Vous êtes dans : Accueil > Actualités >

TRIBUNES LIBRES

50 nuances de RSSI : partageons pour avancer

Charles Blanc-Rolin, le mar. 14 janvier 2020 : La fonction de RSSI peut être occupée par des personnes aux profils très différents, et c’est sûrement encore plus le cas dans le secteur de la santé, tout particulièrement pour les établissements publics. Entre l’ingénieur qualité de formation qui ne sait pas ce qu’est un annuaire Active Directory et l’administrateur système qui limite son appréciation des risques au périmètre de son infrastructure technique, il y existe un « Pantone » de RSSI. Nous pourrions débattre pendant des jours entiers des qualités nécessaires pour être un bon gestionnaire de risques, mais ce n’est pas le sujet de cet article.Lire la suite ...

Interrogations existentielles d’un RSSI en Cyberland

Cédric Cartau , le mar. 14 janvier 2020 : D’habitude, ceux qui subissent mes divagations hebdomadaires savent que je passe une bonne partie de mon temps à exprimer des avis totalement péremptoires (qu’il ne faut pas écouter), à donner des conseils plus que discutables (qu’il ne faut pas suivre) et à critiquer mon prochain (qu’il faut plaindre). Bref, tous les défauts que, personnellement, je déteste chez les autres. Peut-être d’ailleurs aurais-je dû prendre des résolutions en ce sens pour 2020 ; trop tard, on verra en 2021.Lire la suite ...

Création du Comité pilote d’éthique du numérique

Me Noémie Mandin-Lafond, le mar. 07 janvier 2020 : Le 2 décembre 2019, le Comité consultatif national d’éthique pour les sciences de la vie et de la santé (CCNE) a constitué le Comité pilote d’éthique du numérique, dont l’objectif est « à la fois de remettre des premières contributions sur l’éthique du numérique et de l’intelligence artificielle et de déterminer les équilibres pertinents pour l’organisation du débat sur l’éthique des sciences et technologies du numérique et de l’intelligence artificielle ».Lire la suite ...

Les bonnes résolutions pour 2020 en 10 commandements

Charles Blanc-Rolin, le mar. 07 janvier 2020 : Vous n’échapperez pas à la tradition, on ne commence pas une nouvelle année sans prendre de bonnes résolutions. Les fêtes de fin d’année sont passées et il temps de se remettre au travail. Je vous propose donc 10 commandements pour bien démarrer l’année 2020 !Lire la suite ...

C’est le jour des bonnes résolutions

Cédric Cartau , le lun. 06 janvier 2020 : Traditionnellement, le premier article de l’année est dédié à la fois au bilan des 12 mois écoulés et aux bonnes résolutions de l’année à venir.Lire la suite ...

Bilan 2019

Cédric Cartau , le mar. 31 décembre 2019 : Crise de foie est synonyme de bilan de l’année, nous n’allons donc pas déroger à la tradition. Et ce fut une année riche, très riche.Lire la suite ...

Ma lettre au Père Noël

Cédric Cartau, le mar. 24 décembre 2019 :      Lire la suite ...

Quoi de neuf dans la cyber à l’approche de l’hiver ?

Charles Blanc-Rolin, le mer. 18 décembre 2019 : L’hiver approche à grands pas, et pourtant certaines espèces qui passent le plus clair de leur temps à l’intérieur ne sont pas près d’hiberner. RSSI, DPO, RSI, DSI, administrateurs systèmes et tout autre membre de l’équipe IT auront bien autre chose à faire que regarder tomber la neige. Et s’il y avait un calendrier de l’Avent des vulnérabilités, avec 15 000 CVE annuelles référencées sur les trois dernières années en moyenne, il n’y aurait pas de quoi s’ennuyer.Lire la suite ...

Ce que le DPO n’est pas (suite)

Cédric Cartau , le mar. 17 décembre 2019 : Il n’était pas prévu de créer un second volet, mais à la suite du grand nombre de remarques et de commentaires (notamment de Boris Motylewski, créateur entre autres de www.cybersecu.fr) qu’a suscités le premier article (1) , il semble important d’apporter quelques précisions.Lire la suite ...

