Vous êtes dans : Accueil > sécurité >
Récemment, je suis tombé sur un article[1] qui disait, en substance, que les pires ennemis du RSSI étaient les dirigeants : DG, DAF, DRH, etc. Et que, dans le même temps, les RSSI (Ciso dans le monde anglo-saxon) se retrouveraient (toujours selon l’article) de plus en plus en ligne de mire des juges en cas de manquement grave aux bonnes pratiques cyber. Bref, c’est nous (les RSSI) les gentils au milieu de tous ces méchants qui font rien que nous empêcher de cybersécuriser en rond.
THIN® (The Health Improvement Network), l’une des plus importantes bases de données santé en Europe, comporte désormais les dossiers médicaux informatisés et anonymisés allemands
La Centrale d'achat de l'informatique hospitalière (CAIH) a choisi l’expert européen de la cybersécurité Advens pour élaborer une vision novatrice de la cybersécurité, en proposant une offre « all inclusive as a service » et en industrialisant le management des systèmes de protection grâce à un Centre Opérationnel de Sécurité (SOC) mutualisé.
« Cyberaccélération : la route est droite… mais étroite ! » Vincent Trély, fondateur et président de l’Apssis, également infatigable combattant pour la sécurité des systèmes d’information de santé, est par ailleurs l’un des promoteurs du métier de « RSSI Santé ». Après plusieurs mois particulièrement denses pour la cybersécurité en santé, il se prête au jeu de nos questions, revient avec perspicacité sur l’actualité du secteur et nous livre son analyse des enjeux à venir.
Après une analyse approfondie par des experts indépendants dans le domaine de l’éthique, de la réglementation, de la sécurité et du niveau de preuve et de bénéfice clinique, le comité de l’Institut National de e-Santé (INeS), a attribué son label de solution à haut niveau d’évaluation clinique pour l’application VIDAL Sentinel et son label de la solution à fort potentiel clinique pour VIDAL Ma Santé.
WELIOM, en partenariat avec ALL4TEC, a développé une approche unique pour la gestion des risques de sécurité de l’information dans le domaine de la santé. Grâce à l’outil Agile Risk Manager (ARM), la méthode EBIOS RM certifiée par l’ANSSI a été adaptée pour répondre aux besoins spécifiques des établissements de santé.
Si les girafes ont un long cou, c’est parce qu’elles ont dû aller chercher leur repas en hauteur dans les arbres. Les girafes à petit cou n’ont pas survécu ; elles n’ont donc pas pu se reproduire avant de mourir et ainsi transmettre les gènes du petit cou (bon, c’est un peu plus nuancé que cela, mais c’est en gros l’idée générale).
Dans son nouveau marché « Cloud : conseil, accompagnement et infrastructures hébergées pour les données de santé », la centrale d’achats informatiques CAIH a sélectionné Cloud Temple pour son cloud de confiance qualifié HDS et SecNumCloud et ses services managés. Le spécialiste français du cloud hybride est également présent comme partenaire de Blue Soft Empower autour des environnements Microsoft Azure.
Définir, appliquer et contrôler une politique cohérente d’accès aux données médicales d’un DPI est en soi un vrai défi. A fortiori quand l’établissement est de grande taille (CHU ou gros CH), a fortiori s’il mêle des activités hétérogènes (MCO, Psy, SSR, etc.), a fortiori si l’établissement appartient à un plus gros ensemble (CHT, GHT), a fortiori si les éléments de l’ensemble ont des cultures hétérogènes, des histoires différentes. En plus des 70 pages du guide Apssis[1], votre serviteur ne parvient pas à épuiser totalement le sujet, c’est dire.
Le différend entre l’Ordre des pharmaciens et Livmed’s a fait l’objet d’un renvoi préjudiciel devant la Cour de justice de l’Union européenne par le tribunal judiciaire de Paris, qui a donc suspendu sa décision et ne se prononcera qu’après arrêt rendu par la juridiction communautaire.
