Vous êtes dans : Accueil > Actualités >

TRIBUNES LIBRES

Sécurité des SI de santé : état normatif ou la fin annoncée du bricolage

Cédric Cartau, le lun. 11 juillet 2016 : La T2A a sans conteste été une révolution dans le monde de la santé : faut-il rappeler qu’avant sa mise en place et sa généralisation sur le territoire, le mode de financement des établissements consistait peu ou prou à prendre les budgets des années précédentes et à les reporter sur l’année d’après avec une augmentation de quelques pourcents.Lire la suite ...

Fuites de données : rien de tel pour se remettre en question

Charles Blanc-Rolin, le dim. 10 juillet 2016 : L’actualité brûlante a de quoi nous faire réfléchir sur la sécurité en place au sein de nos SIH.Lire la suite ...

Phishing au "Webmail générique"

Charles Blanc-Rolin, le mar. 05 juillet 2016 : De plus en plus d'établissements sont victimes de piratages de leur messagerie. En effet, depuis plusieurs semaines déjà, je vois passer une quantité importante de messages de phishing [1] en provenance de messageries d'utilisateurs d'autres établissements de santé (mais aussi de multinationales, de ministères de divers pays, etc...) qui ont été piratées de la même façon je suppose.Lire la suite ...

Encore un article sur la protection antivirale ?

Cédric Cartau, le lun. 04 juillet 2016 : Ô lecteur, si tu as cliqué sur ce lien par curiosité, tu te demandes ce que l’on peut bien encore écrire sur ce sujet battu et rebattu. Il se trouve que nous n’allons pas – ou peu – évoquer des aspects techniques, mais plutôt le niveau de maturité sur cette question. Une échelle Gartner, assez semblable d’ailleurs à celle de Cobit, découpe la maturité en cinq niveaux.Lire la suite ...

La santé du patient ou la sécurité de ses données : faut-il vraiment choisir ?

Christophe Jolly, Directeur Sécurité Cisco France, le ven. 01 juillet 2016 :                                                                                      Lire la suite ...

Helpdesk : la sécurité vous y avez pensé ?

Charles Blanc-Rolin, le ven. 24 juin 2016 : Les outils « Helpdesk », également appelés « outils d’assistance utilisateur », de « support hotline » ou encore de « ticketing » sont aujourd’hui incontournables pour de nombreuses DSI [1].Lire la suite ...

Sélection d’ouvrages de management pour la DSI

Cédric Cartau, le ven. 24 juin 2016 : On me demande souvent, en cours ou en congrès, quels ouvrages de management il faut conseiller, que ce soit pour une lecture studieuse entre deux réunions au bureau ou sur la plage à l’ombre du parasol. Petite sélection sans prétention.Lire la suite ...

Malwares : quel est l’état des lieux de la menace ?

Charles Blanc Rolin, le mar. 14 juin 2016 : Les « malwares », ou logiciels malveillants en français, sont de plus en plus présents.  Lire la suite ...

DSI : la question de l’équilibrage des ressources

Cédric Cartau, le lun. 13 juin 2016 : Cela fait pas loin de 17 ans que je navigue dans le merveilleux monde des DSI, et après trois CHU et des dizaines de DSI auditées ou simplement visitées, je tombe toujours régulièrement sur des dysfonctionnements liés à la question des ressources affectées aux équipes, que ce soit les équipes en front office de la DSI (secteur applicatif) ou celles qui relèvent de l’intendance technique (équipe système, infrastructure, réseau, etc.). Cela consiste à demander à une personne ou une équipe un travail (du Run comme du Build) sans lui en donner les moyens, ce qui se traduit souvent par un déséquilibre entre les ressources affectées à chaque équipe (l’une étant surdimensionnée par rapport à la capacité de production de l’autre).Lire la suite ...