Ce que le DPO n’est pas

Cédric Cartau , le mar. 10 décembre 2019 : Il arrive assez régulièrement que des confrères DPO me contactent pour me signaler certaines de leurs difficultés dans l’exercice de leur mission. Elles tournent régulièrement autour du même sujet : leur responsable de traitement (RT) refuse de mettre en œuvre les préconisations de sécurité dudit DPO, entendre par là les mesures destinées à réduire les risques identifiés. Le confrère en question me demande alors comment contraindre le RT à appliquer les mesures préconisées. Il me semble qu’il y a là une erreur de positionnement, qui vaut bien un billet.Lire la suite ...

Télémédecine : l’Asip Santé publie un état des lieux et des besoins !

Me Noémie Mandin-Lafond, le mar. 03 décembre 2019 : Le 13 novembre 2019, l’Agence des systèmes d’information partagés de santé (Asip Santé) a publié, sur son site internet, un état des lieux de l’offre de service de télémédecine et des besoins pour développer cette pratique en France.Lire la suite ...

Vous prendrez bien un peu de données personnelles ?

Cédric Cartau , le lun. 02 décembre 2019 : Un article, relayé largement sur LinkedIn[1] en fin de semaine, a attiré mon attention. Deux chercheurs de l’Université catholique de Louvain (Luc Rocher et Julien Hendrickx) se sont posé la question de savoir si des données anonymisées pouvaient tout de même être réidentifiées. On subodorait déjà que la réponse était oui : on en a maintenant la preuve. Explications.  Lire la suite ...

Un budget en R&D apparemment supérieur pour les attaquants que chez les éditeurs de logiciels : difficile pour nous de lutter

Charles Blanc-Rolin, le mer. 27 novembre 2019 : En regardant les innovations techniques apportées aux logiciels malveillants, je me dis deux choses. Tout d’abord que les attaquants ne sont pas en manque d’inspiration lorsqu’il s’agit de malmener nos pauvres systèmes d’information. Ensuite qu’ils doivent attribuer beaucoup plus de budget au département recherche et développement que les éditeurs de logiciels « bienveillants », en particulier ceux du secteur de la santé.Lire la suite ...

Sécuriser son AD, une mission presque divine

Cédric Cartau , le mar. 26 novembre 2019 : Le CHU de Rouen a subit l’attaque informatique que l’on sait, et bon nombre d’entre nous sommes en train de colmater autant de brèches que l’on peut avant que cela soit notre tour. Mais par quel bout commencer ? L’AD bien entendu, ce n’est rien de moins que le composant le plus sensible du SI (et paradoxalement celui qui est souvent dans le pire état en termes de SSI). Mais comment aborder cette sécurisation, par quelles mesures ?Lire la suite ...

Carte Vitale biométrique : une arme contre la fraude sociale ?

Me Noémie Mandin-Lafond, le mar. 26 novembre 2019 : Mardi 19 novembre, le Sénat a adopté la proposition de loi tendant à instituer une carte Vitale biométrique, déposée le 21 mai 2019 par M. Philippe Mouiller, ce texte visant à lutter contre la fraude sociale, autrement dit à « empêcher l’utilisation de vraies cartes Vitale par des personnes qui n’en sont pas les titulaires ».Lire la suite ...

Sécurité des SI de santé : an 0 ?

Cédric Cartau , le lun. 25 novembre 2019 : Dans un de mes précédents postes, une directrice de soins avait coutume de dire que « l’informatique dans les hôpitaux, c’est comme l’URSS : on sait envoyer des types dans l’espace, mais il n’y a pas de pain dans les boulangeries ». On était au début des années 2000, bien avant le premier plan Hôpital numérique, et les DSI des hôpitaux n’avaient pour la plupart pas encore franchi la porte de l’unité de soins, mais je crains que si le cœur de métier a subi une grosse informatisation en presque 20 années, on en soit toujours au même stade sur le volet Sécurité.Lire la suite ...

