Nous avons récemment eu droit à une liste de prévisions (à lire au préalable ici[1]) du directeur général d’OpenAI (Sam Altman) concernant le futur de l’IA. Certes, la futurologie est un exercice délicat, mais certaines de ses prédictions tournent clairement à la bisounourserie façon guimauve et chouquette à la fraise des bois. Huit prédictions, huit analyses, une par une. On terminera par celles de votre serviteur, subtilement nuancées comme d’habitude.
Les mots, rien que les mots : le langage est fait de mots et les mots recouvrent les idées et les concepts. Petit voyage en terre presque connue.
Il s’en passe des choses en ce moment : est-ce le printemps ou la fin d’un hiver pourri ? Toujours est-il que l’on ne sait plus où donner de la tête.
Le guide des 42 mesures d’hygiène de sécurité de l’Anssi est un document que je tiens pour essentiel dans la démarche cyber.
Nombre de collaborateurs, salariés notamment dans des établissements de santé, ont accès, dans le cadre leurs fonctions, à des documents contenant des données médicales de patients. Ces informations sont protégées par le secret médical. Mais, le jour où survient un litige entre l’un de ces salariés et son employeur, ce secret médical peut-il être levé ? En d’autres termes, un salarié peut-il utiliser, comme moyen de preuve, des documents couverts par le secret médical dans le cadre d’un litige prud’homal, n’intéressant donc pas le patient concerné ?
Quand on termine la lecture de Dette, 5 000 ans d’histoire de David Graeber (aussi connu pour avoir écrit Bullshit Jobs), deux idées viennent immanquablement en tête. La première, c’est : Waouh ! Nom d’une brouette en inox, combien de temps lui a-t-il fallu pour pondre un pavé pareil (plus de 600 pages écrites en tout petit) truffé d’anecdotes, de références historiques et bibliographiques, bref, quasi le travail d’une vie ? Et la seconde, c’est que l’on ne comprend plus rien à ce qu’est véritablement une dette – je suis tout à fait sérieux, j’avais eu exactement la même impression en terminant L’Irrésistible Ascension de l’argent de Niall Ferguson, comme quoi ces concepts ne sont pas aussi triviaux qu’il n’y paraît. Et encore moins à la question : Qui doit quoi à qui ?
La Commission de l’IA (Intelligence artificielle) préconise la suppression des procédures d’autorisation préalable d’accès aux données de santé et la réduction des délais de réponse de la CNIL. Retour sur ce rapport tant attendu, qui a été présenté mercredi dernier au Président Emmanuel Macron[1].
Le groupe identifié depuis 2020 comme TA577 [1] par Proofpoint, est spécialisé dans la revente d’accès initiaux (communément appelé IAB, pour Initial Access Broker). Il est connu pour ses campagnes de diffusion des chevaux de Troie Qbot et plus récemment Pikabot via des courriels reprenant d’anciennes conversations exfiltrées auxquelles les victimes ont pu participer.
En 1152, la reine de France Aliénor d’Aquitaine faisait annuler son mariage avec le roi Louis VII. Elle quittait Beaugency pour le Poitou afin de se marier avec Henri Plantagenêt. Sur le chemin, elle subit deux tentatives d’enlèvement (l’une par Geoffroy, le frère d’Henri, l’autre par le comte de Blois). Il semble que cette pratique était courante au xiie siècle : celui qui aurait réussi à l’enlever aurait pu l’épouser. On ne juge pas : c’était juste la version Tinder de l’époque.
Imaginez un jeu de cartes, un jeu de tarot ou de belote, cela n’a aucune espèce d’importance. Chacune des cartes est biface et la face avant porte les valeurs classiques (as, roi, dame, valet, 10, 9, etc., pour finir par le 2), alors que l’autre face est colorée entièrement soit en bleu, soit en rouge. Une carte prise au hasard pourra afficher sur l’une de ses faces une dame et sur l’autre face la couleur rouge, par exemple, une autre carte le duo valet/bleu. Vous ne connaissez pas la règle qui a prévalu au choix de la couleur de la seconde face de chaque carte, si tant est qu’il y en ait une.
La norme internationale qui définit les exigences pour la mise en place d'un Système de Management de la Sécurité de l’Information (SMSI) a fait l’objet d’une mise à jour il y a déjà plus d’un an. Une période de transition de 3 ans est lancée depuis le 31/10/2022, les certificats délivrés selon l’ISO 27 001:2017 sont valables jusqu'au 31 octobre 2025.
L’Agence du Numérique en Santé (ANS) vient de publier un référentiel éthique pour les services numériques de santé intégrant l’IA. Ce référentiel s’adresse aux éditeurs-fournisseurs d’un SI embarquant un module d’IA, mais aussi aux professionnels de santé et aux patients utilisateurs.