L’identito-vigilance ou la complexité sans fin

Cédric Cartau, le mar. 07 juin 2016 : Je constate souvent, chez ceux de mes interlocuteurs qui ne connaissent pas ou peu le monde de la santé, un étonnement devant quelque chose qui est pourtant le quotidien d’un établissement de soins : l’identito-vigilance. Stricto sensu, il s’agit juste de s’assurer que l’on réalise le bon acte de soins sur le bon patient – et du bon côté, histoire de ne rien oublier.  Lire la suite ...

Mot de passe : technique et bon sens indissociables

Charles Blanc Rolin, le lun. 06 juin 2016 : Même s’il existe aujourd’hui de nombreuses solutions d’authentification forte ou double authentification (que nous ne détaillerons pas dans cet article), carte à puce, périphérique USB, OTP [1]… ainsi que des solutions de SSO [2] pour nous simplifier la vie, le mot de passe, reste malgré tout incontournable.Lire la suite ...

Les traces d’accès aux données médicales, suite

Cédric Cartau, le lun. 30 mai 2016 : Mon précédent article[1] sur la question de l’accès aux traces d’accès a provoqué questions et réactions, notamment un échange très intéressant avec Bruno Rasle, le délégué général de l’AFCDP[2], qui a porté à ma connaissance une ordonnance en référé du 17 juillet 2014[3].  Lire la suite ...

Traces d’accès aux données médicales : quels droits pour les patients et le personnel soignant ?

Cédric Cartau, le lun. 23 mai 2016 : Pas si courant mais tout de même, surtout dans le contexte d’une judiciarisation croissante de la santé, les établissements de soins sont de plus en plus confrontés à des demandes, provenant des patients bien entendu, non seulement d’accès aux données médicales, mais surtout d’accès aux traces de connexion à ces mêmes données.Lire la suite ...

La messagerie : le premier maillon faible

Charles Blanc Rolin, le lun. 23 mai 2016 : La messagerie électronique, ce système d’échange d’informations aujourd’hui totalement entré dans les mœurs, a été créée en 1971 par le regretté Ray Tomlinson, qui nous a quittés au mois de mars dernier.Lire la suite ...

IT et euros dans la santé

Cédric Cartau, le mar. 17 mai 2016 : La question m’est souvent posée, en cours ou en conférence, des budgets optimums qu’il faudrait consacrer aux SI dans le monde de la santé. Le sujet n’est pas simple, d’autant qu’un monde sépare un Ehpad d’un CHU, mais il est tout de même possible de dégager quelques règles et abaques.Lire la suite ...

L’hypermnésie, une certaine vision de l’enfer numérique

Cédric Cartau, le lun. 09 mai 2016 : L’hypermnésie est une pathologie désignant la capacité d’une personne à se souvenir d‘absolument tout ce qu’elle a vu, entendu, dit, écrit, et ce depuis sa petite enfance. On ne dénombre que quelques cas à l’échelle mondiale (moins de 10 selon certaines sources), et les patients vivent toujours très mal cet état : temps considérable passé chaque jour à se remémorer les événements passés, impossibilité de faire le tri dans les souvenirs, intégration sociale quasi inexistante.Lire la suite ...

Le décret, enfin

Cédric Cartau, le lun. 02 mai 2016 : Il est arrivé, le décret tant attendu d’application de la loi de santé 2015, plus spécifiquement la partie qui nous intéresse ici, à savoir celle qui concerne les SI.Lire la suite ...

Le piège des habilitations

Cédric Cartau, le lun. 25 avril 2016 : Si je demande à la volée qui doit décider des habilitations IT – s’entend des règles qui définissent quel utilisateur a droit à quoi –, l’auditoire se lève en général comme un seul homme pour répondre : la maîtrise d’ouvrage. Pas si vite, pas si vite, je n’userais pas mon clavier et les yeux de mon rédacteur en chef sur un tel sujet si la réponse était aussi triviale.Lire la suite ...

Vers une époque agile ?