Le CHU de Rouen vient s’ajouter à la liste des cyber-victimes du secteur de la santé

Charles Blanc-Rolin, le mar. 19 novembre 2019 : Connaissant très bien cette situation pour être déjà passé par là, à l’heure où j’écris ces lignes, je pense évidemment à nos collègues des équipes SI du CHU Rouen qui font tout ce qui est en leur pouvoir pour relancer au plus vite le système d’information de leur établissement à l’arrêt depuis le 15 novembre au soir [1]. Comment ne pas penser également aux professionnels de santé, privés de leurs outils, dossier patient, prescriptions, résultats d’analyses, prise de commande des repas etc... Lire la suite ...

La convergence SI, un exemple immédiat

Cédric Cartau , le mar. 19 novembre 2019 : L’AP-HP a récemment annoncé avoir déployé son DPI Orbis dans ses 39 hôpitaux, et cette information parue dans un média[1], est très intéressante à la fois par ce qu’elle dit et par ce qu’elle ne dit pas.Lire la suite ...

La passion de l’échec

Cédric Cartau , le mar. 12 novembre 2019 : Pendant la Seconde Guerre mondiale, et en particulier durant la bataille du Pacifique qui se joua pas mal dans les airs, les chasseurs bombardiers japonais (les fameux Zero, hypermaniables et très légers) affrontaient les Grumman et autres Curtiss américains, construits selon une philosophie tout à fait différente qui en faisait des appareils lourds mais solides. Les mécaniciens américains qui voyaient revenir du front des avions, parfois dans un sale état, faisaient une expertise rapide de ce qui avait été touché sur les appareils pour solidifier ou protéger les composants en question. Jusqu’à ce que l’un d’eux se rende compte que c’était exactement le contraire qu’il fallait faire : non pas expertiser les avions qui étaient revenus, mais au contraire aller chercher ceux qui étaient restés pour savoir justement ce qui avait été touché, et donc ce qu’il fallait renforcer.Lire la suite ...

Chrome, PHP, RDP… des vulnérabilités comme s’il en pleuvait…

Charles Blanc-Rolin, le mar. 05 novembre 2019 : Il n’y a pas que le temps qui est maussade ces derniers jours, dans le « cyberespace », les vulnérabilités, elles aussi pleuvent à seaux. Si de nombreuses régions sont actuellement touchées par les inondations, il en est de même pour nos systèmes d’informations, l’eau s’infiltre un peu partout, et la « to-do list » du RSSI finit par déborder.Lire la suite ...

Le quart d’heure gadgets utiles

Cédric Cartau , le mar. 05 novembre 2019 : La vie de RSSI n’est pas faite que de projets, de négociations budgétaires, de formations et d’actions de sensibilisation : il faut l’alimenter par un flux constant de veilles en tout genre. On trouve suffisamment de sources professionnelles pour le volet High Level : séminaires, congrès, réunions entre pairs, et j’en passe. Mais il convient aussi de faire une petite veille constante dans le domaine plus orienté « informatique personnelle » : une bonne partie des produits professionnels proviennent de ce canal spécifique, et en plus, ne nous cachons pas, le plaisir de la bidouille est un des côtés « fun » du job. Quelques petites découvertes, sans prétention.Lire la suite ...

L’obligation d’utiliser l’identifiant national de santé est différée à 2021 !

Me Noémie Mandin-Lafond, le mar. 29 octobre 2019 : Publié le 10 octobre 2019 au Journal officiel, un décret a modifié les dispositions relatives à l’utilisation du numéro d’inscription au répertoire (NIR) en tant qu’identifiant national de santé (INS), pour les mettre en conformité avec la loi n°78-17 du 6 janvier 2018 modifiée relative à l’informatique, aux fichiers et aux libertés, dans sa rédaction résultant de l’ordonnance n°2018-1125 du 12 décembre 2018.Lire la suite ...

Sécurité numérique et santé au programme des rencontres Cybersécurité à Lyon

Charles Blanc-Rolin, le mar. 29 octobre 2019 : Le tour de France, non pas de la e-santé cette fois-ci, mais de la cybersécurité a fait escale dans le somptueux Hôtel du Département du Rhône, à Lyon, le 24 octobre dernier. Un évènement riche de partages et d’échanges dans un cadre prestigieux, orchestré par une grande dame de la cyber, Madame Bénédicte Pilliet, Présidente du Cyber Cercle.Lire la suite ...