Il y a des semaines où s’enchaînent les ennuis, et là, j’ai eu ma dose. Alors je viens chercher réconfort auprès du lecteur qui sera sensible (sans pouvoir y répondre, forcément) à mes interrogations existentielles sur les octets, les malwares, les processus et les patchs OS vérolés.
La cybersécurité est aujourd'hui un enjeu majeur pour tous les acteurs de soins, confrontés à une augmentation constante des attaques informatiques. Les données de santé, extrêmement sensibles, sont devenues une cible de choix pour les cybercriminels. Face à cette réalité devenue quotidienne, il est impératif que les acteurs du secteur de la santé prennent des mesures proactives pour renforcer leur cybersécurité et protéger les données sensibles de leurs patients. Anticiper pour éviter l’attaque, serait-ce la clé ? C'est précisément la stratégie mise en place par l’Etablissement Français du Sang (EFS) et la Centrale d’Achat Informatique Hospitalière (C.A.I.H.) en choisissant Gatewatcher en tant que partenaire.
Point de système d'intelligence artificielle (IA) sans données massives, or, l'articulation entre constitution de bases de données à caractère personnel d'apprentissage et protection des données est parfois délicate.
Lors de mon enfance, quand j’allais chez mes grands-parents le mercredi, au petit déjeuner, j’avais droit à toutes les saveurs de confiture maison, pain au beurre et jus d’orange. Avec un bol de chocolat chaud, pour lequel ma grand-mère faisait systématiquement bouillir le lait. Pas du lait de ferme sorti 10 minutes plus tôt de l’étable, je précise, non, non : du lait stérilisé UHT en brique bleue achetée au supermarché. Faire bouillir ce genre de lait ne sert strictement à rien (sauf à se brûler régulièrement la langue), c’est juste une habitude héritée de mon arrière-grand-mère (au temps où les briques UHT n’existaient pas et où il fallait pasteuriser le lait soi-même), qui a d’ailleurs été reprise par presque toutes mes tantes – on parle donc d’un geste qui a perduré pendant au moins trois générations.
Depuis le printemps, les 2400 professionnels de santé du Centre hospitalier Guillaume Régnier (CHGR) ont un nouvel outil de travail au quotidien : le dossier patient informatisé (DPI) Sillage. Edité par le groupement d’intérêt public rennais SIB, ce DPI a pour objectif d’accélérer la transition numérique de l’établissement, de favoriser le développement de « l’aller vers » et le maillage territorial en facilitant les échanges avec l’ensemble des partenaires (ville, hôpital, dispositifs sociaux et médico-sociaux) tout en renforçant la sécurité des données patients. S’appuyant notamment sur un dispositif d’accompagnement au changement innovant, d’un calendrier projet co-construit et respecté, l’adoption de Sillage au sein du 3ème plus important établissement public de santé mentale en France s’est faite facilement.
Le 9 octobre, les acteurs du plan France 2030 ont dévoilé le nom des 14 lauréats de l’appel à manifestation d’intérêt « Compétences et métiers d’avenir ». Huit d’entre eux sont consacrés à la santé numérique.
L’eau, ça mouille, les caramels bousillent les dents, les impôts passent tous les mois, et la comète de Halley tous les 76 ans. Jusqu’à preuve du contraire, on est dans le domaine des lois de la physique (même pour les impôts), ce n’est pas près de changer. C’est clair, carré, rassurant, stable, immuable, permanent. Du lourd, quoi.
Mercredi 20 septembre, s’est terminée la phase de déploiement de la « vague 1 » du programme Ségur numérique SONS, pour les logiciels du secteur sanitaire, lancée durant l’été 2021.
