant en raison de la réforme créant les groupements hospitaliers de territoire.
La sécurité des SI est-elle soluble dans la loi de santé 2016 ou va-t-elle demeurer un corps étranger à la gouvernance SI des hôpitaux, comme c’est le cas depuis lurette ?
Le classement Leaders League publié en ce début de mois de mars récompense le cabinet d’avocats d’Omar Yahia, expert des questions de droit appliquées à la santé et collaborateur historique de DSIH Magazine. Nous n’en sommes pas peu fiers !
Je dois dire que celle-là, je ne l’avais pas vue venir. Depuis la vague des cryptolockers, les établissements de santé ont tout de même pas mal musclé leur protection antivirale, notamment en déployant des modules de détection des macros infectées. Dans la même veine, nous avons tous plus ou moins resserré les filtres : suppression des pièces jointes contenant des macros, modules d’analyse comportementale, etc.
Les GHT de A à Z : pour son numéro 20, DSIH Magazine se concentre sur la mise en œuvre des systèmes d’information territoriaux issus de la création des groupements hospitaliers de territoire (GHT).
Mon ami Charles ne va tout de même pas garder pour lui seul le monopole des bonnes résolutions[1], il faut un peu en laisser aux copains. Dans le genre, j’aime bien la question de la maîtrise du parc des équipements informatiques, parce qu’en général il n’y a pas besoin de gratter longtemps pour voir apparaître de l’eczéma.
Petit retour sur cette année riche en événements de toute sorte dans l’IT.
Affluence record ce 6 décembre dans l’amphithéâtre Pierre Laroque du ministère de la Santé pour la journée de partage d’expériences avec les acteurs des 5 Territoires de soins numériques (TSN) conviés à un bilan de deux ans. Il est vrai que le programme TSN, composante des Investissements d’avenir, est suivi avec d’autant plus d’attention, partout en France, que 18 régions (avant les fusions) y avaient candidaté et que les résultats attendus devront être « exportables ».
La Fédération des Etablissements Hospitaliers et d’Aide à la Personne Privés Non Lucratifs (FEHAP) tient son 41ème congrès annuel les 13 et 14 décembre prochains à Paris. En écho aux 80 ans qu'elle vient de fêter, la fédération accueillera 80 exposants au Palais des Congrès de Paris. Cette année, un acteur public des systèmes d'information fait son apparition sur cet événement : le groupement d'intérêt public SIB. Pour faire le point sur cette participation, DSIH a rencontré Olivier Morice-Morand, le directeur général et Baptiste Le Coz, le directeur général adjoint du SIB.
Pour son numéro 20, à paraître début février 2017, DSIH Magazine se concentre sur la mise en œuvre des nouveaux systèmes d’information territoriaux issus de la création des GHT.
Fin juin, la société Dedalus S.p.A. a acquis 83% du capital de NoemaLife, qui détient elle-même 58% du capital social de Medasys. Le hasard des recoupements financiers fait donc que Medasys redevient français, 60 % du capital du groupe Dedalus étant détenu par le fond d’investissement français Ardian[1]. Sortis de ces calculs d’apothicaires, qu’est-ce que l’évolution de son actionnariat change concrètement pour l’éditeur ? Et pour ses clients ? DSIH fait le point sur la situation.
Dans un article précédent[1], nous avons entamé une synthèse de l’état de l’art sur les mots de passe, faisant suite à une émission du Comptoir Sécu. Seconde partie.
Le médecin augmenté recouvre plusieurs réalités, que DSIH vous propose d’explorer. Réalité virtuelle, qui correspond à l’immersion d’un utilisateur dans un monde recréé numériquement, avec sons et sensations, tout en le coupant du réel.
Les cinq sites pilotes sélectionnés en réponse à l’appel à projets Territoire de soins numérique (TSN) ont une finalité commune – mettre les systèmes d’information en santé au service des parcours et de la coordination –, mais des trajectoires diverses. DSIH.fr vous propose, chaque semaine, un arrêt sur images dans l’un de ces territoires.
La série d’articles de Cédric Cartau a bien mis en évidence la fragilité conceptuelle du modèle actuel de l’hébergement de données de santé. Puisqu’il est en cours de refonte, il me semble intéressant de creuser un peu plus sur les origines de cette faiblesse afin de s’assurer qu’elle ne sera pas reconduite.
Les plus lus