Les échanges sécurisés de données de santé : une équation complexe

Cédric Cartau, le mar. 29 octobre 2019 : Récemment, j’ai participé à une discussion au cours de laquelle l’un des protagonistes mentionnait certaines mauvaises habitudes de ses utilisateurs, notamment l’usage de la messagerie WhatsApp pour échanger des données de santé.Lire la suite ...

Un « kit SI » destiné aux directeurs de structures médico-sociales est publié !

Me Noémie Mandin , le mar. 22 octobre 2019 : Les directeurs d’établissements médico-sociaux se trouvent parfois confrontés à des questionnements liés aux systèmes d’informations. Pour les soutenir, l'Agence Nationale d'Appui à la Performance (Anap) vient de mettre en ligne un « kit système d'information » (SI) qui leur est spécialement destiné.Lire la suite ...

C’est toujours la faute du réseau

Cédric Cartau, le mar. 22 octobre 2019 : Il semble que dans cette merveilleuse société qui est la nôtre, on ne cultive pas suffisamment une qualité essentielle de l’individu : l’art de rejeter la faute sur les autres. Par exemple, quand un machin tombe en panne dans l’informatique, croyez-en mon expérience, il faut toujours dire que c’est la faute du réseau. Le DPI qui rame ? La faute du réseau. Les batches de paye bloqués ? La faute au réseau. La machine à café connectée en panne ? Oui, non là, ça va être compliqué d’incriminer le réseau. Quoique, avec tous ces objets connectés, on pourra toujours dire que la trame IP est incompatible avec le certificat SSI 802?1x, ce qui ne veut rien dire, mais aucune importance, personne ne le sait.Lire la suite ...

Les Assises de la sécurité : la conférence de Guillaume Poupard

Charles Blanc-Rolin, le lun. 21 octobre 2019 :   Les Assises de la sécurité à Monaco sont « une véritable réunion de famille », comme l’a indiqué en patriarche Guillaume Poupard, dont la conférence d’ouverture est toujours attendue comme une grand-messe pour les paroissiens de la cybersécurité.Lire la suite ...

Le zéro papier à l’hôpital… Et si le numérique était une partie de la solution ?

Olivier Boussekey, OPB Consulting , le mar. 15 octobre 2019 : Les hôpitaux souffrent d’un manque de moyens et de ressources depuis de nombreuses années. Les changements de réglementation, les contraintes économiques et démographiques, les regroupements, fermetures et reconstructions d’établissements n’ont jamais permis à ces structures particulièrement complexes de s’organiser pour être à la fois plus efficaces, moins coûteuses et propices à une meilleure qualité de vie au travail des soignants.Lire la suite ...

Analyse d’une DSI selon le paradigme de la chaîne alimentaire

Cédric Cartau, le mar. 15 octobre 2019 : Pour ceux qui ne sont pas du « sérail » – comprendre la bande de geeks qui parlent IPv6 dans le texte –, il est important de comprendre un fait majeur : tout comme la nature a sa chaîne alimentaire, la DSI a la sienne.Lire la suite ...

5e Colloque SSI du ministère de la Santé

Charles Blanc-Rolin, le jeu. 10 octobre 2019 :    Lire la suite ...

URGENT/11 : des dispositifs médicaux atteints par la fameuse pathologie et une solution pour identifier les malades

Charles Blanc-Rolin, le mer. 02 octobre 2019 : Deux mois après l’annonce de URGENT/11 [1], une panoplie de 11 vulnérabilités affectant les systèmes VxWorkrs, la société ARMIS nous passe la deuxième couche de rouge vif.Lire la suite ...

Les CHU : fer de lance de l’IA en santé ?

