Vous êtes dans : Accueil > Actualités >

TRIBUNES LIBRES

La cyber attaque de l’année a eu lieu ce dernier week-end

Vincent Trély, le jeu. 27 octobre 2016 : Probablement la plus large, la mieux préparée et la plus efficace de l’année 2016, l’attaque numérique qui a paralysé plusieurs milliers de serveurs et de sites de grandes compagnies américaines a démarré vendredi 21 octobre.Lire la suite ...

On est peut-être en fin de race – de RSSI s’entend. Partie I

Cédric Cartau, le lun. 24 octobre 2016 : OK, je l’avoue, j’ai une légère tendance au pessimisme. Mais là, vous avouerez que cela commence à faire beaucoup : non seulement les incidents se multiplient, non seulement aucun des RSSI présents aux Assises, et avec qui j’ai pu causer un peu entre deux one-to-one, ne voit le bout du tunnel, mais il apparaît clairement que nous sommes dans une situation de type « alignement néfaste conjoncturel » assez unique dans l’histoire de la sécurité des SI.Lire la suite ...

Dossier pharmaceutique : l'absence du recueil de consentement pointé du doigt

Charles Blanc-Rolin, le lun. 17 octobre 2016 :                                                                                      Lire la suite ...

Synthèse sur les mots de passe. Partie III

Cédric Cartau, le lun. 17 octobre 2016 : Il n’était pas prévu de faire une V3, mais – preuve s’il en était besoin qu’en matière de SSI l’humilité est la règle – Francis Bergey, un ingénieur sécurité de mes amis, me signale plusieurs points discutables dans les deux premiers volets, et notamment dans la conclusion. Dans un souci d’exhaustivité et de transparence, je me dois de vous en faire part.Lire la suite ...

Synthèse sur les mots de passe. Partie II

Cédric Cartau, le lun. 10 octobre 2016 : Dans un article précédent[1], nous avons entamé une synthèse de l’état de l’art sur les mots de passe, faisant suite à une émission du Comptoir Sécu. Seconde partie.Lire la suite ...

Objets connectés de santé = danger ?

Charles Blanc-Rolin, le lun. 10 octobre 2016 : Les objets connectés sont de plus en plus présents dans notre quotidien : montre, pèse-personne, voiture ou frigo connectés, vidéosurveillance, domotique, etc.Lire la suite ...

Synthèse sur les mots de passe. Partie I

Cédric Cartau, le lun. 03 octobre 2016 : Récemment, je suis tombé sur l’une des émissions de mon podcast favori (Le Comptoir Sécu) consacrée aux mots de passe[1]. Le sujet paraît battu et rebattu, mais l’invité (Hydraze, un passcracker manifestement chevronné et surtout très pédagogue) m’en a clairement remontré. Respect et humilité. Je vais tenter une petite synthèse.  Lire la suite ...

Consommables d’impression : le début de la fin des économies ?

Charles Blanc-Rolin, le lun. 03 octobre 2016 : La situation financière générale de nos établissements nous impose de faire des économies partout où il est possible d’en faire. Les consommables d’impression font partie depuis des années des produits sur lesquels il est possible de faire jouer la concurrence, notamment avec les entreprises spécialisées dans le recyclage des cartouches et toners.  Lire la suite ...

Une bonne résolution : appliquer les mises à jour de sécurité

Charles Blanc-Rolin, le lun. 26 septembre 2016 : Mettre à jour systèmes d’exploitation, navigateurs, suites bureautiques et la totalité des logiciels installés sur l’ensemble de son parc informatique fait partie des bases de la sécurité des systèmes d’information.Lire la suite ...

La santé va-t-elle polluer ?

Cédric Cartau, le lun. 26 septembre 2016 : Les attaques en déni de service (Ddos), qui visent à saturer un site web ou un domaine en l’inondant de requêtes bas niveau, ne sont pas une nouveauté. Mais comme le relaie le journal Le Monde dans un article récent[1], ce qui vient d’arriver à Brian Krebs, un chercheur connu dans le domaine de la sécurité, est assez étonnant.  Lire la suite ...

PRA, fois 2 ou fois 4 ?

