TRIBUNES LIBRES

IA et Santé : vers une réforme de la loi « Informatique et Libertés » pour faciliter l’innovation et la recherche ?

18 mars 2024 | Alexandre Fievée & Alice Robert | Tribune

La Commission de l’IA (Intelligence artificielle) préconise la suppression des procédures d’autorisation préalable d’accès aux données de santé et la réduction des délais de réponse de la CNIL. Retour sur ce rapport tant attendu, qui a été présenté mercredi dernier au Président Emmanuel Macron[1].       

Détecter et contrer en 5 minutes la « nouvelle » technique de vol d’informations d’accès du groupe TA577

13 mars 2024 | Charles Blanc-Rolin | Tribune

Le groupe identifié depuis 2020 comme TA577 [1] par Proofpoint, est spécialisé dans la revente d’accès initiaux (communément appelé IAB, pour Initial Access Broker). Il est connu pour ses campagnes de diffusion des chevaux de Troie Qbot et plus récemment Pikabot via des courriels reprenant d’anciennes conversations exfiltrées auxquelles les victimes ont pu participer.

USB toi-même

12 mars 2024 | Cédric Cartau | Tribune

En 1152, la reine de France Aliénor d’Aquitaine faisait annuler son mariage avec le roi Louis VII. Elle quittait Beaugency pour le Poitou afin de se marier avec Henri Plantagenêt. Sur le chemin, elle subit deux tentatives d’enlèvement (l’une par Geoffroy, le frère d’Henri, l’autre par le comte de Blois). Il semble que cette pratique était courante au xiie siècle : celui qui aurait réussi à l’enlever aurait pu l’épouser. On ne juge pas : c’était juste la version Tinder de l’époque.

Cyber : le paradigme de la falsification

05 mars 2024 | Cédric Cartau | Tribune

Imaginez un jeu de cartes, un jeu de tarot ou de belote, cela n’a aucune espèce d’importance. Chacune des cartes est biface et la face avant porte les valeurs classiques (as, roi, dame, valet, 10, 9, etc., pour finir par le 2), alors que l’autre face est colorée entièrement soit en bleu, soit en rouge. Une carte prise au hasard pourra afficher sur l’une de ses faces une dame et sur l’autre face la couleur rouge, par exemple, une autre carte le duo valet/bleu. Vous ne connaissez pas la règle qui a prévalu au choix de la couleur de la seconde face de chaque carte, si tant est qu’il y en ait une.

ISO 27 001:2017 vs ISO 27 001:2022

04 mars 2024 | Par Brice Simon, Consultant WELIOM | Tribune

La norme internationale qui définit les exigences pour la mise en place d'un Système de Management de la Sécurité de l’Information (SMSI) a fait l’objet d’une mise à jour il y a déjà plus d’un an. Une période de transition de 3 ans est lancée depuis le 31/10/2022, les certificats délivrés selon l’ISO 27 001:2017 sont valables jusqu'au 31 octobre 2025.

Quand l’éthique s’invite dans les services numériques de santé intégrant l’IA

01 mars 2024 | Alice Robert et Alexandre Fievee | Tribune

L’Agence du Numérique en Santé (ANS) vient de publier un référentiel éthique pour les services numériques de santé intégrant l’IA. Ce référentiel s’adresse aux éditeurs-fournisseurs d’un SI embarquant un module d’IA, mais aussi aux professionnels de santé et aux patients utilisateurs. 

Cyber : on y va tout droit

27 février 2024 | Cédric Cartau | Tribune

    

Un entrepôt de données de santé peut-il être hébergé par Microsoft ?

26 février 2024 | Alice Robert et Alexandre Fievee | Tribune

Par une délibération du 21 décembre 2023 (publiée le 31 janvier dernier), la CNIL a autorisé le groupement d’intérêt public « Plateforme de données de santé » (« Health Data Hub ») à recourir à l’hébergeur Microsoft pour un entrepôt de données de santé dénommé « EMC2 ». Retour sur cette décision qui interroge quant aux possibilités d’hébergement des entrepôts de données de santé par des sociétés non exclusivement soumises au droit européen.

NIS 1, NIS 2 : le roi est mort, vive le roi !