Par une délibération du 21 décembre 2023 (publiée le 31 janvier dernier), la CNIL a autorisé le groupement d’intérêt public « Plateforme de données de santé » (« Health Data Hub ») à recourir à l’hébergeur Microsoft pour un entrepôt de données de santé dénommé « EMC2 ». Retour sur cette décision qui interroge quant aux possibilités d’hébergement des entrepôts de données de santé par des sociétés non exclusivement soumises au droit européen.
NIS 1 a vécu : le décret de 2016 est remplacé par sa seconde mouture publiée en décembre 2022, dont nous commençons à voir les contours au gré des conférences et débats en tout genre. Cette seconde mouture sera vraisemblablement la deuxième si l’on en juge par certaines dispositions qui laissent entrevoir une NIS 3 dans les prochaines années.
Le travail d’analyste SOC consiste souvent à jongler entre alertes pertinentes, signaux faibles nécessitant de creuser et faux positifs. Si l’IA est au cœur de nombreuses discussions, plaquettes commerciales et articles en tout genre, cette tâche, parfois ingrate, d’analyse des alertes de sécurité reste toujours confiée à des êtres humains.
Savez-vous qu’un email parcourt en moyenne 15 000km entre l’expéditeur et le destinataire ? Qui n’a jamais écrit un mail à son voisin de bureau avec juste un « Ok » ou « Merci » ?
La CNIL a diligenté treize contrôles entre 2020 et 2024 auprès d’établissements de santé[1]. Résultat : les mesures mises en œuvre par ces derniers pour garantir la sécurité du dossier patient informatisé (DPI) sont insuffisantes. Plusieurs d’entre eux ont fait l’objet de mise en demeure de prendre des mesures adaptées. La CNIL prévoit des mesures correctrices contre d’autres établissements en 2024.
J’adore quand un marketeux encravaté vient m’expliquer avec moult schémas et slides bien léchés combien ses compétiteurs sont nuls et combien, lui, il est bon. Souvent, en appui des présentations, viennent s’intercaler des schémas en 3D (dont on se demande bien d’où ils sortent) supposés présenter la vision 360° d’un sujet, des classifications des fonctionnalités (dont on se demande qui a bien pu inventer les catégories) et autres artifices dignes d’une partie de poker menteur. Vraiment j’adore. Parmi les outils d’enfumage régulièrement utilisés, il y a le fameux Magic Quadrant de Gartner, censé adouber votre interlocuteur et ses propos fumeux.
Pour mémoire, la Commission européenne avait présenté le 3 mai 2022 une proposition de règlement européen sur l’espace européen des données de santé (European Health Data Space ou « EHDS »). Le 13 décembre dernier, le Parlement européen a pris position sur ce texte novateur, considéré comme une « pierre angulaire » dans la construction d’une Union européenne de la santé forte.
Récemment, un incident s’est produit dans mon établissement : un fournisseur a envoyé, par mail et en pièce jointe, un fichier Excel (sans mot de passe) avec la liste des serveurs télé-administrés… et les couples ID/Password de plusieurs d’entre eux. J’avoue, j’ai vu tout rouge. J’avoue, le message que j’ai transmis à l’encadrement du technicien fautif était un tantinet caustique. C’est mal, hein ? Mais il s’agissait d’une erreur d’inattention, pas de malveillance ni d’incompétence, et si l’on coupait l’extrémité d’un doigt de chaque ingé ou tech qui commet des bourdes, je serais présentement en train de taper sur mon clavier avec mon pif : c’est la raison pour laquelle, l’affaire n’est pas allée plus loin. D’ailleurs, l’encadrement du fournisseur en question a rapidement réagi – et je me permets de rappeler qu’on détecte les bons dans chaque domaine non parce qu’ils ne commettent aucune erreur, mais parce qu’ils savent très rapidement en corriger la root cause.
La cartographie Systèmes d’Information est un outil indispensable pour piloter et sécuriser le SI. Elle offre une vision globale et claire du SI.
Impossible d’être passé à côté : depuis quelque temps, ce sont des vidéos en mode deepfake qui fleurissent sur les réseaux sociaux. Nous avons ainsi vu des hommes politiques apparaissant plus vrais que nature dans La Fièvre du samedi soir (déhanchements en prime), voire se faire ébouriffer les cheveux au beau milieu d’un discours (réel) par des personnalités du showbiz (réels eux aussi, mais qui n’étaient pas présents à l’allocution pour autant qu’on le sache). Et carrément Taylor Swift dans un « film de genre », ce qui est nettement plus infamant pour l’artiste.
