Vous êtes dans : Accueil > sécurité >
Une fin d’octobre chargée, petite revue de presse/d’actualité/de réflexion/de ce que vous voudrez.
Afin de mieux répondre aux besoins actuels des utilisateurs et d’anticiper de nouveaux usages dans les établissements de santé, Maincare a mis au point mainUp, un programme pluriannuel de modernisation de ses solutions. Dans un premier temps, trois solutions ayant fait leur preuve sur le plan technique et en matière de couverture fonctionnelle sont concernées : M-GAM, M-CrossWay et Copilote.
L'Association Pour la Sécurité des Systèmes d’Information de Santé (APSSIS) a réuni fin septembre à Paris ses adhérents à l'occasion d'une journée de conférences. Gérard PELIKS, co-organisateur des Lundis de la Cybersécurité, en a rédigé un compte-rendu complet.
Je ne l’avais pas vue passer, mais dans sa délibération 2022-100 du 21 juillet[1] dernier, la CNIL nous a décrit son positionnement sur la question des mots de passe.
Les accords du Ségur de la santé, signés en juillet 2020, ont consacré un volet numérique consistant dans l’investissement de 2 milliards d’euros au profit du développement du numérique en santé, avec comme objectifs affichés[1] de « rattraper le retard dans la modernisation, l’interopérabilité, la réversibilité, la convergence et la sécurité des systèmes d’information en santé », de sorte à « généraliser le partage fluide et sécurisé des données de santé ». Ce double objectif a été transposé au code de la santé publique imposant la conformité des services numériques en santé aux référentiels d’interopérabilité et de sécurité élaborés par l’Agence du Numérique en santé (ANS). Le volet numérique du Ségur s’articule en 6 couloirs distincts : hôpital, biologie, radiologie, médecine de ville, pharmacie et médico-social[2], avec, pour chacun d’eux, un dispositif de financement.
Si les attaquants réussissent encore à compromettre nos SI, c’est certainement car nous ne sommes pas bien préparés à leurs attaques. Et pourtant, les victimes ne manquent pas, les retours d’expériences non plus, tout comme les guides de bonnes pratiques, alors pourquoi nous faisons-nous toujours avoir ?
Le RSSI et le DPO sont souvent consultés pour des sujets bizarres, voire carrément étrangers à leur périmètre. Mais après tout, c’est le lot de pas mal de professions transverses, surtout dans le conseil.
Le 12 octobre, Cybermalveillance.gouv.fr a annoncé la création d’un référentiel de compétences pour les prestataires en cybersécurité.
L’utilisation simultanée de plusieurs fournisseurs d’accès promet aux établissements de santé un accès permanent et ininterrompu aux ressources d’Internet, qu’elles soient publiques, privées ou dans le Cloud.
Avec la chaire industrielle E-LoDi, lancée le 23 septembre, la pharmacie centrale du CHU de Lille expérimente des technologies innovantes.
Je n’avais pas prévu ce genre de billet, mais vu ce qui vient d’arriver la semaine dernière dans mon établissement, il m’a semblé être une bonne idée de le partager avec vous. 23 ans d’hôpital, dont 13 dans la cybersécurité, et je n’avais jamais vu cela. Je vous fais la version courte, car il m’a fallu plusieurs jours pour tout détricoter et reconstituer le fil de l’histoire, et déjà la version courte risque de finir par vous donner mal aux cheveux.
Définir un juste milieu constitue un enjeu pour les organisations qui font face au contexte grandissant de cyber menace ces dernières années. Naviguer entre paranoïa et naïveté est un défi quotidien avec lequel doivent composer les structures sanitaires ou médico-sociales. Choisir le pilote de la sécurité, mettre en place une gouvernance, auditer son système et son organisation, analyser ses risques, définir et mettre en œuvre son plan d'action SSI visant à réduire ces mêmes risques, sont autant de moyens qui permettent aux organisations d'ajuster, de "proportionnaliser" les moyens à mettre en œuvre pour y faire face.
Breaking news : une association de patients attaque le Centre hospitalier Sud francilien[1] (CHSF) quant à sa responsabilité dans le contexte de l’attaque cyber subie par l’établissement et la publication de données sensibles (entre autres, médicales) sur les réseaux par les pirates pour faire pression sur le paiement d’une rançon.