20 février 2024 | Cédric Cartau | Tribune

NIS 1 a vécu : le décret de 2016 est remplacé par sa seconde mouture publiée en décembre 2022, dont nous commençons à voir les contours au gré des conférences et débats en tout genre. Cette seconde mouture sera vraisemblablement la deuxième si l’on en juge par certaines dispositions qui laissent entrevoir une NIS 3 dans les prochaines années.

Microsoft risque de faire grincer des dents quelques analystes SOC

20 février 2024 | Charles Blanc-Rolin | Tribune

Le travail d’analyste SOC consiste souvent à jongler entre alertes pertinentes, signaux faibles nécessitant de creuser et faux positifs. Si l’IA est au cœur de nombreuses discussions, plaquettes commerciales et articles en tout genre, cette tâche, parfois ingrate, d’analyse des alertes de sécurité reste toujours confiée à des êtres humains.

Transition numérique et Numérique Responsable : du clic au déclic !

19 février 2024 | Séverine MIRAMON, Weliom | Tribune

Savez-vous qu’un email parcourt en moyenne 15 000km entre l’expéditeur et le destinataire ? Qui n’a jamais écrit un mail à son voisin de bureau avec juste un « Ok » ou « Merci » ?  

Les établissements de santé dans le collimateur de la CNIL

14 février 2024 | Alice Robert et Alexandre Fievee | Tribune

La CNIL a diligenté treize contrôles entre 2020 et 2024 auprès d’établissements de santé[1]. Résultat : les mesures mises en œuvre par ces derniers pour garantir la sécurité du dossier patient informatisé (DPI) sont insuffisantes. Plusieurs d’entre eux ont fait l’objet de mise en demeure de prendre des mesures adaptées. La CNIL prévoit des mesures correctrices contre d’autres établissements en 2024.    

Quadrant magique et enfumage professionnel dans la cyber

13 février 2024 | Cédric Cartau | Tribune

J’adore quand un marketeux encravaté vient m’expliquer avec moult schémas et slides bien léchés combien ses compétiteurs sont nuls et combien, lui, il est bon. Souvent, en appui des présentations, viennent s’intercaler des schémas en 3D (dont on se demande bien d’où ils sortent) supposés présenter la vision 360° d’un sujet, des classifications des fonctionnalités (dont on se demande qui a bien pu inventer les catégories) et autres artifices dignes d’une partie de poker menteur. Vraiment j’adore. Parmi les outils d’enfumage régulièrement utilisés, il y a le fameux Magic Quadrant de Gartner, censé adouber votre interlocuteur et ses propos fumeux.

EHDS, où en est-on ? Retour sur les derniers amendements proposés par le Parlement européen

06 février 2024 | Par Alice ROBERT & Alexandre FIEVEE | Tribune

Pour mémoire, la Commission européenne avait présenté le 3 mai 2022 une proposition de règlement européen sur l’espace européen des données de santé (European Health Data Space ou « EHDS »). Le 13 décembre dernier, le Parlement européen a pris position sur ce texte novateur, considéré comme une « pierre angulaire » dans la construction d’une Union européenne de la santé forte.

La morale et la cyber

06 février 2024 | Cédric Cartau | Tribune

Récemment, un incident s’est produit dans mon établissement : un fournisseur a envoyé, par mail et en pièce jointe, un fichier Excel (sans mot de passe) avec la liste des serveurs télé-administrés… et les couples ID/Password de plusieurs d’entre eux. J’avoue, j’ai vu tout rouge. J’avoue, le message que j’ai transmis à l’encadrement du technicien fautif était un tantinet caustique. C’est mal, hein ? Mais il s’agissait d’une erreur d’inattention, pas de malveillance ni d’incompétence, et si l’on coupait l’extrémité d’un doigt de chaque ingé ou tech qui commet des bourdes, je serais présentement en train de taper sur mon clavier avec mon pif : c’est la raison pour laquelle, l’affaire n’est pas allée plus loin. D’ailleurs, l’encadrement du fournisseur en question a rapidement réagi – et je me permets de rappeler qu’on détecte les bons dans chaque domaine non parce qu’ils ne commettent aucune erreur, mais parce qu’ils savent très rapidement en corriger la root cause.