Lorsqu’un organisme de contrôle médical traite des données de santé d’un de ses salariés afin d’évaluer les capacités de travail dudit salarié, la licéité d’un tel traitement au regard du RGPD interroge. Comment effectivement gérer cette double « casquette » de l’organisme, à la fois responsable de traitement agissant dans le cadre de sa mission de contrôle médical, et également employeur de la personne concernée par le traitement ? Un tel traitement peut-il être autorisé ? N’y-a-t-il pas conflit d’intérêts ? Le consentement du salarié concerné pour procéder à un tel traitement est-il requis ? Comment assurer le respect du secret médical au sein de l’organisme, en particulier vis-à-vis de l’équipe travaillant avec le salarié concerné ?
Depuis plusieurs années, WELIOM accompagne les Centres de Luttes contre le Cancer (CLCC), autour de prestations telles que l’assistance à la définition des orientations stratégiques SI, l’aide au choix de logiciels, l’accompagnement au déploiement de ces solutions, mais aussi la réalisation d’analyses de risques ainsi que la mise en conformité règlementaire au travers des programmes HOPEN/ SEGUR.
Ça y est, Noël est passé, le petit Jésus, la crèche, les crises de foie, les repas de famille avec le tonton acariâtre juste à votre gauche. Il est largement temps de se changer les idées avec un petit quiz aux questions subtilement nuancées. Une seule bonne réponse par question, on compte les points à la fin.
Les campagnes de messages indésirables polluent nos messageries depuis de nombreuses années, « Green Card Lottery », celle qui restera dans l’histoire comme LA première campagne de spam de grande ampleur [1], fêtera ses 30 ans cette année ! Le premier spam aurait même été envoyé l’année de la création de la CNIL, en 1978 et aurait ciblé 393 messageries, sur ARPANET à l’époque [2].
Récemment[1] dans ces mêmes colonnes, je faisais part de mon étonnement eu égard à l’empressement des pouvoirs publics à quitter les messageries instantanées réputées « non sûres », telle WhatsApp, pour contraindre les membres du gouvernement (et des deux chambres, et des assistants parlementaires, et des membres des cabinets, etc.) à passer sur Olvid.
Bon, OK, je vais mélanger quelques news des deux côtés du 31, mais c’est pour la bonne cause.
Plusieurs textes vont prochainement impacter le régime relatif à l'hébergement de données de santé.
Tout projet de transformation nécessite de mettre en œuvre un accompagnement des acteurs dans le changement, que ce soit sur des sujets organisationnels, réglementaires, fonctionnels ou techniques. Trop souvent les projets de transformations sont pilotés, organisés, présentés et donc perçus comme des projets informatiques de changement de systèmes d’information.
Je ne commencerais pas cette nouvelle année en vous imposant les traditionnelles bonnes résolutions. Au-delà du fait que l’exercice est souvent hypocrite, en réalité on ne s’y tient que rarement ou alors pas longtemps. En 2023, j’ai eu l’impression que la « cyber » était partout, tout le monde en a parlé, tout le monde voulait l’intégrer dans tout et n’importe quoi, nous en avons mangé à toutes les sauces et ma crainte est que nous finissions par en faire une indigestion. Le sujet qui certes, restera certainement d’actualité pour encore de nombreuses années, me semble un peu surmédiatisé et j’ai peur que le soufflé de la « sur-sensibilisation » générale finisse par retomber. Comme « en France on peut se plaindre de tout » (petite pensée pour Guy Marchand [1]), j’espère passer inaperçu.
Les conseillers financiers nous abreuvent à chaque début d’année de prévisions boursières (qui seront aussi fausses a posteriori que l’étaient celles de l’année précédente), aucune raison que je n’aie pas moi aussi le droit de « prospectiver » et d’allègrement me planter.
2023 se termine et comme chaque année c’est l’heure du bilan. Sans prétention aucune bien entendu.
Quelques jours à peine après l'accord historique sur l'IA Act ou législation sur l'intelligence artificielle, un autre accord politique a été trouvé entre le Conseil et le Parlement européen, il porte sur une directive relative à la responsabilité du fait des produits défectueux, afin de tenir compte des fonctionnalités numériques de nombreux produits, de l'économie circulaire, et donc de mettre à jour un régime datant de près de 40 ans.
En cette fin d’année, nous vous proposons les 12 tendances relevées cette année lors de la réalisation des schémas directeurs des systèmes d’information chez nos clients.
Mythe, fascination, fantasme, les histoires de « pirates informatiques » qui deviennent de gentils « hackers éthiques » (parfois même étatiques) ne manquent pas. Ces escrocs aux brillants cerveaux qui « décident » de se ranger du côté des « gentils » après leurs déboires avec la justice, s’attirent souvent la sympathie du commun des mortels, impressionné par leur génie. Le plus célèbre d’entre tous restera sûrement Kevin Mitnick [1], « Le Condor », qui s’est envolé cette année des suites d’un cancer [2].