Cédric Cartau, le lun. 26 septembre 2016 : Le PRA – ou Plan de reprise d’activité – est l’ensemble des dispositifs techniques ou organisationnels qu’il est nécessaire de mettre en œuvre, non seulement pour s’assurer que l’IT ne tombera presque jamais en panne (volet technique), mais également pour que, si d’aventure cela se produit, les métiers pourront continuer une activité minimale sans mettre en jeu la vie des patients. Il existe de subtiles différences entre le PRA et le PCA (Plan de continuité d’activité) que j’ai développées dans le chapitre V de mon premier ouvrage[1], et si vous voulez mettre le bazar dans une réunion de RSSI, les lancer sur ce sujet est aussi efficace que d’évoquer la peine de mort ou l’affaire Dreyfus dans un dîner en ville.  Lire la suite ...

MSSanté : quelles sont les nouveautés pour la rentrée ?

Charles Blanc-Rolin, le lun. 26 septembre 2016 : L’Asip Santé a publié le 15 septembre une version 1.1 du Dossier des spécifications fonctionnelles et techniques (DSFT) pour le système de messagerie sécurisée de santé qu’elle propose, en remplacement de la version 1.0 datant de mars 2014.Lire la suite ...

Who’s hiding behind Internet land attacks ?

Cédric Cartau, le mar. 20 septembre 2016 : Bruce Schneier n’est pas n’importe qui : il est considéré comme l’un des gourous de la planète IT, et en connaît un rayon sur Internet et son fonctionnement. Alors, quand Bruce Schneier parle, on l’écoute.  Lire la suite ...

Le signalement des incidents de sécurité

Cédric Cartau, le mar. 20 septembre 2016 : Le 12 septembre dernier est enfin sorti le décret[1] que tous les RSSI attendaient avec impatience, et qui contraint les organisations publiques ou privées à déclarer les incidents de sécurité. Dans les faits, ce décret vient préciser comme prévu l’article L. 1111-8-2[2] du Code de la santé publique.  Lire la suite ...

Une lucarne sur les prochaines années

Cédric Cartau, le lun. 12 septembre 2016 : Pour ceux à qui le quotidien ne suffit pas et qui ont besoin d’un peu de prospective sur le monde de la santé, les SIH et la sécurité de tout ce bazar, quelques conseils de lecture ou d’écoute radiophonique.Lire la suite ...

Migration vers Windows 10 : faut-il encore attendre ?

Charles Blanc-Rolin, le mer. 07 septembre 2016 : Depuis sa sortie il y a un peu plus d’un an maintenant, Microsoft force lourdement la main aux particuliers comme aux professionnels pour migrer vers son ultime système d’exploitation. Windows 7 reste dans nos établissements l’OS [1] client dominant, accompagné d’une poignée de Windows XP réticents au départ en retraite.Lire la suite ...

Détournement juridique du décret d’hébergement de données de santé. Conclusion : un autre regard

François Kaag, président Afhads,, le lun. 05 septembre 2016 : La série d’articles de Cédric Cartau a bien mis en évidence la fragilité conceptuelle du modèle actuel de l’hébergement de données de santé. Puisqu’il est en cours de refonte, il me semble intéressant de creuser un peu plus sur les origines de cette faiblesse afin de s’assurer qu’elle ne sera pas reconduite.Lire la suite ...

Détournement juridique du décret d’hébergement de données de santé – partie 3

Cédric Cartau, le lun. 05 septembre 2016 : Dans un premier article[1], je faisais part d’un cas étrange de ce qui pourrait être considéré par certains comme un possible détournement de l’esprit, si ce n’est de la lettre, du décret Hébergeur. Dans un deuxième volet, je suis revenu sur les remarques et commentaires de certains lecteurs sur ce premier article ainsi que sur la mise à jour de la FAQ de l’Asip tenant compte de ce cas d’usage. Quelles sont les pistes pour les prochaines évolutions du décret ?  Lire la suite ...

Détournement juridique du décret d’hébergement de données de santé – partie 2

Cédric Cartau, le lun. 05 septembre 2016 : Dans un précédent article[1], je faisais part d’un cas étrange de ce qui pourrait être considéré par certains comme un détournement de l’esprit du décret. Pas mal de remarques et de commentaires de lecteurs à cet article allaient de « ah oui ! on voit bien la limite du décret » à « il s’agit clairement d’un détournement des textes puni par la loi ». Je tiens cependant à préciser qu’à ma connaissance aucun des commentateurs n’est juriste.  Lire la suite ...