Care : Enjeux d’une cartographie SI selon le plan blanc du numérique

05 février 2024 | Séverine MIRAMON, consultante Weliom | Tribune

La cartographie Systèmes d’Information est un outil indispensable pour piloter et sécuriser le SI. Elle offre une vision globale et claire du SI.

On est dans la Deep mouise

30 janvier 2024 | Cédric Cartau | Tribune

Impossible d’être passé à côté : depuis quelque temps, ce sont des vidéos en mode deepfake qui fleurissent sur les réseaux sociaux. Nous avons ainsi vu des hommes politiques apparaissant plus vrais que nature dans La Fièvre du samedi soir (déhanchements en prime), voire se faire ébouriffer les cheveux au beau milieu d’un discours (réel) par des personnalités du showbiz (réels eux aussi, mais qui n’étaient pas présents à l’allocution pour autant qu’on le sache). Et carrément Taylor Swift dans un « film de genre », ce qui est nettement plus infamant pour l’artiste.

Un organisme de contrôle médical peut-il traiter les données de santé de ses propres salariés ?

29 janvier 2024 | Par Alice ROBERT & Alexandre FIEVEE | Tribune

Lorsqu’un organisme de contrôle médical traite des données de santé d’un de ses salariés afin d’évaluer les capacités de travail dudit salarié, la licéité d’un tel traitement au regard du RGPD interroge. Comment effectivement gérer cette double « casquette » de l’organisme, à la fois responsable de traitement agissant dans le cadre de sa mission de contrôle médical, et également employeur de la personne concernée par le traitement ? Un tel traitement peut-il être autorisé ? N’y-a-t-il pas conflit d’intérêts ? Le consentement du salarié concerné pour procéder à un tel traitement est-il requis ? Comment assurer le respect du secret médical au sein de l’organisme, en particulier vis-à-vis de l’équipe travaillant avec le salarié concerné ?

Les Centres de Lutte Contre le Cancer, une spécificité et complexité de prise en charge que WELIOM accompagne, notamment au travers de nombreux projets de déploiement

23 janvier 2024 | Sandrine Lartigau, Weliom | Tribune

Depuis plusieurs années, WELIOM accompagne les Centres de Luttes contre le Cancer (CLCC), autour de prestations telles que l’assistance à la définition des orientations stratégiques SI, l’aide au choix de logiciels, l’accompagnement au déploiement de ces solutions, mais aussi la réalisation d’analyses de risques ainsi que la mise en conformité règlementaire au travers des programmes HOPEN/ SEGUR.

Et c’est l’heure de notre quiz annuel

23 janvier 2024 | Cédric Cartau | Tribune

Ça y est, Noël est passé, le petit Jésus, la crèche, les crises de foie, les repas de famille avec le tonton acariâtre juste à votre gauche. Il est largement temps de se changer les idées avec un petit quiz aux questions subtilement nuancées. Une seule bonne réponse par question, on compte les points à la fin.

Pourquoi les messages de phishing passent-ils encore les portes des anti-spams ?

16 janvier 2024 | Charles Blanc-Rolin | Tribune

Les campagnes de messages indésirables polluent nos messageries depuis de nombreuses années, « Green Card Lottery », celle qui restera dans l’histoire comme LA première campagne de spam de grande ampleur [1], fêtera ses 30 ans cette année ! Le premier spam aurait même été envoyé l’année de la création de la CNIL, en 1978 et aurait ciblé 393 messageries, sur ARPANET à l’époque [2].

En finir avec la polémique Olvid

16 janvier 2024 | Cédric Cartau | Tribune

Récemment[1] dans ces mêmes colonnes, je faisais part de mon étonnement eu égard à l’empressement des pouvoirs publics à quitter les messageries instantanées réputées « non sûres », telle WhatsApp, pour contraindre les membres du gouvernement (et des deux chambres, et des assistants parlementaires, et des membres des cabinets, etc.) à passer sur Olvid.    

2024 part dans tous les sens : revue d’actualité un tantinet espiègle

09 janvier 2024 | Cédric Cartau | Tribune

Bon, OK, je vais mélanger quelques news des deux côtés du 31, mais c’est pour la bonne cause.

