Vous êtes dans : Accueil > rssi >

Rssi3836 documents taggés

Alerte - fuite de données : 16 000 adresses mails de professionnels de santé français concernées

Charles Blanc-Rolin , le mer. 30 janvier 2019 : Si vous avez suivi l’actualité SSI internationale ces dernières semaines, vous aurez sans doute vu passer la gargantuesque fuite de données d’identification révélée le 17 janvier dernier par le célèbre chercheur australien Troy Hunt [1] et baptisée « Collection #1 »Lire la suite ...

Sécurité, RGPD, code de la santé publique : les ports USB devraient-ils rester fermés ?

Charles Blanc-Rolin , le mar. 05 février 2019 : Les ports USB des postes clients, des serveurs, des tablettes, des smartphones, sans oublier les dispositifs médicaux, sont, au-delà du vecteur de communication dont la simplicité d’utilisation est enfantine, une véritable source de problèmes en tout genre pour la sécurité de nos SI de santé, ainsi que des données de nos patients.Lire la suite ...

Lubie du secteur de la santé vs RGPD

Charles Blanc-Rolin , le mar. 12 mars 2019 :      Lire la suite ...

La fanfare Microsoft Office 365, trompettes et pipeau – la partie pipeau

Par Cédric Cartau , le lun. 01 avril 2019 : Dans une première partie, nous avons examiné les conséquences du passage à Office 365 pour la partie sécurité, profil des agents en charge du domaine, etc.Lire la suite ...

Congrès Apssis : usage et sécurisation des entrepôts de données de santé

Le Mans, Cédric Cartau, le jeu. 04 avril 2019 : Autre temps fort du Congrès, la conférence du Pr Pierre-Antoine Gourraud sur la mise en œuvre et la sécurisation d’un entrepôt de données de recherche au CHU de Nantes.Lire la suite ...

La fin de la cybersécurité ? Partie II

Cédric Cartau, le mar. 16 avril 2019 : Dans une première partie, nous avons analysé un article du dernier numéro du mensuel Harvard Business Review qui faisait la part belle à l’analyse catastrophiste de la cybersécurité – en substance, on va tous dans le mur – et qui professait le retour à l’isolation physique des réseaux essentiels à la résilience des organisations. Suite de l’analyse.Lire la suite ...

SI de santé, une vague d’annonces

Cédric Cartau, le lun. 29 avril 2019 : La ministre de la Santé annonce les évolutions concernant les systèmes d’information de santé et la cybersécurité. Petite synthèse.Lire la suite ...

Obsolescence du SI, pas si simple à définir – Partie I

Cédric Cartau, le mar. 28 mai 2019 : Si vous posez la question à votre voisin de palier, à votre belle-mère ou au collègue à la cantine, en l’occurrence quelle est l’obsolescence de son électroménager à la maison (lave-linge, lave-vaisselle, frigidaire, etc.), s’il ou si elle n’a pas la réponse au débotté il ne lui faudra en général pas longtemps pour glaner l’information. Bon, en gros, un appareil électroménager dure entre trois et sept ans. On prend le médian (cinq ans), et si l’on a cinq équipements, il faut budgéter un changement par an, fin de l’histoire, éteignez la lumière en sortant.Lire la suite ...

Le Cybersecurity Act adopté par le Conseil de l’Union Européenne

Charles Blanc-Rolin, le mar. 11 juin 2019 : Adopté par le Parlement Européen le 12 mars 2019, le Cybersecurity Act a été définitivement adopté le 7 juin 2019 par le Conseil de l’Union Européenne [1].Lire la suite ...

Incidents de sécurité des SI de santé : que faut-il déclarer ?

Charles Blanc-Rolin, le mar. 18 juin 2019 : La déclaration des incidents de sécurité des SI de santé a été gravée dans le marbre avec l’article L1111-8-2 du Code de la santé publique [1]. Le décret du 12 septembre 2016 [2] a fixé l’entrée en vigueur de cette obligation à la date du 1eroctobre 2017, et indiqué que tous les incidents ayant des conséquences potentielles ou avérées sur la sécurité des soins, des conséquences sur la confidentialité ou l'intégrité des données de santé ou portant atteinte au fonctionnement normal de l'établissement, de l'organisme ou du service, devraient être déclarés.Lire la suite ...

Été, bilan chaud, chaud, chaud !