Cher Père Noël, comme chaque année je t’écris car j’ai été encore hypersage, bien plus que les années précédentes. Non, ce n’est pas l’âge, c’est juste que je deviens un peu plus philosophe – oui bon, OK, c’est l’âge.
L'IA Act ou législation sur l'intelligence artificielle a abouti à un accord politique au terme de 38 heures d'échanges. Ce sont quatre années de travail qui aboutissent, 4 années à tenter de trouver un équilibre entre contrôle des risques liés aux technologies de l'IA, et développement de l'innovation.
Impossible de passer à côté : la Première ministre, Élisabeth Borne, a demandé aux membres de son gouvernement de supprimer les messageries instantanées « classiques » du genre WhatsApp ou Signal pour les remplacer par Olvid. Ite, missa est. Ceux qui me lisent peuvent témoigner que je bouffe du Gafam plus souvent qu’à mon tour et, a priori, la décision de flinguer WhatsApp au sein de l’exécutif semble tomber sous le sens. Sauf que plusieurs aspects interrogent tout de même.
La Quadrature du Net est une association qui « promeut et défend les libertés fondamentales dans l’environnement numérique ». Dans un article récent[1] (relayé d’ailleurs sur des chaînes d’information généralistes), ce think tank s’attaque à ce qu’il titre « Notation des allocataires : l’indécence des pratiques de la CAF désormais indéniable ». Contrôle ? Notation des personnes ? Mon sang de DPO n’a fait que 99 tours, je suis allé voir derechef.
Une des priorités de la nouvelle Feuille de Route du Numérique en Santé concerne le renforcement massif de la cybersécurité. La puissance publique s’est rapidement coordonnée dans la mise en place d’un plan de renforcement cyber avec l’objectif d’atteindre un niveau de préparation et de résilience suffisant via le Programme CARE (Cyber Accélération et Résilience des Établissements) : plan 2023-2027 destiné aux établissements sanitaires, médicosociaux, industriels et ARS / Grades pour faire face à la menace.
Il n’y a pas que les sujets de fond, il y a aussi l’actualité dans la cyber.
Même quand on est dans le ventre mou de l’actualité cyber (entre Halloween et Noël ou entre Noël et le ski), il se passe toujours quelque chose sur la planète des données et leur protection.
Récemment, je suis tombé sur un article[1] qui disait, en substance, que les pires ennemis du RSSI étaient les dirigeants : DG, DAF, DRH, etc. Et que, dans le même temps, les RSSI (Ciso dans le monde anglo-saxon) se retrouveraient (toujours selon l’article) de plus en plus en ligne de mire des juges en cas de manquement grave aux bonnes pratiques cyber. Bref, c’est nous (les RSSI) les gentils au milieu de tous ces méchants qui font rien que nous empêcher de cybersécuriser en rond.
La protection des données personnelles est de plus en plus au cœur de litiges aux sujets variés. Un salarié sur le départ, un concurrent jaloux ou encore comme c’est le cas ici, un patient mécontent de son médecin, autant de personnes qui décident de s’appuyer sur les dispositions du règlement UE n°2016/679 dit « RGPD » pour obtenir des documents qui leur seront bien utiles devant un juge.
WELIOM, en partenariat avec ALL4TEC, a développé une approche unique pour la gestion des risques de sécurité de l’information dans le domaine de la santé. Grâce à l’outil Agile Risk Manager (ARM), la méthode EBIOS RM certifiée par l’ANSSI a été adaptée pour répondre aux besoins spécifiques des établissements de santé.
Si les girafes ont un long cou, c’est parce qu’elles ont dû aller chercher leur repas en hauteur dans les arbres. Les girafes à petit cou n’ont pas survécu ; elles n’ont donc pas pu se reproduire avant de mourir et ainsi transmettre les gènes du petit cou (bon, c’est un peu plus nuancé que cela, mais c’est en gros l’idée générale).
Définir, appliquer et contrôler une politique cohérente d’accès aux données médicales d’un DPI est en soi un vrai défi. A fortiori quand l’établissement est de grande taille (CHU ou gros CH), a fortiori s’il mêle des activités hétérogènes (MCO, Psy, SSR, etc.), a fortiori si l’établissement appartient à un plus gros ensemble (CHT, GHT), a fortiori si les éléments de l’ensemble ont des cultures hétérogènes, des histoires différentes. En plus des 70 pages du guide Apssis[1], votre serviteur ne parvient pas à épuiser totalement le sujet, c’est dire.
Les plus lus