Hébergement de données de santé, décryptage des évolutions à venir

08 janvier 2024 | Marguerite Brac de La Perrière | Tribune

Plusieurs textes vont prochainement impacter le régime relatif à l'hébergement de données de santé. 

L’importance de la conduite du changement dans un projet de transformation hospitalier

08 janvier 2024 | Par Christophe Cantin, WELIOM | Tribune

Tout projet de transformation nécessite de mettre en œuvre un accompagnement des acteurs dans le changement, que ce soit sur des sujets organisationnels, réglementaires, fonctionnels ou techniques. Trop souvent les projets de transformations sont pilotés, organisés, présentés et donc perçus comme des projets informatiques de changement de systèmes d’information.

Pas de bonnes résolutions cyber en 2024 ?

05 janvier 2024 | Charles Blanc-Rolin | Tribune

Je ne commencerais pas cette nouvelle année en vous imposant les traditionnelles bonnes résolutions. Au-delà du fait que l’exercice est souvent hypocrite, en réalité on ne s’y tient que rarement ou alors pas longtemps. En 2023, j’ai eu l’impression que la « cyber » était partout, tout le monde en a parlé, tout le monde voulait l’intégrer dans tout et n’importe quoi, nous en avons mangé à toutes les sauces et ma crainte est que nous finissions par en faire une indigestion. Le sujet qui certes, restera certainement d’actualité pour encore de nombreuses années, me semble un peu surmédiatisé et j’ai peur que le soufflé de la « sur-sensibilisation » générale finisse par retomber. Comme « en France on peut se plaindre de tout » (petite pensée pour Guy Marchand [1]), j’espère passer inaperçu.

L’année 2024 sera… ou ne sera pas

02 janvier 2024 | Cédric Cartau | Tribune

Les conseillers financiers nous abreuvent à chaque début d’année de prévisions boursières (qui seront aussi fausses a posteriori que l’étaient celles de l’année précédente), aucune raison que je n’aie pas moi aussi le droit de « prospectiver » et d’allègrement me planter.

2023, bilan de l’année

28 décembre 2023 | Cédric Cartau | Tribune

2023 se termine et comme chaque année c’est l’heure du bilan. Sans prétention aucune bien entendu.

Responsabilité à l'ère du numérique, un nouvel accord historique !

19 décembre 2023 | Marguerite Brac de La Perrière | Tribune

Quelques jours à peine après l'accord historique sur l'IA Act ou législation sur l'intelligence artificielle, un autre accord politique a été trouvé entre le Conseil et le Parlement européen, il porte sur une directive relative à la responsabilité du fait des produits défectueux, afin de tenir compte des fonctionnalités numériques de nombreux produits, de l'économie circulaire, et donc de mettre à jour un régime datant de près de 40 ans.

Regards croisés sur des schémas directeurs des systèmes d’informations : les 12 tendances 2024

19 décembre 2023 | Olivier Mahieu, Senior Manager | Tribune

En cette fin d’année, nous vous proposons les 12 tendances relevées cette année lors de la réalisation des schémas directeurs des systèmes d’information chez nos clients. 

Du chapeau blanc au chapeau noir, il n’y a parfois qu’un pas…

18 décembre 2023 | Charles Blanc-Rolin | Tribune

Mythe, fascination, fantasme, les histoires de « pirates informatiques » qui deviennent de gentils « hackers éthiques » (parfois même étatiques) ne manquent pas. Ces escrocs aux brillants cerveaux qui « décident » de se ranger du côté des « gentils » après leurs déboires avec la justice, s’attirent souvent la sympathie du commun des mortels, impressionné par leur génie. Le plus célèbre d’entre tous restera sûrement Kevin Mitnick [1], « Le Condor », qui s’est envolé cette année des suites d’un cancer [2].

Ma lettre au Père Noël 2023

18 décembre 2023 | Cédric Cartau | Tribune

Cher Père Noël, comme chaque année je t’écris car j’ai été encore hypersage, bien plus que les années précédentes. Non, ce n’est pas l’âge, c’est juste que je deviens un peu plus philosophe – oui bon, OK, c’est l’âge.

Les systèmes d'IA désormais régulés !