Cédric Cartau, le mar. 03 septembre 2019 : Ça y est, c’est l’odeur des cartables neufs, des Bic sous blister et des chaussures toutes neuves qui font mal aux petons : il est temps de faire le bilan de l’été. Parce qu’il n’y a pas eu que la canicule, fallait se tenir un minimum informé.Lire la suite ...

Ransomware : connaitre son ennemi (partie 1)

Pascal Sabatier, le jeu. 29 août 2019 :   Lire la suite ...

Les premiers pas (concluants) de la certification HDS

Me Domitille Flageul, le mar. 24 septembre 2019 : Ils sont actuellement 48 à avoir décroché la certification hébergeurs de données de santé, d’après le site de l’Asip Santé, le dernier en date étant, sauf erreur, le groupement de coopération sanitaire GCS Tesis (La Réunion et Mayotte), premier groupement régional d'appui au développement de l'e-santé (Grades) de la liste des hébergeurs pour son datacenter, et qui en plus couvre les 6 activités du référentiel. Lire la suite ...

Sécurité numérique et santé au programme des rencontres Cybersécurité à Lyon

Charles Blanc-Rolin, le mar. 29 octobre 2019 : Le tour de France, non pas de la e-santé cette fois-ci, mais de la cybersécurité a fait escale dans le somptueux Hôtel du Département du Rhône, à Lyon, le 24 octobre dernier. Un évènement riche de partages et d’échanges dans un cadre prestigieux, orchestré par une grande dame de la cyber, Madame Bénédicte Pilliet, Présidente du Cyber Cercle.Lire la suite ...

Sécurité des SI de santé : an 0 ? (communiqué) 

Cédric Cartau , le lun. 25 novembre 2019 : Dans un de mes précédents postes, une directrice de soins avait coutume de dire que « l’informatique dans les hôpitaux, c’est comme l’URSS : on sait envoyer des types dans l’espace, mais il n’y a pas de pain dans les boulangeries ». On était au début des années 2000, bien avant le premier plan Hôpital numérique, et les DSI des hôpitaux n’avaient pour la plupart pas encore franchi la porte de l’unité de soins, mais je crains que si le cœur de métier a subi une grosse informatisation en presque 20 années, on en soit toujours au même stade sur le volet Sécurité.Lire la suite ...

Vous prendrez bien un peu de données personnelles ? (communiqué) 

Cédric Cartau , le lun. 02 décembre 2019 : Un article, relayé largement sur LinkedIn[1] en fin de semaine, a attiré mon attention. Deux chercheurs de l’Université catholique de Louvain (Luc Rocher et Julien Hendrickx) se sont posé la question de savoir si des données anonymisées pouvaient tout de même être réidentifiées. On subodorait déjà que la réponse était oui : on en a maintenant la preuve. Explications.  Lire la suite ...

Ce que le DPO n’est pas (communiqué) 

Cédric Cartau , le mar. 10 décembre 2019 : Il arrive assez régulièrement que des confrères DPO me contactent pour me signaler certaines de leurs difficultés dans l’exercice de leur mission. Elles tournent régulièrement autour du même sujet : leur responsable de traitement (RT) refuse de mettre en œuvre les préconisations de sécurité dudit DPO, entendre par là les mesures destinées à réduire les risques identifiés. Le confrère en question me demande alors comment contraindre le RT à appliquer les mesures préconisées. Il me semble qu’il y a là une erreur de positionnement, qui vaut bien un billet.Lire la suite ...

La SSI de santé : un sujet prioritaire (communiqué) 

Apssis, le lun. 16 décembre 2019 : Les 31 mars, 1er et 2 avril 2020, l’Apssis accueillera 180 professionnels dans le cadre du 8e Congrès national de la SSI de santé, qui se tiendra à l’espace culturel des Quinconces du Mans, pour trois jours de conférences, de tables rondes, de débats et d’échanges. L’événement fêtera à cette occasion les dix ans de l’Association.Lire la suite ...

Ce que le DPO n’est pas (suite) (communiqué) 

Cédric Cartau , le mar. 17 décembre 2019 : Il n’était pas prévu de créer un second volet, mais à la suite du grand nombre de remarques et de commentaires (notamment de Boris Motylewski, créateur entre autres de www.cybersecu.fr) qu’a suscités le premier article (1) , il semble important d’apporter quelques précisions.Lire la suite ...

