Vous êtes dans : Accueil > sécurité >
Les attaques par ransomware se sont intensifiées pendant la pandémie de Covid-19. Veeam, éditeur de solutions de sauvegarde, et l’intégrateur CFI Groupe proposent un guide méthodologique pour protéger les entreprises de services de santé et atténuer les risques de cybermalveillance.
À l’écoute de ses adhérents, l’AFCDP a souhaité partager trois retours d’expérience de DPO qui ont relevé des défis différents liés au premier confinement de la crise COVID. Ci-dessous, le témoignage de Moufid Hajjar, Délégué à la protection des données au CHU de Bordeaux.
Appartenant au groupe Vivalto Santé, l’Hôpital privé de la Baie à Avranches dans la Manche, est le tout premier établissement en France à utiliser la réalité virtuelle en formation continue pour éviter les erreurs dans les blocs opératoires. Son module de simulation 3D baptisé « le bloc des erreurs » est un serious game1 en immersion virtuelle au cœur d’un bloc opératoire. Destiné à la formation continue des professionnels de santé, des internes et externes, ce programme innovant permet de traquer toutes les erreurs possibles dans un bloc.
Le niveau de confidentialité de la prescription de statines de ma grand-mère de 93 ans doit-il être le même que celui du compte rendu opératoire de la tumeur cérébrale de mon oncle de 52 ans ? Cette interrogation relève-t-elle du domaine éthique, philosophique juridique ? Le sujet est important car, à ce jour, rien ne les différencie. Les données de santé à caractère personnel des Français sont classées ultrasensibles, sans aucune hiérarchie. Ainsi, un Ehpad est soumis à la même réglementation qu’un centre hospitalo-universitaire, dont principalement le règlement général sur la protection des données (dit RGPD), qui oblige le responsable de traitement, c’est-à-dire le directeur ou la directrice, à mettre en œuvre toutes les mesures de sécurité requises adaptées à la sensibilité du traitement.
La formation continue, c’est important. C’est pourquoi, une fois n’est pas coutume, je propose à l’aimable lecteur un petit quiz, sur le thème des SI et de la sécurité des SI, pour se maintenir dans une forme intellectuelle éblouissante en ce début d’année. Une seule bonne réponse par question, on compte les points à la fin.
L’histoire est ressortie dans la presse récemment [1] : un groupe de 25 cliniques privées spécialisé dans le domaine de la psychiatrie a été victime d’une intrusion dans son système d’information et a reçu une demande de rançon à la fin du mois d’octobre [2].
Le 23 décembre, Éric Bothorel, député des Côtes-d’Armor, a remis au Premier ministre son rapport sur la politique publique de la donnée, des algorithmes et des codes sources.
C’est l’heure du bilan d’une annus horribilis, à tout point de vue.
L’Association française des ingénieurs biomédicaux a présenté ses recommandations pour améliorer la sécurité numérique des équipements biomédicaux lors d’un webinaire le 15 décembre dernier.
L’Agence du numérique en santé vient de communiquer les premiers résultats de l’outil Convergence pour les industriels et les régions. Ils mettent en avant le niveau de maturité des acteurs régionaux ainsi que les difficultés rencontrées, notamment dans le cadre du DMP.
En novembre et en décembre, l’ANS a proposé une nouvelle session d’une dizaine de webinaires à destination des professionnels de santé. Deux séances de la dernière semaine étaient consacrées à l’interopérabilité.
Une cyberattaque de cette ampleur n’arrive pas tous les jours. C’est pourtant ce qui vient de se produire – et apparemment elle est toujours en cours, au moins partiellement – contre les US.
