Vous êtes dans : Accueil > sécurité >
La news a été diffusée par plusieurs médias spécialisés : le dossier patient (DP) de Pierre Palmade à l’AP-HP a été consulté à de multiples reprises par des personnels n’ayant rien à voir avec la prise en charge médicale de l’humoriste… voire travaillant dans l’un des établissements de l’AP-HP où il n’était pas hospitalisé. Il s’agit d’un accès indu au DP (ou de curiosité malsaine en langage courant). C’est illégal et c’est puni par la loi. Cela étant, le sujet est très complexe. Décryptage.
Le 31 mars 2023, le Journal officiel a publié un décret sur la prise en charge anticipée des dispositifs médicaux numériques à visée thérapeutique et des activités de télésurveillance médicale par l’Assurance maladie.
Notre écosystème est toujours très masculin, nos événements accueillent plus de 80% d’hommes et les récentes études réalisées sur la présence des filles dans les filières scientifiques et informatiques ne montrent aucune amélioration. Pourquoi la mixité semble si difficile à atteindre dans le numérique et encore plus dans la cyber ?
Les séries TV fleuves vous ennuient ? Les histoires avec le méchant JR et le gentil Bobby Ewing vous font bâiller à vous en décrocher la mâchoire ? Essayez ChatGPT.
Le CHU de Saint-Étienne a sélectionné la solution de stockage flash Pure Storage pour améliorer son système d’information. Le déploiement, mené en quelques semaines avec Axians, s’est traduit par une réduction de la latence des applications et une baisse notable de la consommation électrique, ainsi que par un renforcement de la protection contre les cybermenaces.
Depuis quelques jours, je vois beaucoup d’engouement sur les réseaux sociaux autour du blocage des scanners qui, comme le très connu Shodan ou son challengeur français Onyphe [1], référencent les ports, services, applications et vulnérabilités qui les affectent de toutes les machines exposées sur Internet.
Ça y est, c’est le printemps, il est largement temps de se changer les idées avec un petit quiz pas du tout orienté ni poil à gratter – pas mon genre. Une seule bonne réponse par question, on compte les points à la fin.
La tempête n’est toujours pas passée… C’est ce que nous apprend le récent panorama de la cybermenace 2022 de l’ANSSI [1] : le nombre de cyber-attaques touchant les établissements de santé reste au plus haut niveau. Alors que faire face à cette situation ? La réponse : se préparer aux intempéries à venir ! C’est tout l’objet de l’instruction ministérielle SHFDS/FSSI/2023/15 du 30 janvier 2023 [2] : elle impose aux établissements de santé de réaliser annuellement un exercice de gestion de crise. Attention, l’objectif de ces exercices n’est pas de tester la continuité informatique ou bien la continuité de l’activité via le déclenchement des modes dégradés, mais bien de tester le fonctionnement de la cellule de crise de l’établissement.
De nombreux pharmaciens spécialisés en oncologie avaient fait le déplacement le 2 mars dernier, à Bordeaux, pour découvrir la version 6.0 de l’application Chimio de Computer Engineering. L’éditeur a présenté toutes les évolutions de son logiciel phare.
L’oncologie évolue notamment avec l’avènement des thérapies orales. Ce qui soulève de nouveaux enjeux pour les patients et pour l’ensemble des acteurs de sa prise en charge. Les nouvelles solutions numériques répondant aux besoins à la fois des professionnels de santé et des patients doivent assurer l’accompagnement, la coordination, la qualité et la sécurité de la prise en charge ambulatoire.
La présidente de la CNIL a rappelé à deux organismes procédant à des recherches médicales leurs obligations légales.
Impossible d’être passé au travers tant l’info a fait le tour de l’actualité cyber : jeudi dernier le CHU de Brest était la victime d’une attaque cyber. Soyons clair : à ce stade, même si la communauté des RSSI hospitaliers dispose de plusieurs éléments techniques, impossible de divulguer quoi que ce soit dans un média ouvert sur ladite attaque pour des raisons évidentes de protection des SIH.
Le 7 mars, l’Agence du numérique en santé a annoncé le référencement de deux nouveaux services sur Mon espace Santé. Le catalogue comprend désormais 20 services dans le champ de la santé et du bien-être.
Après 2 ans d’une présidence dynamique et engagée, Vincent Charroin, Directeur des Achats aux Hospices Civils de Lyon, cède sa place à Nicolas Funel, Directeur Adjoint au Centre Hospitalier de Toulon en charge de la direction des achats du GHT du Var.