Me Omar YAHIA et Me Domitille Flageul , le mar. 01 octobre 2019 : Prudemment mais sûrement, le Gouvernement s’est emparé de la question en lançant un programme d’investissements d’avenir (PIA), devant permettre de ’’tester sur le terrain, par des applications concrètes, le potentiel l’IA’’(Cf. communiqué de presse commun de la Dinsic et de la DITP). Lire la suite ...

Sauver la sauvegarde, à l’usage des DSI

Cédric Cartau, le mar. 01 octobre 2019 : À une époque pas si lointaine (il me semble) de mon existence, la SSII dans laquelle je travaillais avait constaté qu’un de nos clients faisait religieusement ses sauvegardes tous les soirs, comme on le lui avait montré. OK, c’était au millénaire précédent, OK, c’était sur des disquettes souples 5 ¼ pouces, OK, je ne suis pas exactement le perdreau de l’année, mais sauvegardes tout de même il y avait. Sauf que tous les soirs, juste avant de partir, le chef du client en question mettait un coup de trouilloteuse dans ladite disquette pour pouvoir la ranger dans un grand classeur à anneaux (authentique).Lire la suite ...

La majorité des attaques cyber porterait sur seulement 3 ports TCP

Charles Blanc-Rolin, le jeu. 26 septembre 2019 :      Lire la suite ...

Les premiers pas (concluants) de la certification HDS

Me Domitille Flageul, le mar. 24 septembre 2019 : Ils sont actuellement 48 à avoir décroché la certification hébergeurs de données de santé, d’après le site de l’Asip Santé, le dernier en date étant, sauf erreur, le groupement de coopération sanitaire GCS Tesis (La Réunion et Mayotte), premier groupement régional d'appui au développement de l'e-santé (Grades) de la liste des hébergeurs pour son datacenter, et qui en plus couvre les 6 activités du référentiel. Lire la suite ...

Où en est-on de la sécurité des données patients ?

Cédric Cartau, le mar. 24 septembre 2019 : Le top départ de l’e-santé 2022 a récemment été donné (voir la vidéo [1]de la première session du Tour de France ainsi que l’analyse [2]à grosse maille de votre serviteur), et c’est une bonne chose que la SSI fasse partie des préoccupations officielles des pouvoirs publics. Cela étant, où en est-on de la sécurité des données patients, justement ? D’où part-on ? Quel chemin, de roses ou de croix, à parcourir ?    Lire la suite ...

Délibération CNIL du 4 juillet 2019 : nouvelle réglementation sur le pistage numérique

Charles Blanc-Rolin, le mar. 17 septembre 2019 : Cette nouvelle délibération de la CNIL [1] arrive comme une pépite de chocolat sur le cookie afin de préciser les lignes directrices relatives à l’application de l’article 82 de loi informatique et libertés [2] et plus précisément aux opérations de lecture / écriture de traceurs sur le terminal d’un utilisateur.Lire la suite ...

E-santé 2022 : top départ

Cédric Cartau, le mar. 17 septembre 2019 : N’ayant pas pu être présent à Lille pour le lancement du Tour de France de présentation du programme Ma santé 2022, je me suis rattrapé en visionnant la conférence (ici1) pour vous faire un premier retour à chaud.  Lire la suite ...

Les CPTS : nouvel outil de déploiement de la télésanté ?

Me Noémie Mandin , le mar. 10 septembre 2019 : « Développer le recours à la télésanté (télémédecine et télésoin) », telle est l’une des missions désormais obligatoires des communautés professionnelles territoriales de santé (CPTS) souscrivant à l’accord conventionnel interprofessionnel signé le 20 juin 2019 et approuvé par arrêté publié au Journal officiel le 24 août dernier[1].  Lire la suite ...

Ransomware : optimiser sa défense (partie II)

Pascal Sabatier, le mar. 10 septembre 2019 : « Tout ce qui est susceptible d’aller mal ira mal. » Tel est le célèbre adage maintes fois vérifié du pessimiste Edward Murphy.Lire la suite ...