Le projet de loi de financement de la sécurité sociale 2023 (PLFSS) a été présenté le 26 septembre. Il prévoit notamment que seules les sociétés de téléconsultation agrées pourront facturer à l’assurance maladie les actes de téléconsultation réalisés par les médecins qu’elles salarient.
Imaginez la scène : vous êtes à la recherche d’un nouveau véhicule (la poubelle dans laquelle vous roulez est au bout du bout, même le chien ne veut plus monter dedans tellement c’est moche) et vous tombez sur un concessionnaire aux dents éclatantes et à la cravate impeccable qui vous propose le modèle de vos rêves (V8 350 CV avec 0 émission de CO2). Seulement voilà, impossible de l’acheter, il faut passer en mode locatif avec renouvellement de véhicule tous les trois ans (c’est à la mode). Jusque-là, pourquoi pas ? Mais il y a une petite clause dans le contrat : vous êtes lié à vie au concessionnaire et à la marque, sans possibilité de vous dédire. Jusqu’à la fin des temps (ou en tout cas de votre vie), il faudra rapporter le modèle au bout de trois ans, en reprendre un neuf, avec toujours plus d’options, toujours plus cher, et impossible de se carapater. Chaud patate, n’est-ce pas ?
L’Apssis (Association pour la sécurité des systèmes d’information de santé) a organisé ce jeudi 22 septembre à Paris ses IIes Rencontres SSI Santé. 120 professionnels de la cybersécurité et du numérique en santé se sont rassemblés pour une journée de conférences, qui s’est achevée par un grand entretien avec Axelle Lemaire, directrice déléguée à la Stratégie, à la Transformation et à l’innovation à la Croix-Rouge française et ancienne secrétaire d’État chargée du Numérique et de l’Innovation (2014-2017).
Les établissements de santé sont des producteurs incessants de données. Ils en sont également des collecteurs. Que l’on parle de comptes-rendus médicaux, de résultats d’analyses de biologie, d’interprétations d’images, mais aussi de cartes d’identités, de passeports, de numéros de cartes vitales ou de coordonnées des patients, les SI des établissements de santé concentrent des millions d’informations, presque toutes sensibles au sens de la production de soins mais aussi de la réglementation associée au RGPD. Comment les qualifier, les protéger et s’assurer de l’inviolabilité des données les plus sensibles ?
Le premier Diplôme Universitaire international francophone sur les applications du métavers en santé ouvre en mars 2023 à Université Paris Cité.
La télésurveillance médicale devait entrer dans le droit commun le 1er juillet 2022, mais aucun décret en ce sens n’a été publié. Cette avancée devrait finalement avoir lieu en juillet 2023.
Maincare accélère la modernisation de ses solutions au service des établissements et des professionnels de la santé avec son programme mainUP. Articulé autour de 6 axes, la première phase du programme porte sur trois solutions largement déployées dans les établissements : M-GAM, M-CrossWay et Copilote. Il permettra aux Clients de Maincare d’évoluer à leur rythme, en fonction de leurs besoins, vers des solutions de dernière génération en phase avec les attentes des professionnels et leurs enjeux métiers.
Le 12 septembre 2022, Bruno Le Maire, ministre de l’Économie, des Finances et de la Souveraineté industrielle et numérique, ainsi que Jean-Noël Barrot, ministre délégué chargé de la Transition numérique et des Télécommunications, ont présenté à Strasbourg les premiers résultats de la stratégie Cloud mise en place en mai 2021 et annoncé cinq nouvelles mesures pour soutenir cet écosystème.
En ces temps troublés, il convient de revenir aux bases, back to basic, les fondamentaux éternels nous sauveront des ténèbres de la cyber. Nous avions déjà remarqué que certains jeunots récemment débarqués dans la cyber manquaient de principes directeurs : petit florilège presque sérieux et pas du tout orienté, que nous conseillons donc en support de formation continue.
Pour sa quatrième participation, la France décroche la troisième place à l’European Cybersecurity Challenge (ECSC), qui s’est tenu les 14 et 15 septembre 2022 à Vienne. Cette compétition européenne a opposé 28 équipes nationales composées de jeunes hackers éthiques. Rendez-vous en 2023 pour la prochaine édition qui aura lieu en Norvège !
Spécialiste des enjeux de confiance et de souveraineté numériques, Dominique Pon aura pour mission, à compter du 1er janvier 2023, d’accompagner le fort développement rencontré ces dernières années par Docaposte et de contribuer à la mise en œuvre du plan stratégique de la filiale numérique du groupe La Poste dont l’ambition est de devenir, d’ici 2030, l’acteur référent des services de confiance numériques et de la sécurité en France et en Europe.