C’est une véritable bombe qui a été lâchée sur la communauté du libre le 8 décembre dernier ! Le pingouin a pris du plomb dans l’aile. Alors que sa fin de vie avait initialement été annoncée pour le 31/12/2029, CentOS 8 voit sa fin de vie avancée au 31/12/2021 ! [1]
Chaque année, un tiers des événements indésirables graves est imputable au médicament. La réponse : le dispositif MEDISIS, porté par le Centre Hospitalier de Lunéville avec le soutien de l’ARS(1) Grand Est et des URPS(2) des médecins libéraux et pharmaciens du Grand Est. Il assure la sécurité de la prise en charge médicamenteuse des séniors. Expérimenté sur le territoire lunévillois, le projet vient d’obtenir un avis favorable du Comité technique de l’innovation en santé pour une expérimentation dans le cadre de l’Article 51(3) ; elle se conduira dans la région durant deux ans et demi. Partenaire de MEDISIS, Pulsy met à disposition son service de télémédecine Odys® pour assurer le suivi des patients à domicile.
Premier acteur public du numérique en santé, MiPih est le leader en informatique hospitalière. Fort de la confiance numérique instaurée avec ses 625 adhérents, MiPih met à disposition des décideurs publics et de l'ensemble des acteurs de santé, une offre de dématérialisation, de signature électronique, d'archivage électronique et de coffre-fort numérique, avec un accompagnement sur mesure.
Le Congrès de la SFSD s’est déroulé début décembre. Quatre jours de congrès 100 % digital et en réalité virtuelle, sans doute à l’inverse de ce que doit être la santé de demain. Il s’est terminé le vendredi 4 décembre avec une session sur la place de la télémédecine dans la santé de demain
Calendrier du programme, impacts sur les DSI hospitalières et les éditeurs, choix du DUI, AMOA : entretien à 360° avec Myriam Danyach-Deschamps, directrice du programme ESMS numérique à la Direction des établissements et services médico-sociaux – Caisse nationale de solidarité pour l’autonomie (CNSA).
Après les dernières attaques cyber touchant le monde de la santé, on ne peut manquer de s’interroger sur les dispositions prises dans les établissements publics ou privés pour sécuriser les accès distants des fournisseurs (celui des agents est un autre sujet). Comptes d’accès jamais clôturés, accès jamais audités, procédures internes aux fournisseurs plus que perfectibles (pour être poli), le moins que l’on puisse dire est qu’il s’agit d’un domaine pour lequel la sécurité des SI est… Comment dirais-je ? Sujette à amélioration (pour être très poli).
Comment fluidifier et hiérarchiser les communications dans les établissements de santé pour les rendre plus efficaces ? Comment assurer des échanges conformes au règlement général sur la protection des données ? Face à ces enjeux de transformation des usages et de protection des données de santé, le groupe d’hospitalisation privée Vivalto Santé mise sur l’application Quarness de Dedalus.
Ramsay Santé, leader de l’hospitalisation privée en France a retenu la solution e-fitback de Nouveal e-santé pour intégrer des modules d’accompagnement thérapeutique pré et post-hospitalisation à son portail patient « Ramsay Services ». Il s’agit concrètement d’aider les patients à bien se préparer à leur hospitalisation puis de les accompagner pour sécuriser leur retour à domicile par un télésuivi de l’équipe médicale.
Fin novembre, les députés en commission des Affaires sociales ont rejeté une proposition de loi sur la création d’une carte Vitale biométrique, dans la mesure où une expérimentation est déjà en cours sur l’e-carte Vitale.
Depuis septembre 2020, le centre hospitalier de Morez, l’un des quatre établissements du GHT du Jura, bénéficie du DPI Millennium® de Cerner. Une avancée considérable pour l’établissement de 94 lits qui était jusque-là faiblement informatisé.
Le 1er décembre 2020, le premier module(1) d’Eudamed, la base de données sur les dispositifs médicaux, a été lancé. L’Agence nationale de sécurité du médicament et des produits de santé encourage les opérateurs établis en France à s’enregistrer.
Le but de ce billet n’est absolument pas d’accabler les victimes de ces incidents, ni leurs prestataires, même si l’on pourrait dans certains cas attendre un peu mieux de leur part… mais de nous faire réfléchir sur nos pratiques, nos croyances et les contrôles que nous pourrions mettre en place pour nous assurer que nos prestataires sont à la hauteur de nos espérances.