Cédric Cartau, le mar. 19 avril 2016 : Des antivirus, nous en avons déployé à foison : PC, serveurs, tout ce qui est candidat est passé par les fourches caudines de la DSI. Certes il reste quelques matériels hétéroclites, mais dans l’ensemble tout le parc est couvert. Idem pour les pare-feu, les proxy, et l’intégralité de ce que la planète sécurité compte de dispositifs, qu’ils soient matériels ou logiciels.Lire la suite ...

99,9 % dans mes rêves

Cédric Cartau , le lun. 11 avril 2016 : Dans les dîners en ville, parmi les discussions les plus probables entre deux directeurs des systèmes d’information figure en premier lieu la fameuse question de la fiabilité du SI, qui se mesure en taux de disponibilité annuel, soit le pourcentage de temps pendant lequel le SI est accessible pour l’utilisateur. Traditionnellement, la surenchère est de mise : c’est à celui qui alignera le plus de neuf : 99 %, 99,9 %, 99,99 %, etc.Lire la suite ...

Concours de langue de bois

Cédric Cartau, le lun. 04 avril 2016 : Depuis le temps que cela me démange, ça y est, je m’y mets : un florilège à la Prévert des poncifs, des lieux communs et des phrases langue de bois qui émaillent les réunions et les groupes projets dans ce merveilleux monde de l’IT. C’est parti.Lire la suite ...

La SFIL et la FEIMA expriment leurs inquiétudes concernant le décret n°2016-46 du 26 janvier 2016 relatif à la biologie médicale

SFIL-FEIMA, le dim. 03 avril 2016 : Conscients des enjeux attachés à l’évolution de la biologie médicale en France et notamment dans les échanges entre professionnels de santé, la Société Française d’Informatique de Laboratoire (SFIL), qui regroupe des biologistes, des laboratoires de biologie médicale et des industriels, et la Fédération des Editeurs d’Informatique Médicale et Paramédicale Ambulatoire (FEIMA), qui regroupe les principaux éditeurs de logiciels du secteur médical et paramédical ambulatoire, ont toujours été des acteurs mobilisés pour accompagner les modifications réglementaires.Lire la suite ...

Externalisation, le miroir aux alouettes des pénalités

Cédric Cartau, le mar. 29 mars 2016 : L’externalisation, c’est super, vous diront certains. Elle peut de surcroît faire gagner des sous : si le fournisseur ne respecte pas ses engagements, il doit des pénalités. Les pénalités dans les contrats sont comme les promesses dans les campagnes électorales : elles n’engagent que ceux qui y croient. Petite explication de texte à l’usage des crédules.  Lire la suite ...

Petit précis de gestion du temps : merci Pareto !

Cédric Cartau, le lun. 21 mars 2016 : Depuis Vilfredo Pareto et la fin du xixe siècle, on connaît le principe des 80-20 : 20 % de la population accaparent 80 % des ressources, 20 % des conducteurs provoquent 80 % des accidents, etc. Bien loin de constamment nous enquiquiner, cette loi peut être d’un secours louable dans la gestion de projets informatiques, et dans les DSI en général. Illustration.Lire la suite ...

Pouvoirs du RSSI, une approche Itil de la question

Cédric Cartau, le lun. 14 mars 2016 : Lors d’une intervention qui aura fait date et que les RSSI vieux et sages raconteront le soir à la veillée à leurs arrière-petits-enfants, Patrick Pailloux invoquait comme un mantra le pouvoir de dire « non » des RSSI. S’entend non aux âneries qui émaillent les SI et plombent la sécurité : mots de passe administrateurs par défaut, machines sans protection antivirale sur le réseau, etc. Quand on interroge les RSSI en santé (l’affaire est vite réglée : ils sont à peine 50), trois approches à ce pouvoir de dire non sont traditionnellement évoquées.Lire la suite ...

Quand Dieu ne sait plus, il appelle Alexandre

Cédric Cartau, le mer. 09 mars 2016 : On dira ce que l’on voudra, mais les normes ISO c’est tout sauf une partie de rigolade : il faut tout de même se creuser un peu la tête pour assimiler et surtout imaginer comment on va adapter ce machin dans nos organisations.Lire la suite ...