ITrust, éditeur majeur de technologies souverainesfrançaises de cybersécurité, annonce aujourd'hui le lancement d’une nouvelle offre desupervision de la sécurité informatique dédiée aux mairies, agglomérations, hôpitauxet services de santé . Le SOC Citoyen d’ITrust intègre toutes les fonctions d’un SOCoptimal à un coût proportionnel à la taille de la structure.
La rentrée 2022 aura été bizarre, vraiment bizarre.
Le 7 septembre, le ministère de l’Économie, des Finances et de la Souveraineté industrielle et numérique a publié un rapport de la direction générale du Trésor sur le développement de l’assurance du risque cyber conçu comme un plan d’action.
A l’issue du vote du Conseil d’administration du jeudi 7 juillet, Pierre GOUABAULT, Directeur de 4 Ehpad publics dans le Loir-et-Cher et vice-Président du groupement depuis un an, a été élu Président du GIP e-Santé Centre-Val de Loire. Il succède au Docteur Raphaël ROGEZ, qui a annoncé son départ à la retraite et dont l’action a été unanimement saluée par sa capacité à rassembler l’ensemble des acteurs.
A l’aune du contexte géopolitique actuel, le risque que les institutions de santé soient la cible de cyberattaques dans les prochaines années a drastiquement augmenté. Plus précisément, les équipes SecOps doivent se préparer à une multiplication d'attaques par ransomware visant à extorquer de l'argent, ainsi qu'à des "attaques éclairs" destinées à perturber les opérations.
La sécurité numérique, sécurité des systèmes d’information, SSI, cybersécurité ou tout autre nom que l’on voudra bien lui donner est un domaine dans lequel la modestie devrait être une priorité. On a compromis, on compromet et on compromettra mon SI n’est ni une chanson de Francis Cabrel, ni un extrait de l’évangile selon Saint Hack, mais bien la dure réalité du quotidien pour les personnes en charge de protéger les systèmes d’information.
Le 1er septembre 2022, le ministère de la Santé et de la Prévention a annoncé confier à l’ANS la conception d’une plateforme numérique à destination des professionnels de santé dans le cadre de la mise en place de leur certification périodique.
Mikhaïl Gorbatchev, l’artisan de la perestroïka, nous a quittés il y a quelques jours et nous rappelle que l’Union soviétique s’est effondrée en 1989 après une série de soubresauts qui a notamment démarré par la chute du mur de Berlin.
Claranet, leader européen des services de transformation digitale et d’infogérance d’applications critiques, annonce l’acquisition de Pictime Groupe, entreprise créée en 2002 et spécialisée dans la transformation digitale.
Les nouveaux besoins des professionnels de la santé au travail, mis notamment en lumière par la crise du COVID-19, et accélérés par la réforme de la santé au travail (Loi du 2 août 2021), ont conduit Cegedim Santé, éditeur de solutions et services dédiés aux professionnels de santé, et Val Solutions, leader en France de solutions logicielles en prévention et santé au travail, à mettre en place un partenariat industriel. L’objectif est de permettre à tous les clients de Val Solutions - professionnels des services de santé au travail, entreprises privées et publiques – de pouvoir utiliser la solution de téléconsultation de dernière génération Maiia de Cegedim Santé pour améliorer le suivi médical de leurs 12 millions de salariés et agents, et développer la prévention, véritable enjeu de santé publique.
Dans le cadre de France 2030, un appel à projets « Espace de données mutualisées » est ouvert depuis fin juillet jusqu’à fin février 2023 pour financer des espaces de données permettant la mutualisation des données entre un grand nombre d’acteurs avec un haut niveau d’accessibilité, d’interopérabilité et de qualité.
Lorsqu’il s’agit d’atteindre leurs objectifs : s’introduire dans les systèmes d’informations de leurs victimes, exfiltrer les données et les chiffrer avant de partir, les acteurs du rançongiciels ne se posent pas vraiment de questions, si techniquement ce n’est pas facile de rentrer, autant demander à un bon samaritain d’ouvrir la porte !