12 décembre 2023 | Marguerite Brac de La Perrière | Tribune

L'IA Act ou législation sur l'intelligence artificielle a abouti à un accord politique au terme de 38 heures d'échanges. Ce sont quatre années de travail qui aboutissent, 4 années à tenter de trouver un équilibre entre contrôle des risques liés aux technologies de l'IA, et développement de l'innovation. 

Tous sur Olvid, mais pour qui, pour quand et surtout pourquoi ?

12 décembre 2023 | Cédric Cartau | Tribune

Impossible de passer à côté : la Première ministre, Élisabeth Borne, a demandé aux membres de son gouvernement de supprimer les messageries instantanées « classiques » du genre WhatsApp ou Signal pour les remplacer par Olvid. Ite, missa est. Ceux qui me lisent peuvent témoigner que je bouffe du Gafam plus souvent qu’à mon tour et, a priori, la décision de flinguer WhatsApp au sein de l’exécutif semble tomber sous le sens. Sauf que plusieurs aspects interrogent tout de même.

Les contrôles de la CAF : réflexions sur les traitements RGPD connexes

05 décembre 2023 | Cédric Cartau | Tribune

La Quadrature du Net est une association qui « promeut et défend les libertés fondamentales dans l’environnement numérique ». Dans un article récent[1] (relayé d’ailleurs sur des chaînes d’information généralistes), ce think tank s’attaque à ce qu’il titre « Notation des allocataires : l’indécence des pratiques de la CAF désormais indéniable ». Contrôle ? Notation des personnes ? Mon sang de DPO n’a fait que 99 tours, je suis allé voir derechef.    

Le décryptage de CARE par WELIOM

05 décembre 2023 | Elodie Lafonta, Weliom | Tribune

Une des priorités de la nouvelle Feuille de Route du Numérique en Santé concerne le renforcement massif de la cybersécurité. La puissance publique s’est rapidement coordonnée dans la mise en place d’un plan de renforcement cyber avec l’objectif d’atteindre un niveau de préparation et de résilience suffisant via le Programme CARE (Cyber Accélération et Résilience des Établissements) : plan 2023-2027 destiné aux établissements sanitaires, médicosociaux, industriels et ARS / Grades pour faire face à la menace.

Quelques news déjantées de la planète cyber

28 novembre 2023 | Cédric Cartau | Tribune

Il n’y a pas que les sujets de fond, il y a aussi l’actualité dans la cyber.

Directive NIS 2 – Tous concernés

21 novembre 2023 | Weliom | Tribune

   

Les données de santé et les assureurs : approche du débat par le risque systémique

21 novembre 2023 | Cédric Cartau | Tribune

Même quand on est dans le ventre mou de l’actualité cyber (entre Halloween et Noël ou entre Noël et le ski), il se passe toujours quelque chose sur la planète des données et leur protection.

La cyber et ses ennemis

14 novembre 2023 | Cédric Cartau | Tribune

Récemment, je suis tombé sur un article[1] qui disait, en substance, que les pires ennemis du RSSI étaient les dirigeants : DG, DAF, DRH, etc. Et que, dans le même temps, les RSSI (Ciso dans le monde anglo-saxon) se retrouveraient (toujours selon l’article) de plus en plus en ligne de mire des juges en cas de manquement grave aux bonnes pratiques cyber. Bref, c’est nous (les RSSI) les gentils au milieu de tous ces méchants qui font rien que nous empêcher de cybersécuriser en rond.    

Droit d’accès gratuitement à son dossier médical : la CJUE se prononce

06 novembre 2023 | Alexandra ITEANU | Tribune

La protection des données personnelles est de plus en plus au cœur de litiges aux sujets variés. Un salarié sur le départ, un concurrent jaloux ou encore comme c’est le cas ici, un patient mécontent de son médecin, autant de personnes qui décident de s’appuyer sur les dispositions du règlement UE n°2016/679 dit « RGPD » pour obtenir des documents qui leur seront bien utiles devant un juge. 

Sécuriser les données de santé : une méthode d’analyse de risque innovante

06 novembre 2023 | Pascal BOYKO, | Tribune

WELIOM, en partenariat avec ALL4TEC, a développé une approche unique pour la gestion des risques de sécurité de l’information dans le domaine de la santé. Grâce à l’outil Agile Risk Manager (ARM), la méthode EBIOS RM certifiée par l’ANSSI a été adaptée pour répondre aux besoins spécifiques des établissements de santé.