Soyons clairs : toutes les méthodes de modélisation du comportement humain ne sont jamais que des outils, des grilles de lecture. Parfois elles fonctionnent et tombent même remarquablement juste, mais parfois non. Pyramide de Maslow, sociodynamique, rosace 360° : il ne faut pas les tordre ni leur faire dire ce pour quoi elles ne sont pas prévues.
En 1981, l’ordinateur personnel fait irruption dans les foyers. 2 décennies plus tard, 386 millions d’ordinateurs sont connectés. Aujourd’hui, on compte environ 5 milliards d’internautes. PC, smartphones, objets connectés, applications…, utilisés dans un cadre personnel ou professionnel, nous accompagnent quotidiennement. Mais le numérique n’est pas une « industrie immatérielle ». Et nous, utilisateurs, avons découvert, parfois circonspects, que l’envoi d’un mail génère 4g de CO2 ou encore que, à l’échelle mondiale, les data centers sont à l’origine de 2 % des émissions de gaz à effet de serre, atteignant le même niveau que le transport aérien (1). Se pose alors légitimement la question du coût environnemental du numérique et de l’intérêt collectif d’une démarche numérique responsable. Entretien avec Jean-Pascal MINNI, Consultant WELIOM.
Alors que l’espace européen des données de santé est encore à ses balbutiements, le règlement sur la gouvernance des données, (en anglais data governance act – DGA), première pierre de l’arsenal juridique européen visant à instaurer le marché unique de la donnée, entrera en application le 24 septembre prochain. Applicable tout secteur confondu, ce règlement trouve un écho particulier dans le secteur de la santé. Preuve en est, le cas des services d’intermédiation.
Les dispositifs médicaux font partie intégrante de la prise en charge médicale, ceux qui intègrent une fonction numérique peuvent générer un grand nombre de données de vie réelle et ouvrent la voie à une médecine plus personnalisée. Ces données permettent, par exemple, de renforcer le suivi entre deux consultations, de contribuer à l’accompagnement thérapeutique, d’anticiper des complications, ou d’améliorer la coordination des professionnels de santé.
Le 20 février 2023, dans le cadre du Ségur du numérique en santé, l’ANS a annoncé que 95 % des officines sont éligibles à la prise en charge par l’État après le référencement de la majorité des logiciels de gestion d’officine.
Une des qualités premières pour prétendre à une carrière de RSSI, c’est de garder ses yeux d’enfant. C’est ce que l’on se disait récemment, mes 52 printemps et moi-même. Illustration.
L’Agence du Numérique en Santé (ANS) a publié le 21 février la nouvelle version de la doctrine du numérique en santé. Ce document, qui fournit le cadre de référence dans lequel les services numériques d’échange et de partage de données de santé devront s'inscrire dans les années à venir, comprend deux nouveaux chapitres sur SAS et Via Trajectoire.
Villefranche-sur-Saône, Dax, Oloron-Sainte-Marie, Albertville, Arles, Castelluccio, Saint-Dizier, Vitry-le-François, Mâcon, Paris, Corbeil-Essonnes, Versailles… Et ceci n’est qu’une courte liste des différents établissements de santé publics et privés visés par des cyberattaques ces dernières années. En pleine ouverture et mutation numérique, le secteur hospitalier a dû faire face à de multiples vagues successives de cyberattaques bloquant tout ou partie de leur activité et forçant certains à revenir à l’ère du crayon à papier. Aider les établissements de santé à maitriser le risque cyber nécessite toutefois d’adopter une approche résolument proactive en prenant en compte les contraintes propres au secteur. La protection du réseau – et les technologies adaptées – sont indispensables pour prémunir les structures concernées.
Le programme ESMS Numérique est promu dans l’action 21 de la feuille de route « Accélérer le virage numérique ». Ce programme repose principalement sur le déploiement d’un Dossier de l’Usager Informatisé (DUI). Toutefois, l’expérience sur le terrain du cabinet de conseil, WELIOM, tend à prouver que, sans préparation, le déploiement d’un DUI est à risque. Et ce, d’autant plus que le nombre de structures est grand, que le champ d’activité est varié et que la maturité digitale est faible. Comprendre son environnement numérique, répondre aux interrogations, voire aux appréhensions des utilisateurs, susciter l’envie et s’approprier les usages des services socles… sont autant de prérequis à maitriser. Avec Nathalie Bessis-Levy, Consultante WELIOM
Récemment, une discussion entre amis a doucement dérivé vers les théories complotistes.