Bilan 2019  (communiqué) 

Cédric Cartau , le mar. 31 décembre 2019 : Crise de foie est synonyme de bilan de l’année, nous n’allons donc pas déroger à la tradition. Et ce fut une année riche, très riche.Lire la suite ...

Cybersécurité : 2020 démarre sur les chapeaux de roues ! (communiqué) 

Charles Blanc-Rolin, le mar. 21 janvier 2020 : Je ne sais pas encore à quelle vitesse va nous propulser l’année 2020 jusqu’au 24 heures du Mans de l’APSSIS [1], mais l’on peut dire que l’année démarre en trombe !  Lire la suite ...

Collège des DSI/RSI de Normandie, les enseignements de la cyber-attaque du CHU de Rouen (communiqué) 

DSIH, Propos recueillis par Pierre Derrouch, le lun. 24 février 2020 : Jeudi 20 février se tenait dans les nouveaux locaux du GCS Normand’eSanté à Caen la première réunion 2020 du collège des DSI/RSI des établissements de santé normands. La cyberattaque subie par le CHU de Rouen le 15 novembre 2019 était au cœur des échanges. Entretien avec Francis Breuille, président de ce collège et DSI du GHT Centre manche.Lire la suite ...

Anonymisation : comparatif de trois outils (partie I) (communiqué) 

Cédric Cartau , le mar. 03 mars 2020 : Les données nominatives de production (RH, patients, étudiants, etc.) sont accessibles aux professionnels qui les traitent (services RH, praticiens, enseignants, etc.), mais pas seulement. Qui n’a jamais eu besoin de mettre en place une base de formation, à partir d’un jeu de données réelles, qui n’a jamais eu besoin de transmettre à son éditeur un extract d’une DB pour analyser un bug tenace ? Il n’est pas question de rendre inintelligible des données de production aux adminsys eux-mêmes (qui de toute manière ont accès à tout, sauf à mettre en œuvre des moyens financièrement délirants), mais bien de pseudonymiser (remplacer les identités par des codes, la table de correspondance étant séparée) ou d’anonymiser une base (rendre quasi impossible le fait de remonter aux individus physiques avec des moyens « normaux »), pour la transmettre à des tiers. Petit comparatif de trois solutions.  Lire la suite ...

Externalisation de la prise de rendez-vous médicaux en ligne : un pacte avec le diable ? (communiqué) 

Charles Blanc-Rolin & Me Omar Yahia , le mar. 10 mars 2020 : À l’ère du numérique, quel établissement de santé, s’il n’a pas encore franchi le pas, n’a jamais songé à mettre en place une solution de prise de rendez-vous en ligne pour ses patients ? Gain de temps pour les secrétaires médicales, redynamisation de l’image de l’établissement et confort pour les patients sont de véritables arguments de persuasion.Lire la suite ...

Sécurisation du télétravail, deuxième effet COVID – volet technique (communiqué) 

Charles Blanc-Rolin, le mar. 31 mars 2020 : La situation inédite que nous vivons aura amené de nombreuses entreprises, institutions, administrations, sans oublier nos établissements de santé, pas toujours prêts, à mettre en place du télétravail, conformément à la volonté du gouvernement. Cette semaine, nous avons décidé de croiser nos plumes, préalablement désinfectées par friction hydro-alcoolique, pour réfléchir sur le sujet. Cédric s’étant penché sur le volet « usage », je vous propose de nous intéresser au volet « technique ».Lire la suite ...

Covid-19 : quand viendra le temps du bilan sur le volet SI (communiqué) 

Cédric Cartau, le mar. 12 mai 2020 : Le temps viendra du bilan sur la crise Covid que nous traversons tous : bilan politique, bilan sur le système de santé, bilan sur les organisations, etc. À ce sujet, lire d’ailleurs l’excellente série publiée dans le journal Le Monde sur la stratégie des différentes mandatures entre les années 2005 et 2020. On y apprend entre autres que, fin mars, la France continuait de brûler des millions de masques, en pleine pénurie.Lire la suite ...