RSSI : stupide tentative de classification

Cédric Cartau, le lun. 09 septembre 2019 : Stupide car, généralement, quand vous essayez de classifier ce type de fonction un peu bizarre au sein de l’organisation, la plupart de vos interlocuteurs ne manquent pas de vous faire remarquer que vous oubliez tel ou tel aspect de la question, qu’un de leurs confrères ne rentre pas dans le moule, etc. Même pas peur, et puis, de toute manière, on a bien le droit de penser à haute voix – au clavier en l’occurrence –, non ?Lire la suite ...

Les produits Microsoft sont-ils compatibles avec le RGPD ?

Charles Blanc-Rolin, le lun. 09 septembre 2019 : Sans se lancer dans une quelconque théorie du complot ou toute autre polémique anti-Gafam, l’évolution du business modeldu géant américain et de ses produits mérite vraiment de s’interroger. Les données, et en particulier les données de santé, ont aujourd’hui beaucoup plus de valeur que n’importe quelle licence logicielle, ce que savent pertinemment Google ou Facebook, qui, à défaut de les exploiter, auraient probablement mis depuis belle lurette la clé sous la porte.  Lire la suite ...

Été, bilan chaud, chaud, chaud !

Cédric Cartau, le mar. 03 septembre 2019 : Ça y est, c’est l’odeur des cartables neufs, des Bic sous blister et des chaussures toutes neuves qui font mal aux petons : il est temps de faire le bilan de l’été. Parce qu’il n’y a pas eu que la canicule, fallait se tenir un minimum informé.Lire la suite ...

ECRAN-Santé#2019 : retour d'expérience

Stéphane Pasquier, , le jeu. 29 août 2019 : Le ministère des solidarités et de la santé renforce ses actions d’anticipation au vu de la cybermenace actuelle et des enjeux pour la santé publique. Il a donc été décidé d’organiser un exercice de type cyberattaque sur le secteur de la santé, similaire à la cyberattaque mondiale de type rançongiciel (1) qui avait paralysé une partie des établissements de santé (NHS) du Royaume-Uni en mai 2017.  Lire la suite ...

Ransomware : connaitre son ennemi (partie 1)

Pascal Sabatier, le jeu. 29 août 2019 :   Lire la suite ...

Une backdoor implantée dans vos serveurs Linux / Unix ?

Charles Blanc-Rolin, le mar. 27 août 2019 : Sans le savoir, vous avez peut-être ouvert une porte aux attaquants sur vos serveurs Linux / Unix…Lire la suite ...

BlackHat & DefCon cuvée 2019, patch tuesday et Ramsay… Tornade de vulnérabilités dans l’actu cet été !

Charles Blanc-Rolin, le ven. 16 août 2019 : Les deux rendez-vous dédiés à la sécurité des SI les plus renommés viennent de se terminer après neuf journées consécutives que l’on peut imaginer comme complètement folles ! Comme le chassé-croisé entre les juillettistes et les aoûtiens version Las Vegas, les conférenciers de la DefCon arrivent alors que BackHat n’est pas encore terminée, même si une grande partie des visiteurs en profitent pour enchaîner les deux évènements.Lire la suite ...

Se saborder, mode d’emploi

Cédric Carau, le mar. 30 juillet 2019 : Comme un fait exprès, dans la même quinzaine nous tombons sur deux news, apparemment sans rapport, mais à y regarder de plus près en fait de rapport il y a.Lire la suite ...

Campagne de phishing innovante : les vacances donnent des idées aux attaquants

Charles Blanc-Rolin, le mar. 30 juillet 2019 : On dirait bien que les vacances profitent aux attaquants juillettistes. Certains n’ont pas mis longtemps à se ressourcer pour trouver de nouvelles idées permettant de passer à travers les mailles des filets que nous tendons en amont de nos serveurs de messageries.Lire la suite ...

Cahier de vacances 2019 du RSSI

Charles Blanc-Rolin, le mar. 23 juillet 2019 : Certains profitent déjà des joies de la plage, de l’air marin mélangé à l’odeur de la crème solaire et des beignets, du bruit des vagues associé au chant des mouettes et aux cris des enfants, d’autres vivent au rythme du camping, de ses apéros entre voisins et de ses parties de pétanques… Tandis que d’autres sont encore au bureau pour quelques jours ou semaines.Lire la suite ...