Dans un rapport publié récemment [1], l’équipe de réponse aux incidents Unit 42 revient sur un peu plus de 600 incidents traités depuis les 12 derniers mois. Voici quelques chiffres extraits de ce rapport :
Fin juillet, La Délégation ministérielle au numérique en santé et l’Agence du numérique en santé ont ouvert une concertation sur les exigences de sécurité des systèmes d’information dans le cadre de la vague 2 du Ségur du numérique en santé.
Le 1er août, l’ANS a annoncé l’ouverture du guichet sur la conformité des dispositifs médicaux numériques de télésurveillance en vue de leur remboursement. Il s’agit d’offrir un cadre de prise en charge spécifique à la télésurveillance, au bénéfice des patients et des professionnels de santé.
Le 27 juillet, l’Uncam et les syndicats représentatifs de la profession ont signé l’avenant 9 à la convention nationale, destiné à promouvoir l’exercice libéral des infirmiers en pratique avancée, la vaccination et la télésanté.
Le numérique présente des défis croissants pour les établissements publics de santé. Dans ce contexte, il est nécessaire que les directions des systèmes d’informations disposent des moyens de mettre en place une stratégie ambitieuse sur le sujet. Pourtant, trop souvent, ces directions sont positionnées comme des quasi « prestataires de services » et ne disposent pas des marges de manoeuvre nécessaires pour mettre en place une stratégie propre. Dès lors, cet article propose de mettre en place un « référent logiciel ». Ce dispositif désignerait une personne dans chaque pôle d’un hôpital qui soit chargée de connaître et de suivre l’utilisation des logiciels métiers et de redonner aux services de soins les clefs de la gestion des logiciels utilisés. En parallèle, cette disposition permettrait de commencer à effectuer le repositionnement des DSI hospitalières.
Les données médicales constituent une exception sur pas mal d’éléments du RGPD : pas de droit à l’opposition du recueil (on excepte la question de l’anonymat), peu de droit à la rectification. Mais il est une question qui revient de temps en temps et qui concerne la question de l’effacement des données médicales d’un patient (soit tout le dossier, soit un séjour en particulier). La question est tout sauf simple, d’autant qu’il existe pas mal de cas d’usage à tiroirs. Cet article n’a pas la prétention de l’exhaustivité, juste d’illustrer une question qui paraît simple mais qui, en réalité, est protéiforme.
Ça y est, c’est fait, c’est dit, c’est écrit : il fallait bien que quelqu’un se coltine la question et vu qu’il n’y avait pas foule de volontaires, je m’y colle.
Un arrêté publié le 5 juillet 2022 au Journal officiel détaille les critères que doivent respecter les éditeurs désireux de référencer leurs services et outils numériques dans le catalogue d’applications de l'espace numérique de santé (« Mon Espace Santé »). Ils ont trait notamment à la sécurité, à l'interopérabilité et à l'éthique.
Récemment, un confrère m’a soumis le problème suivant : en manque de personnel et après une démission, sa DSI a fait appel à une SSII pour une prestation de DBA en mode « prêt de personnel », mais ladite SSII n’est pas certifiée HDS et encore moins sur son niveau 5 (N5). Le décret 2018-137[1] énonce pourtant dans l’article R. 1111-9 que : « Est considéré comme une activité d’hébergement de données de santé à caractère personnel sur support numérique au sens du II de l’article L. 1111-8 le fait d’assurer pour le compte du responsable de traitement […] : 5° L’administration et l’exploitation du système d’information contenant les données de santé. » Si on l’applique tel quel et sans discernement, non seulement la DSI est bloquée, mais la moindre entreprise qui effectue la télémaintenance d’un progiciel de santé doit détenir la certification N5. Autant dire que l’on arrête de faire fonctionner la quasi-totalité des SI de santé puisque très peu d’entreprises cochent la case.
Le 24 juin 2021, le ministère chargé de la Santé a publié le bilan de la feuille de route du numérique en santé 2019-2022, présenté lors du 7e Conseil du numérique en santé.
Bientôt l’été, déjà une canicule au compteur, il est temps d’un petit bilan à mi-année.
Cegedim Santé, éditeur de solutions et services dédiés aux professionnels de santé, dévoile sa nouvelle solution de messagerie instantanée gratuite et sécurisée : Maiia Connect. Elle permet aux professionnels de santé d’optimiser le parcours de soins des patients et l’organisation de leur pratique au quotidien. Sur web comme sur l’application mobile Maiia pro, Maiia Connect est disponible pour les médecins, paramédicaux et pharmaciens, ainsi que leurs secrétariats.
Les plus lus