Le bug qui fait mal aux bourses

Cédric Cartau, le jeu. 01 septembre 2016 : Mais où va le monde, je vous le demande ?Lire la suite ...

Assurance informatique : sommes-nous bien protégés ?

Charles Blanc-Rolin, le mar. 23 août 2016 : Lorsque l’on aborde le sujet de l’assurance IT [1] avec la DG [2], le discours est souvent le même : « Nous avons souscrit une assurance tous risques informatiques, nous sommes donc couverts pour tout. » Mais nous avons souvent tendance à confondre « assurance informatique » et « cyberassurance ». Les polices d’assurance dites « classiques », même appelées « tous risques informatiques » ne couvrent pas tous les sinistres, loin de là !Lire la suite ...

Évolution des conditions d’accès, d’échange et de partage des données de santé. Pour quand les choix techniques ?

Charles Blanc-Rolin, le mar. 02 août 2016 :                                                                                                                                                    Lire la suite ...

SIH : Bilan du premier semestre 2016

Cédric Cartau, le lun. 01 août 2016 :                                                                                                                                                                                          Lire la suite ...

Détournement juridique du décret d’hébergement de données de santé

Cédric Cartau, le mar. 26 juillet 2016 : Récemment, au fil de mes pérégrinations dans le petit monde de la santé, je suis tombé coi devant un usage du décret d’hébergement qui pourrait paraître, a priori, comme un détournement juridique.Lire la suite ...

MFC : L’ennemi de la confidentialité

Charles Blanc-Rolin, le mar. 26 juillet 2016 : Les copieurs multifonctions ou MFC (pour Multiple Function Copiers en anglais) sont présents dans nos établissements depuis de nombreuses années.Lire la suite ...

CICF an 2 : alors là, poussez-vous tout le monde

Cédric Cartau, le mar. 19 juillet 2016 : L’année dernière, à l’occasion de la première édition de l’audit de certification des comptes, je m’étais fendu d’un article dithyrambique[1] sur son impact – positif – pour les RSSI dont je suis.  Lire la suite ...

Du shadow IT au shadow Darty

Cédric Cartau, le lun. 11 juillet 2016 : Ces dernières années, nous aurons été abreuvés de concepts plus ou moins bancals, la plupart du temps vantés par certains fournisseurs de solutions matérielles plus ou moins intégrées, avant d’être dénigrées peu de temps après par des consultants à jolie cravate. Dans les deux cas, c’est le client qui se fait tondre, merci pour lui.Lire la suite ...

Sécurité des SI de santé : état normatif ou la fin annoncée du bricolage

Cédric Cartau, le lun. 11 juillet 2016 : La T2A a sans conteste été une révolution dans le monde de la santé : faut-il rappeler qu’avant sa mise en place et sa généralisation sur le territoire, le mode de financement des établissements consistait peu ou prou à prendre les budgets des années précédentes et à les reporter sur l’année d’après avec une augmentation de quelques pourcents.Lire la suite ...

Fuites de données : rien de tel pour se remettre en question

Charles Blanc-Rolin, le dim. 10 juillet 2016 : L’actualité brûlante a de quoi nous faire réfléchir sur la sécurité en place au sein de nos SIH.Lire la suite ...

Phishing au "Webmail générique"

Charles Blanc-Rolin, le mar. 05 juillet 2016 : De plus en plus d'établissements sont victimes de piratages de leur messagerie. En effet, depuis plusieurs semaines déjà, je vois passer une quantité importante de messages de phishing [1] en provenance de messageries d'utilisateurs d'autres établissements de santé (mais aussi de multinationales, de ministères de divers pays, etc...) qui ont été piratées de la même façon je suppose.Lire la suite ...

Encore un article sur la protection antivirale ?

Cédric Cartau, le lun. 04 juillet 2016 : Ô lecteur, si tu as cliqué sur ce lien par curiosité, tu te demandes ce que l’on peut bien encore écrire sur ce sujet battu et rebattu. Il se trouve que nous n’allons pas – ou peu – évoquer des aspects techniques, mais plutôt le niveau de maturité sur cette question. Une échelle Gartner, assez semblable d’ailleurs à celle de Cobit, découpe la maturité en cinq niveaux.Lire la suite ...