Dans sa trajectoire de forte croissance, le Groupe Softway Medical - leader de l’informatique en santé labellisé Happy at Work – ouvre 114 postes en CDI de développeurs, techniciens et infrastructures à Paris, Lyon et Aix-en-Provence.
Les attaquants derrière le cheval de Troie Qbot (aussi connu sous le nom de Quakbot) utilisent depuis longtemps des fichiers Word ou Excel avec des macros servant à télécharger et exécuter la charge malveillante.
On pourra toujours se rassurer – Coué, Coué, Coué – en lisant dans les derniers rapports de l’Anssi qu’il y aurait eu moins d’attaques en 2022 qu’en 2021, il n’empêche, de mémoire de vieux croûton, je n’ai jamais connu un tel début d’année.
La Sciences Po Cybersecurity Association a organisé le 8 février une conférence sur le thème « Le secteur de la santé face aux cyberattaques ». Les participants sont notamment revenus sur le sensible sujet des rançons payées et sur les prétentions « éthiques » de certains pirates.
Si cela semble en surprendre certains, le fait que les attaquants s’intéressent de près aux hyperviseurs VMWare ESXi n’est pas vraiment quelque chose de nouveau. Souvenez-vous l’été 2021, de nombreux opérateurs de rançongiciels s’en prenaient déjà aux serveurs VMWare [1], dans un but bien précis, gagner du temps en chiffrant « à la source » les serveurs virtuels des systèmes d’informations de leurs victimes. En 2022, le groupe derrière le rançongiciel LockBit avait d’ailleurs procédé ainsi lors de l’attaque ayant ciblé le CH Sud Francilien.
Dans un récent et excellent article de La Tribune[1], Marc Sztulman, conseiller régional d’Occitanie et délégué au Numérique pour tous, s’interroge sur ce que sont ou ne sont pas la souveraineté et la confiance, en particulier autour des notions de Cloud. À titre personnel, je n’avais même pas connaissance de la différence entre ces deux idées (confiance versus souveraineté) car – selon moi – elles se recouvrent totalement. Il semble tout de même important de revenir sur quelques concepts.
Les professionnels de santé sont tenus au respect du secret médical, y compris entre eux s’ils n’appartiennent pas à une même équipe de soins. Le système d’informations de l’établissement dans lequel ils exercent doit donc faire l’objet de mesures techniques et organisationnelles susceptibles de garantir la sécurité, et donc la confidentialité, des données de santé qui y sont stockées.
« La Formation RSSI / SSI Santé - Version 3 - Porter la SSI et la conformité numérique : technicité et savoir-faire » est une formation spécialement conçue par l’APSSIS pour les professionnels de santé en charge de la sécurité des SI. Dispensée sur 3 jours par Vincent TRELY, Président de l’Association, son contenu est inédit, régulièrement actualisé et propose un 360° sur la SSI Santé.
Le 2 février 2023, la HAS a annoncé la mise à disposition de la liste des systèmes d’aide à la décision indexée par médicaments référencés pour les éditeurs de logiciels de soins ou de bases de données sur les médicaments.
Les services de santé publics et privés sont perçus par une majorité de Français comme légitimes pour proposer des solutions ou services digitaux de santé. Les entreprises du médicaments, entreprises technologiques et GAFAM souffrent eux d’une faible légitimité, selon une étude IPSOS.
La semaine dernière, l’ANSSI publiait son panorama de la cybermenace 2022 [1]. Quels enseignements tirer pour nos SI de santé, des attaques observées en France l’an passé ?
La routine, vraiment la routine.
L’éditeur Dedalus a organisé le 26 janvier à Paris la cinquième édition de sa traditionnelle journée D4Evolution. Si les thèmes mis en avant étaient les défis de la Data Driven, du cloud et de la qualité de vie au travail, un sujet transverse est apparu : le manque de personnel dans les établissements.
Dans une précédente publication, Cybersécurité : l’enjeu de la Gouvernance (1), parue dans le Guide cyber-résilience APSSIS - Opus 6 (2), nous discutions de l’implémentation d’une gouvernance de Sécurité et du rôle du RSSI dans cette démarche. Nous avons pu voir que les qualités requises pour un RSSI sont nombreuses mais nous nous arrêterons aujourd’hui sur l’une d’entre elles : l’anticipation. La gestion des risques pour la Sécurité de l’information devrait, ou doit, être considérée dès la phase d’un nouveau projet informatique, quelle que soit sa nature (intégration d’une nouvelle solution, d’un nouvel équipement, une migration, etc.) C’est le principe de l’Intégration de la Sécurité dans les Projets (ISP), un pilier essentiel de l'approche de la « Security by Design ». Le principe est simple : bien faire les choses dès le départ.