Analyse darwinienne de la physiologie des RSSI et ses impacts sur la parité

06 novembre 2023 | Cédric Cartau | Tribune

Si les girafes ont un long cou, c’est parce qu’elles ont dû aller chercher leur repas en hauteur dans les arbres. Les girafes à petit cou n’ont pas survécu ; elles n’ont donc pas pu se reproduire avant de mourir et ainsi transmettre les gènes du petit cou (bon, c’est un peu plus nuancé que cela, mais c’est en gros l’idée générale).

La génétique ou le cauchemar du DPO

31 octobre 2023 | Cédric Cartau | Tribune

Définir, appliquer et contrôler une politique cohérente d’accès aux données médicales d’un DPI est en soi un vrai défi. A fortiori quand l’établissement est de grande taille (CHU ou gros CH), a fortiori s’il mêle des activités hétérogènes (MCO, Psy, SSR, etc.), a fortiori si l’établissement appartient à un plus gros ensemble (CHT, GHT), a fortiori si les éléments de l’ensemble ont des cultures hétérogènes, des histoires différentes. En plus des 70 pages du guide Apssis[1], votre serviteur ne parvient pas à épuiser totalement le sujet, c’est dire.    

Recherches et traitements de données de santé, actualités

24 octobre 2023 | Marguerite Brac de La Perrière | Tribune

Faciliter l'accès aux données de santé du Système National des Données de Santé, tel est l'objectif poursuivi par la CNIL avec la publication de deux nouvelles méthodologies de référence permettant, à condition de s'y conformer, de se soustraire à une demande d'autorisation.

Suis-je une IA ? ou les réflexions métaphysiques d’un RSSI sous tension

24 octobre 2023 | Cédric Cartau | Tribune

Il y a des semaines où s’enchaînent les ennuis, et là, j’ai eu ma dose. Alors je viens chercher réconfort auprès du lecteur qui sera sensible (sans pouvoir y répondre, forcément) à mes interrogations existentielles sur les octets, les malwares, les processus et les patchs OS vérolés.

Transition vers la Direction des Services Numériques : réussir la transformation de sa DSI

23 octobre 2023 | Alain Krépiki, WELIOM | Tribune

La nécessité de faciliter le quotidien des professionnels pour leurs usages du numérique, conduit les Directions des Systèmes d’Information (DSI) hospitalières à accélérer le virage digital par une transformation profonde de leurs organisations.

Développement des systèmes d'intelligence artificielle et protection des données personnelles, des impératifs conciliables

17 octobre 2023 | Marguerite Brac de La Perrière | Tribune

Point de système d'intelligence artificielle (IA) sans données massives, or, l'articulation entre constitution de bases de données à caractère personnel d'apprentissage et protection des données est parfois délicate.

La question de la mémoire cyber ou l’habitude de faire bouillir le lait

17 octobre 2023 | Cédric Cartau | Tribune

Lors de mon enfance, quand j’allais chez mes grands-parents le mercredi, au petit déjeuner, j’avais droit à toutes les saveurs de confiture maison, pain au beurre et jus d’orange. Avec un bol de chocolat chaud, pour lequel ma grand-mère faisait systématiquement bouillir le lait. Pas du lait de ferme sorti 10 minutes plus tôt de l’étable, je précise, non, non : du lait stérilisé UHT en brique bleue achetée au supermarché. Faire bouillir ce genre de lait ne sert strictement à rien (sauf à se brûler régulièrement la langue), c’est juste une habitude héritée de mon arrière-grand-mère (au temps où les briques UHT n’existaient pas et où il fallait pasteuriser le lait soi-même), qui a d’ailleurs été reprise par presque toutes mes tantes – on parle donc d’un geste qui a perduré pendant au moins trois générations.

Huit lauréats « Santé numérique » pour l’AMI Compétences et métiers d’avenir

10 octobre 2023 | DSIH | Tribune

Le 9 octobre, les acteurs du plan France 2030 ont dévoilé le nom des 14 lauréats de l’appel à manifestation d’intérêt « Compétences et métiers d’avenir ». Huit d’entre eux sont consacrés à la santé numérique.