La santé du patient ou la sécurité de ses données : faut-il vraiment choisir ?

Christophe Jolly, Directeur Sécurité Cisco France, le ven. 01 juillet 2016 :                                                                                      Lire la suite ...

Helpdesk : la sécurité vous y avez pensé ?

Charles Blanc-Rolin, le ven. 24 juin 2016 : Les outils « Helpdesk », également appelés « outils d’assistance utilisateur », de « support hotline » ou encore de « ticketing » sont aujourd’hui incontournables pour de nombreuses DSI [1].Lire la suite ...

Sélection d’ouvrages de management pour la DSI

Cédric Cartau, le ven. 24 juin 2016 : On me demande souvent, en cours ou en congrès, quels ouvrages de management il faut conseiller, que ce soit pour une lecture studieuse entre deux réunions au bureau ou sur la plage à l’ombre du parasol. Petite sélection sans prétention.Lire la suite ...

Malwares : quel est l’état des lieux de la menace ?

Charles Blanc Rolin, le mar. 14 juin 2016 : Les « malwares », ou logiciels malveillants en français, sont de plus en plus présents.  Lire la suite ...

DSI : la question de l’équilibrage des ressources

Cédric Cartau, le lun. 13 juin 2016 : Cela fait pas loin de 17 ans que je navigue dans le merveilleux monde des DSI, et après trois CHU et des dizaines de DSI auditées ou simplement visitées, je tombe toujours régulièrement sur des dysfonctionnements liés à la question des ressources affectées aux équipes, que ce soit les équipes en front office de la DSI (secteur applicatif) ou celles qui relèvent de l’intendance technique (équipe système, infrastructure, réseau, etc.). Cela consiste à demander à une personne ou une équipe un travail (du Run comme du Build) sans lui en donner les moyens, ce qui se traduit souvent par un déséquilibre entre les ressources affectées à chaque équipe (l’une étant surdimensionnée par rapport à la capacité de production de l’autre).Lire la suite ...

L’identito-vigilance ou la complexité sans fin

Cédric Cartau, le mar. 07 juin 2016 : Je constate souvent, chez ceux de mes interlocuteurs qui ne connaissent pas ou peu le monde de la santé, un étonnement devant quelque chose qui est pourtant le quotidien d’un établissement de soins : l’identito-vigilance. Stricto sensu, il s’agit juste de s’assurer que l’on réalise le bon acte de soins sur le bon patient – et du bon côté, histoire de ne rien oublier.  Lire la suite ...

Mot de passe : technique et bon sens indissociables

Charles Blanc Rolin, le lun. 06 juin 2016 : Même s’il existe aujourd’hui de nombreuses solutions d’authentification forte ou double authentification (que nous ne détaillerons pas dans cet article), carte à puce, périphérique USB, OTP [1]… ainsi que des solutions de SSO [2] pour nous simplifier la vie, le mot de passe, reste malgré tout incontournable.Lire la suite ...

Les traces d’accès aux données médicales, suite

Cédric Cartau, le lun. 30 mai 2016 : Mon précédent article[1] sur la question de l’accès aux traces d’accès a provoqué questions et réactions, notamment un échange très intéressant avec Bruno Rasle, le délégué général de l’AFCDP[2], qui a porté à ma connaissance une ordonnance en référé du 17 juillet 2014[3].  Lire la suite ...

Traces d’accès aux données médicales : quels droits pour les patients et le personnel soignant ?

Cédric Cartau, le lun. 23 mai 2016 : Pas si courant mais tout de même, surtout dans le contexte d’une judiciarisation croissante de la santé, les établissements de soins sont de plus en plus confrontés à des demandes, provenant des patients bien entendu, non seulement d’accès aux données médicales, mais surtout d’accès aux traces de connexion à ces mêmes données.Lire la suite ...

La messagerie : le premier maillon faible

Charles Blanc Rolin, le lun. 23 mai 2016 : La messagerie électronique, ce système d’échange d’informations aujourd’hui totalement entré dans les mœurs, a été créée en 1971 par le regretté Ray Tomlinson, qui nous a quittés au mois de mars dernier.Lire la suite ...