Le 10 juillet 2023, à l’occasion d’une Assemblée Générale constitutive, Thomas AUBIN, RSSI du GHT Lille Métropole Flandre Intérieure, Béatrice BERARD, OSSI du GHT Val Rhône Centre, Adrien BOURDON, RSSI du GHT Vendée, Jean-Sylvain CHAVANNE, RSSI du GHT de Bretagne Occidentale, Vincent TEMPLIER, RSSI du GHT Est Hérault – Sud Aveyron et Philippe TOURRON, RSSI du GHT des Hôpitaux de Provence, ont confirmé la création de l’Association à but non lucratif de loi 1901 dénommée « Club des Responsable de la Sécurité des Systèmes d’Information de Santé » ou « CLUB RSSI Santé ». L’Association, soutenue par l’Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI), représente et fédère les Responsables de Sécurité des Systèmes d’Information (RSSI) des Groupement Hospitaliers de Territoire (GHT) et établissements publics de santé. Les autorités compétentes en santé, dont le Fonctionnaire de Sécurité des Systèmes d’Information (FSSI) des ministères sociaux, peuvent être sollicitées pour participer aux réunions et aux échanges, autant que de besoin.
Je m’étais déjà essayé à l’exercice qui consistait à tenter d’imaginer les scénarii de type fins de partie, END OF GAME dans la cyber. L’idée venait d’un ouvrage de Guillaume Bigot il y a une petite vingtaine d’année : « Les 7 scénarios de l’apocalypse », qui mêlait joyeusement guerre nucléaire, attaque bactériologique mondiale et j’en passe.
Et on commence par des réflexions sur… la messagerie : oui, pas très original, mais en même temps quand on voit le nombre de cochonneries qui transitent par ce canal de communication, j’aurais encore des trucs à écrire dessus à la saint-glinglin. Bon, en tout cas, dans un court article d’UnderNews[1] on trouve quelques rappels sur le rôle central de cet outil, et la nécessaire sensibilisation des utilisateurs pour comprendre que ce n’est pas un clicodrome. On finira tous par passer à terme sur des solutions de nettoyage de mails dans le Cloud, et j’aime bien cette approche pour deux raisons : d’abord parce que c’est typiquement le genre de techno à externaliser, et qu’en plus elle est réversible (rien de plus simple que de changer une IP de destination dans les paramètres de votre passerelle de messagerie pour passer du fournisseur A au fournisseur Z, on ne peut pas en dire autant des hébergements Full type Micromou et Mamazon). Tiens, au fait : l’auteur de l’article introduit son propos en affirmant que « la cybersécurité est désormais un incontournable ».
Alors que, dans le domaine de l’imagerie médicale, la vague 1 du Ségur du Numérique en Santé n’amenait aucun usage nouveau, la vague 2, qui sera lancée fin novembre, s’annonce comme particulièrement innovante et riche à travers le projet DRIM-M. Il s’agit d’une évolution majeure dans les pratiques de l’imagerie médicale. Les acteurs du secteur pour se les approprier à l’occasion des JFR où Medsquare oragnisera des réunions privées d’information sur sa solution DRIM-M experio.
Le 3 mai 2023 à 13h, en un clic, le CHU de Caen a rejoint le réseau des 8 hôpitaux déjà équipés des modules pôle mère-enfant du DPI en SaaS Galeon. Retour d’expérience sur plusieurs mois de collaboration fructueuse entre les soignants, l’équipe SI et l’entreprise annécienne, tous résolument tournés vers le développement interne d’intelligences artificielles.
Retour sur l’intervention de Me Alexandre Fievée lors du Salon-Congrès City Healthcare à la Cité des congrès de Nantes
Gilles Calmes, directeur général du CH Sud Francilien, et Patrice Garcia, DSI de l’établissement, ont tiré le bilan la cyberattaque majeure subie par l’hôpital en août 2022, le 28 septembre lors des 3èmes Rencontres SSI Santé de l'APSSIS.