SI-DEP, la schizophrénie guette le RSSI/DPO (communiqué) 

Cédric Cartau, le lun. 18 mai 2020 : J’ai toujours adoré les curiosités de l’esprit : si vous avez une heure à perdre, je vous suggère d’aller faire un tour sur ce site[1]qui explique la diagonale de Cantor, astuce géniale avec laquelle le mathématicien allemand a démontré qu’il existait plusieurs catégories d’infini (authentique). Bon, en même temps, ne vous penchez pas trop au-dessus du précipice, le bonhomme a terminé ses jours dans un asile. Récemment, je suis tombé sur une autre curiosité avec un ouvrage de Jean-Paul Delahaye : la trompette de Torricelli, qui a la particularité d’avoir une surface infinie, mais un volume intérieur fini. On ne peut donc pas la peindre, mais on peut la remplir d’eau. Mais la remplir d’eau revient à peindre sa surface intérieure, non ?  Lire la suite ...

Ripple 20 : cataclysme réseau dans l’IOT (communiqué) 

Charles Blanc-Rolin, le ven. 19 juin 2020 : Annoncée publiquement le 16/06/2020 par les chercheurs du laboratoire JSOF [1], Ripple 20 est une collection de 19 vulnérabilités impactant l’implémentation de la pile TCP/IP dans la librairie proposée par Treck [2]. Une présentation complète de ces travaux de recherche est prévue à la conférence Black Hat USA qui se tiendra au mois d’août [3]. Cette librairie est utilisée dans de très nombreux appareils de type IOT et notamment des dispositifs médicaux.Lire la suite ...

Comparatif des enjeux d’externalisation – partie 2 (communiqué) 

Cédric Cartau, le mar. 23 juin 2020 : Dans le volet précédent, nous avons examiné les raisons qui pourraient conduire à externaliser tel ou tel processus métier, bien entendu avec l’IT en tête. Déroulons maintenant les éléments qu’il faut instruire avant de s’engager dans un tel projet. Toute décision d’externalisation devrait être évaluée à l’aune de sept critères.Lire la suite ...

Faille Doctolib – quelle réflexion sur les méta données ? (communiqué) 

DSIH, le lun. 27 juillet 2020 : Mardi 21 juillet dernier, Doctolib annonçait officiellement qu’environ 6000 rendez-vous médicaux avaient fuité, victime d’un siphonnage faisant suite à un acte malveillant. Doctolib parle de fuite de « données administratives », affirmant qu’aucune donnée médicale n’est concernée.Lire la suite ...

La rentrée se prépare : ChopChop pourrait bien enrichir le cartable du RSSI (communiqué) 

Charles Blanc-Rolin, le mer. 19 août 2020 : La fin des vacances approche, l’heure est à l’achat des dernières fournitures scolaires, alors s’il  reste un peu de place entre la trousse et les cahiers dans votre cartable, je vous propose de l’enrichir avec ChopChop [1], un outil libre récemment partagé par le groupe Michelin sous licence Apache 2.0.Lire la suite ...

Le groupement hospitalier de territoire du Centre Bretagne fait appel à LockSelf pour sécuriser les échanges de fichiers avec ses parties prenantes (communiqué) 

DSIH, le mar. 29 septembre 2020 : Le GHT du Centre Bretagne, composé des centres hospitaliers du Centre Bretagne et de Guémené-sur-Scorff ainsi que de la maison d’accueil spécialisée de Guémené-sur-Scorff, a fait le choix de LockTransfer, solution de chiffrement de l’éditeur français LockSelf, pour sécuriser le partage de données avec les acteurs non éligibles aux messageries sécurisées de santé participant aux parcours de soins des patients et des résidents.Lire la suite ...

En direct de l’Apssis 2020  (communiqué) 

Cédric Cartau, le jeu. 01 octobre 2020 :    Lire la suite ...

Health Data Hub : du recadrage de la CNIL à l’arrêt prévisible du service (communiqué) 

DSIH, le lun. 12 octobre 2020 : Réussir un projet informatique c’est difficile, bien plus que de le rater. Mais ce qui est encore plus difficile c’est de l’arrêter au beau milieu en osant reconnaître que l’on s’est trompés. C’est exactement ce qui est en train d’arriver aux pouvoirs publics avec le Health Data Hub (HDH) : dans 40 ou 50 ans dans les promotions des écoles de management, pendant le cours des plus beaux fails de la prise de décision à haut niveau, nul doute que l’affaire des avions renifleurs sera traitée dans la même session que celle du Health Data Hub. Ainsi, selon Mediapart la CNIL demande que Microsoft cesse d’héberger le HDH[1].    Lire la suite ...