IT et euros dans la santé

Cédric Cartau, le mar. 17 mai 2016 : La question m’est souvent posée, en cours ou en conférence, des budgets optimums qu’il faudrait consacrer aux SI dans le monde de la santé. Le sujet n’est pas simple, d’autant qu’un monde sépare un Ehpad d’un CHU, mais il est tout de même possible de dégager quelques règles et abaques.Lire la suite ...

L’hypermnésie, une certaine vision de l’enfer numérique

Cédric Cartau, le lun. 09 mai 2016 : L’hypermnésie est une pathologie désignant la capacité d’une personne à se souvenir d‘absolument tout ce qu’elle a vu, entendu, dit, écrit, et ce depuis sa petite enfance. On ne dénombre que quelques cas à l’échelle mondiale (moins de 10 selon certaines sources), et les patients vivent toujours très mal cet état : temps considérable passé chaque jour à se remémorer les événements passés, impossibilité de faire le tri dans les souvenirs, intégration sociale quasi inexistante.Lire la suite ...

Le décret, enfin

Cédric Cartau, le lun. 02 mai 2016 : Il est arrivé, le décret tant attendu d’application de la loi de santé 2015, plus spécifiquement la partie qui nous intéresse ici, à savoir celle qui concerne les SI.Lire la suite ...

Le piège des habilitations

Cédric Cartau, le lun. 25 avril 2016 : Si je demande à la volée qui doit décider des habilitations IT – s’entend des règles qui définissent quel utilisateur a droit à quoi –, l’auditoire se lève en général comme un seul homme pour répondre : la maîtrise d’ouvrage. Pas si vite, pas si vite, je n’userais pas mon clavier et les yeux de mon rédacteur en chef sur un tel sujet si la réponse était aussi triviale.Lire la suite ...

Vers une époque agile ?

Cédric Cartau, le mar. 19 avril 2016 : Des antivirus, nous en avons déployé à foison : PC, serveurs, tout ce qui est candidat est passé par les fourches caudines de la DSI. Certes il reste quelques matériels hétéroclites, mais dans l’ensemble tout le parc est couvert. Idem pour les pare-feu, les proxy, et l’intégralité de ce que la planète sécurité compte de dispositifs, qu’ils soient matériels ou logiciels.Lire la suite ...

99,9 % dans mes rêves

Cédric Cartau , le lun. 11 avril 2016 : Dans les dîners en ville, parmi les discussions les plus probables entre deux directeurs des systèmes d’information figure en premier lieu la fameuse question de la fiabilité du SI, qui se mesure en taux de disponibilité annuel, soit le pourcentage de temps pendant lequel le SI est accessible pour l’utilisateur. Traditionnellement, la surenchère est de mise : c’est à celui qui alignera le plus de neuf : 99 %, 99,9 %, 99,99 %, etc.Lire la suite ...

Concours de langue de bois

Cédric Cartau, le lun. 04 avril 2016 : Depuis le temps que cela me démange, ça y est, je m’y mets : un florilège à la Prévert des poncifs, des lieux communs et des phrases langue de bois qui émaillent les réunions et les groupes projets dans ce merveilleux monde de l’IT. C’est parti.Lire la suite ...

La SFIL et la FEIMA expriment leurs inquiétudes concernant le décret n°2016-46 du 26 janvier 2016 relatif à la biologie médicale

SFIL-FEIMA, le dim. 03 avril 2016 : Conscients des enjeux attachés à l’évolution de la biologie médicale en France et notamment dans les échanges entre professionnels de santé, la Société Française d’Informatique de Laboratoire (SFIL), qui regroupe des biologistes, des laboratoires de biologie médicale et des industriels, et la Fédération des Editeurs d’Informatique Médicale et Paramédicale Ambulatoire (FEIMA), qui regroupe les principaux éditeurs de logiciels du secteur médical et paramédical ambulatoire, ont toujours été des acteurs mobilisés pour accompagner les modifications réglementaires.Lire la suite ...

Externalisation, le miroir aux alouettes des pénalités

Cédric Cartau, le mar. 29 mars 2016 : L’externalisation, c’est super, vous diront certains. Elle peut de surcroît faire gagner des sous : si le fournisseur ne respecte pas ses engagements, il doit des pénalités. Les pénalités dans les contrats sont comme les promesses dans les campagnes électorales : elles n’engagent que ceux qui y croient. Petite explication de texte à l’usage des crédules.  Lire la suite ...