La Délégation au numérique en santé (DNS), l’Agence du numérique en santé (ANS) et la Caisse nationale de l’Assurance maladie (Cnam) ont souligné, le 21 septembre lors d’une conférence de presse, le « succès » de la première étape du Ségur du numérique marquée par le déploiement des mises à jour des logiciels « Ségur vague 1 »
Enovacom, filiale santé d’Orange Business, a annoncé ce mardi 26 septembre l’acquisition de NEHS DIGITAL et Xperis, deux filiales du groupe Mutuelle Nationale des Hospitaliers. Laurent Frigara, co-fondateur d’Enovacom, revient pour DSIH sur cette annonce majeure pour l’entreprise, dont la taille va doubler.
Un patient s’est plaint du non-respect, par un laboratoire d’analyses médicales, de ses obligations au titre du RGPD. En défense, le laboratoire invoquait sa qualité de sous-traitant pour expliquer l’absence d’analyse impact et d’information des patients. Était-ce une bonne stratégie ?
« Quoi que je voie ou entende dans la société pendant, ou même hors de l’exercice de ma profession, je tairai ce qui n’a jamais besoin d’être divulgué, regardant la discrétion comme un devoir en pareil cas. » Tous les médecins qui ont prêté serment connaissent ce passage issu du serment d’Hippocrate, qui adresse très clairement la confidentialité – absolue – des données médicales dont le praticien prend connaissance. L’article 32 du RGPD ne dit d’ailleurs pas autre chose (« […] des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement »), ce qui tombe bien puisque la vision des données personnelles et la vision médicale se rejoignent.
Dans le cadre de nombreux évènements qu’elle organise, l’ANS illustre son rôle stratégique de régulateur de l’espace du numérique en santé, et son engagement dans la réalisation des grands projets de la feuille de route 2023-2027 sur les territoires.
Les 27es Journées d’ingénierie biomédicale se dérouleront au Palais des congrès de Bordeaux du 27 au 29 septembre 2023 sur le thème « Technologies et agilité biomédicales : le meilleur est Avenir ». Interview de Valérie Moreno, présidente de l’Association française des ingénieurs biomédicaux.
Parce que certains traitements présentent des risques « d’une ampleur particulièrement importante » (les traitements dits « critiques ») et qu’ils sont la cible « des attaquants qui disposent de fortes capacités ou de fortes motivations », la CNIL a rédigé un projet de recommandation relative aux modalités de sécurisation de ces traitements[1].
Y a pas de raison que je sois le seul à ne pas y avoir droit, à l’IVC.
Le 8 septembre, la DNS, l’ANS, la Cnam et les éditeurs de logiciels ont annoncé la poursuite de leur collaboration pour améliorer les fonctionnalités Ségur des logiciels et renforcer l’appropriation de leurs usages par les médecins de ville.
Après un petit voyage intergalactique, vous débarquez sur la planète Zorglub et tombez nez à nez avec des représentants de la tribu des SentinelTwo, qui après les présentations et palabres d’usage vous signifient aimablement que, sous peine des pires maux des enfers, il faut prêter allégeance (et accessoirement signer un petit chèque) à leur Grand Chef à plumes, ce qui inclut l’exclusivité et la reconnaissance de la supériorité intergalactique unique et indéfectible du Grand Chef en question. Qu’à cela ne tienne. Sauf qu’en vous baladant les jours suivants dans la campagne zorglubienne vous tombez sur une autre tribu (les Carbones Noirs) qui vous explique la même chose à propos de son Big Boss (et re-chèque, et re-allégeance exclusive) et vous démontre avec force schémas que les SentinelTwo sentent le moisi. Puis sur une troisième (les Tendances), une quatrième (les Kasperpoutine), et cela n’en finit plus. Sans même parler des chèques, on a un léger souci avec quatre allégeances exclusives, chacun expliquant que ce sont les autres les nazes de l’histoire.
A l’occasion de SantExpo, Nicolas Funel, Président de la CAIH, Pierre Thépot, Président d’UniHA, Béatrice Bérard et Jean-Sylvain Chavanne, représentants du Club des RSSI Santé ont signé un partenariat exclusif pour intégrer la cybersécurité dans les achats hospitaliers. Ce partenariat prend la forme d’un pacte de confiance numérique qui repose sur deux axes majeurs : une clause de conformité ainsi que la co-construction de marchés en cybersécurité.