Fort de ses 15 années d’expérience dans le domaine de la dictée numérique et de la reconnaissance vocale, Zenidoc franchit un cap en annonçant son propre moteur de reconnaissance vocale 100 % français, ZenReco, développé en collaboration avec le Laboratoire informatique d’Avignon.
Le groupe Dedalus a fait l’objet d’une cyberattaque le 2 décembre 2020 sur les infrastructures d’un de ses sites, situé à Mérignac (Gironde). Les équipes sécurité de Dedalus l’ont détectée et y ont mis fin.
Depuis 5 ans, Lifen facilite la coordination médicale et l’accès aux données pour l’ensemble des soignants. Aujourd’hui, nous voulons aller plus loin en aidant les professionnels de santé à soigner mieux en soignant ensemble. Pour concrétiser cette promesse, nous lançons aujourd’hui le projet Soigner Ensemble qui doit offrir à tous les soignants une prise en main rapide des solutions de e-santé pertinentes pour leurs pratiques, tout en les rendant interopérables avec leurs outils actuels.
Vous avez été plusieurs à m’interpeller concernant le correctif publié en août par Microsoft pour la vulnérabilité CVE-2020-1472 (Zerologon) concernant le protocole d’authentification Netlogon. Pour rappel, plusieurs POCs disponibles publiquement permettent d’exploiter la vulnérabilité [1] et certains attaquants comme ceux derrière le rançongiciel Ryuk ne se privent pas pour l’utiliser et compromettre l’ensemble du SI et chiffrer un maximum de données [2]. Cette information est notamment rappelée dans un rapport publié le 30 novembre par le CERT-FR de l’ANSSI [3].
Pour sécuriser les données de santé de ses dispositifs médicaux connectés et application de self-care, BewellConnect a fait appel à Enovacom pour stocker les données de santé que l’entreprise récolte dans des datacenters certifiés HDS (Hébergeurs de Données de Santé).
Les données personnelles de santé sont des données sensibles. Leur utilisation est encadrée par la loi pour protéger les droits des personnes. Par conséquent, l’hébergement de ces données doit être réalisé dans des conditions de sécurité optimales et adaptées à leur importance.
Fort de neuf établissements médicaux chirurgicaux, de trois maternités et d’un établissement de Soins de Suite et de Réadaptation, le groupe mutualiste HOSPI GRAND OUEST propose aux populations de Bretagne et Pays de la Loire une offre de soins diversifiée dans une logique de proximité.
Le directeur de l’Anssi alerte régulièrement les pouvoirs publics sur l’état grandissant de la menace cyber et, la semaine dernière, le Cigref adressait dans un courrier[1] au Premier Ministre son inquiétude sur l’industrialisation de la cybercriminalité et la faible réponse étatique.
C’est avec de nouveaux talents intégrés au sein de ses équipes que WELIOM termine l’année 2020. En ces temps de crise, quoi de plus naturel que de se tourner vers l’avenir ?
Le secteur de la santé a été pionnier dans l'intégration de nouvelles technologies dans ses procédures opérationnelles, or celles-ci ont toutes comme point commun une dépendance totale au réseau d'entreprise pour fonctionner. Tout à coup, sont apparus sur le marché un flot de dispositifs médicaux devant désormais être connectés au réseau, tels que des appareils de transfusion, des analyseurs de gaz du sang, des systèmes de télémétrie, des appareils à rayons X portatifs, des appareils à ultrasons, et ainsi de suite.
Réalisée après la première vague de Covid 19, l’enquête d’opinion nationale « Les Français et le virage numérique en santé » dresse le bilan des perceptions et attentes des Français.
Il est assez rare de voir autant de vulnérabilités zero day corrigées en aussi peu de temps. Google publie des correctifs de sécurité pour Chrome, autant qu’un curé pourrait en bénir, si bien qu’il devient de plus en plus rare qu’il passe plus d’une semaine entre deux patches…
Élément de prise en charge des patients, l’éducation thérapeutique aide ces derniers à acquérir ou à maintenir les compétences dont ils ont besoin pour gérer au mieux leur quotidien lorsqu’ils sont porteurs d’une maladie chronique. Pharmagest a mis au point ETP-Pilot, une application Web qui facilite et simplifie la gestion des parcours d’éducation thérapeutique du patient organisés et coordonnés par des équipes de professionnels de santé.