L’APSSIS a le plaisir d’annoncer la publication du 6ème opus des Guides Cyber-résilience à destination des professionnels du secteur. Conçus et élaborés par Cédric Cartau, RSSI et DPO - CHU de Nantes - du GHT 44 et Vice-président de l’APSSIS, ces guides se veulent à la fois accessibles, techniques et pratiques.
Le 10 janvier 2023 a été publié un arrêté concernant le financement de l’interfaçage avec la plateforme numérique du Service d’accès aux soins pour la fonction « Solution d’agenda avec module de prise de RDV à destination des professionnels de santé ».
Incroyable, le nombre de vidéos qui fleurissent sur les réseaux sociaux – même BFM TV titre dessus pour vous expliquer que Google a quelques soucis à se faire, c’est dire. Passé les premières séances de jeu avec l’interface où l’on se prend à poser les questions les plus bizarres sur les sujets les plus divers. Il y a ce que ChatGPT fait, ce qu’il ne fait pas, ce qu’il peut faire et ce qu’il ne fera jamais, en tout cas dans sa version actuelle.
Sur la scène internationale, le CES est l’un des événements les plus attendus de l’année pour les férus de la tech. S’y sont présentés plus de 3200 exposants (toutes catégories confondues), et parmi les 173 pays représentés : la France. Tenant une place prépondérante au sein du salon, la French Tech s’illustre fièrement en tant qu’actrice de l’innovation et notamment en matière de santé. À ce titre, c’est l’entreprise Galeon qui a su marquer les esprits.
Bon, apparemment, tout le monde se marre entre la poire et le fromage en posant les questions les plus diverses à ChatGPT. Tout le monde sauf moi, et cela ne peut pas durer. J’ai donc décidé, moi aussi, de tester la bête, mais attention, pas n’importe comment : un test rigoureux, pas du tout orienté, basé sur un corpus de questions sélectionnées par un comité représentatif de moi-même, bref que du lourd. Allons-y.
Docaposte, filiale numérique du groupe La Poste, est entrée en négociation exclusive en vue de l’acquisition de Maincare, un des leaders de l’accompagnement de la transformation numérique des hôpitaux en France, auprès de ses actionnaires (Montagu Private Equity). Ce rapprochement structurant s’appuie sur le partage de valeurs communes et la vision d’un projet industriel ambitieux de long terme. En associant les actifs de Maincare avec son expertise en confiance numérique, Docaposte créera un leader technologique souverain au service de la transformation numérique des acteurs de la santé.
La Haute Autorité de santé (HAS), en charge de l’évaluation des dispositifs médicaux numériques (DMN), a annoncé le 12 janvier la mise en place d’un guichet unique d’évaluation pour répondre aux spécificités des DMN à visée thérapeutique et de télésurveillance médicale.
Le Comité consultatif national d’éthique (CCNE) et le comité national pilote d’éthique du numérique (CNPEN), en réponse à une saisine adressée par le Premier ministre, ont publié le 10 janvier un avis sur les enjeux d’éthique de l’utilisation de l’intelligence artificielle (IA) dans le champ du diagnostic médical.
La délégation ministérielle au numérique en santé (DNS) a organisé le 12 janvier des Assises citoyennes, lors desquelles les membres d’un comité citoyen ont partagé leurs recommandations afin d’améliorer la prévention grâce au service Mon Espace santé.
Comment relever les défis que soulève la gestion des données de santé ? Comment aborder le cloud dans les établissements de santé et comment le numérique peut-il améliorer la qualité de vie au travail (QVT) des soignants ? Le D4Evolution de Dedalus, une 5e édition 100 % présentiel au Novotel Centre Tour Eiffel, 61 Quai de Grenelle, 75015 Paris. Rendez-vous le 26 janvier 2023 pour une journée de partage d’expériences, de rencontres et d’échanges
Le groupe FIN7 est un groupe cybercriminel Russophone connu depuis 10 ans déjà, pour de nombreuses attaques, via le cheval de Troie bancaire Carbanak, qui lui a permis de dérober plusieurs millions de dollars à des banques, puis il a sévi dans le domaine de l’espionnage industriel et gouvernemental avant de se lancer dans le rançongiciel avec Darkside et collaborer avec d’autres acteurs bien connus du monde du rançongiciel tels que LockBit, Maze ou encore Revil.
Les plus lus