Plongez dans l'univers fascinant de la cybersécurité avec notre prochain webinar incontournable : "Cyberattaques : comment l’EFS et la CAIH protègent leur réseau et celui de leurs adhérents ?"
Le 28 août, la Cnil a lancé une consultation publique sur un projet de recommandation relative à la sécurité des traitements dits « critiques », en ce qu’ils présentent un risque majeur en cas de violation.
Imaginez un peu…
Le 18 août, l’Agence du numérique en santé a relayé l’alerte du Centre de coordination de la cybersécurité du secteur de la santé américain au sujet des risques du groupe de rançongiciels Rhysida Ransomware qui se sont étendus au secteur de la santé.
Apparemment, le temps de cet été 2023 aura été très contrasté. Canicule au sud, incendies en masse dans pas mal de lieux prisés de villégiature, météo mitigée au nord avec des semaines carrément pourries. Ça change, somme toute, des étés caniculaires partout.
En juillet, l’Assurance maladie a publié son rapport annuel de propositions avec une analyse et des propositions concrètes pour améliorer la qualité du système de santé et maîtriser les dépenses. Il y est notamment proposé d’apposer un « label d’État » aux meilleures applications Santé disponibles sur smartphone.
Le ronronnement des habitudes semble être la norme, jusqu’au moment ou une bonne petite rupture de paradigme vous rattrape par le colback.
C’est bientôt les tongs, le sable entre les doigts de pied et les gamins qui braillent à deux serviettes de la vôtre. Avant cela, il est temps de faire un bilan à mi-course de l’année 2023.
La Formation RSSI / SSI Santé - Porter la SSI et la conformité numérique : technicité et savoir-faire est une formation spécialement conçue par l’APSSIS pour les professionnels de santé en charge de la sécurité des SI, RSSI, Référents SSI, DSI, DPO, ingénieurs. Dispensée sur 3 jours par Vincent TRELY, Président de l’APSSIS, son contenu est inédit, régulièrement actualisé et propose un 360° sur la SSI Santé.
Le 30 juin, le ministère de la Santé et de la Prévention et la DGOS ont publié au Bulletin officiel Santé-Protection sociale-Solidarité un guide d’aide à la préparation au volet numérique du plan blanc.
Ne vous posez pas la question de savoir s’il faut des antimalwares sur vos PC. Il en faut (et au demeurant on aura franchi un cap important quand on arrêtera de lire les précos tek de certains éditeurs qui vous expliquent qu’il faut exclure la moitié des répertoires de la protection résidente – authentique !).
La Haute Autorité de santé (HAS) enrichit son référentiel de certification des établissements de santé pour la qualité des soins de critères sur la gestion des risques numériques pour une mise en application à compter du 1er janvier 2024. Elle recrute dès maintenant de futurs experts-visiteurs compétents sur les sujets du numérique exerçant dans les hôpitaux et les cliniques.
Docaposte, filiale numérique du groupe La Poste, entre en négociation exclusive en vue d’une prise de participation majoritaire dans WELIOM, cabinet de conseil spécialisé dans l’accompagnement des acteurs de la santé dans leur transformation numérique. Ce rapprochement opéré autour d’ambitions et de valeurs communes permettra de constituer au sein de Docaposte un pôle autonome d’expertise et de conseil dédié au secteur de la santé. En s’associant avec WELIOM, Docaposte poursuit sa stratégie visant à devenir un leader numérique souverain au service de la transformation des organisations de santé.
Le 27 juin, l’Agence du numérique en santé annonçait l’ouverture du guichet « Ligne générique » sur Convergence en phase nominale dans le cadre de la certification de conformité des DMN au référentiel d’interopérabilité et de sécurité des dispositifs médicaux numériques.
Les plus lus