Les 22, 23 et 24 juin 2021, l’APSSIS organisera son 9ème Congrès National de la SSI Santé. 160 participants sont attendus à l’espace culturel des Quinconces du Mans pour 3 jours de conférences, de débats et d’échanges.
Petite bombe dans le domaine juridique en matière de SSI, la CJUE vient de déclarer illégale la réglementation française qui impose à tous les acteurs de conserver les logs de connexion et de navigation Internet des citoyens/usagers. Un article de Winston Maxwell(1) traite la question. Il est court et vaut vraiment la peine d’être lu en détail.
arretmaladie.fr et docteursecu.fr, deux sites Internet proposant des arrêts maladie à distance, ont été condamnés à une fermeture définitive par le tribunal judiciaire de Paris, notamment pour non-respect des règles de la télémédecine et absence de protection des données de santé.
La solution logicielle Medsphère, dédiée à la Gestion Administrative des Patients (GAP), a obtenu l'autorisation pour l’intégration du téléservice INSi v2.0 suite à l'examen du CNDA réalisé fin octobre 2020.
L’importance de l’imagerie dans la pose d’un diagnostic médical n’est plus à démontrer. Depuis le 1er trimestre 2020, la quinzaine de structures du GIE Imagerie Callot(1) en Lorraine et le Groupe hospitalier de la région de Mulhouse et Sud-Alsace (GHRMSA) utilisent le service e-mage porté par Pulsy. Avec le consentement du patient, les données d’imagerie médicale produites sont désormais partagées sur e-mage de manière sécurisée avec les professionnels de santé autorisés et les patients. Zoom sur une plateforme mutualisée, au service du patient.
Pulsy, groupement régional d’appui au développement de la e-santé, vient d’obtenir la certification d’hébergeur de données de santé (HDS), attestant de la sécurité, la performance et la fiabilité de ses services. Fruit d’un travail collectif de 18 mois, l’obtention de cette certification confirme la position de Pulsy comme tiers de confiance numérique dans le Grand Est.
En préambule du webinaire qui se tiendra le 19 novembre de 10 h 30 à 11 h 30 sur www.dsih.fr., Aïssa Khelifa, animateur expert pour DSIH, esquissera le tableau de la digitalisation du parcours patient autour de cinq axes : les enjeux techniques, fonctionnels, organisationnels, juridiques et économiques. Autant de questions qui intéressent directement les acteurs hospitaliers, qu’ils soient administratifs, techniques ou soignants, et que nous pourrons aborder le 19 novembre prochain dans le cadre des webinaires des Jeudis du numérique, organisés par DSIH.
Le 26 octobre, la FNEHAD a annoncé la sortie du Livre blanc de l’e-santé en HAD, élaboré en partenariat avec la Société française de santé digitale (SFSD). Il ambitionne de placer l’hospitalisation à domicile à l’avant-garde du numérique en santé.
Après un retour fracassant en compromettant fin septembre le système d’information d’UHS (Universal Health Services) [1], une chaîne de 400 établissements de santé et le SI du géant de l’IT français, Sopra Steria le 20 octobre [2], le rançongiciel Ryuk ciblerait à nouveau le secteur de la santé d’après une alerte émise conjointement par le CISA (« l’ANSSI américaine »), le FBI et le HHS (« Ministère américain de la santé ») [3].
Dans un contexte de transformation organisationnelle majeure, le SIB - acteur public du numérique au service de la santé et des collectivités - a validé la mise en place de son nouveau conseil d’administration et procédé à l’élection de son nouveau président Saber Aloui.
Les Assises de la sécurité, rendez-vous incontournable des acteurs du domaine de la sécurité numérique fondé par Gérard Rio, fêtaient leur 20e anniversaire cette année ! Malgré le contexte, les bougies ont pu être soufflées « en vrai » !
La crise sanitaire a accéléré les achats IT dans le secteur de la santé en soulignant l’important du lien entre digitalisation et performance des offres de soins.
Les plus lus