Cryptolockers et métaphysique de la communication utilisateur

Cédric Cartau, le lun. 07 mars 2016 : Depuis janvier 2015 – plus d’un an –, des vagues de cryptolockers s’abattent régulièrement sur nos SI, hospitaliers ou cliniques, de santé ou non.Lire la suite ...

Le chiffrement de mails – Conclusions

Cédric Cartau, le lun. 29 février 2016 : Dans une première partie1, nous avons examiné deux solutions de chiffrement de mails : le « roi » PGP, et la solution Asip Santé de messagerie sécurisée. Dans une deuxième partie2, nous avons décortiqué Apicrypt et BlueFiles. Un certain nombre de précisions s’imposent.  Lire la suite ...

GHT et DSI : la fausse bonne idée des économies d’échelle

Cédric Cartau, le lun. 22 février 2016 : Du projet de loi à la loi votée, de rumeurs en réactions semi-officielles de certains groupes d’intérêt, les choses bougent pas mal côté GHT ces derniers temps. Dernier épisode en date, un projet de décret à moitié confidentiel (il circulait déjà sous le manteau plusieurs jours avant sa diffusion) vient préciser ce qui doit être entendu par « SIH convergent », en l’occurrence une brique logicielle unique supportant un processus métier, et ce avant 2020.Lire la suite ...

Info flash : un hôpital américain cible de hackers

Cédric Cartau, le jeu. 18 février 2016 : La nouvelle fait le tour de la presse spécialisée autant que des grands quotidiens, un hôpital de Los Angeles vient de subir une attaque de la part de hackers, qui réclamaient plus de 3M de dollars pour débloquer le SI. Au final, l'établissement affirme avoir déboursé 17 000 dollars pour remettre le SI en services.Lire la suite ...

Externaliser pour prendre soin de ses archives de santé

Par Hervé STREIFF, LOCARCHIVES, le mer. 17 février 2016 :                                                               Lire la suite ...

Le chiffrement de mails, tour d’horizon de quelques solutions – partie 2

Cédric Cartau, le lun. 15 février 2016 : Dans une première partie1, nous avons examiné deux solutions de chiffrement de mails : le « roi » PGP, et la solution ASIP Santé de messagerie sécurisé de santé. Poursuivons ce tour d'horizon.  Lire la suite ...

Le chiffrement de mails, tour d 'horizon de quelques solutions – partie 1

Cédric Cartau, le lun. 08 février 2016 : Qu'on se le dise, envoyer un message électronique sur Internet, c'est comme envoyer une carte postale : toutes les personnes qui auront la carte dans les mains à un instant donné pourront lire ce qui est écrit dessus. Les protocoles de messagerie sont ainsi conçus qu'un message transite en clair sur le réseau des réseaux.Lire la suite ...

ITIL v3 et le catalogue des services en sécurité SI – partie 3

Cédric Cartau, le lun. 01 février 2016 : Dans une première partie[1], nous avons traité de généralités concernant l'offre de services de la DSI en matière de sécurité, et plus spécifiquement de disponibilité, avec en ligne de mire la constitution d’un tableau officiel qui recense l'ensemble des composant identifiés comme étant critiques. Dans une deuxième partie[2], nous avons développé le cas des plages d’arrêt convenues pour les opérations de maintenance technique et en particulier celui des arrêts du Dossier Patient Informatisé (DPI).    Lire la suite ...

Les archives de sante au cœur de l’actualité : les enjeux d’une gestion éclairée

Par Hervé STREIFF, LOCARCHIVES, le jeu. 28 janvier 2016 : Loi de modernisation du système de santé, mise en oeuvre du Dossier Médical Partagé, marchandisation des données personnelles… La santé est au coeur de l’actualité. Les enjeux liés à l’amélioration du suivi médical et à l’optimisation de l’hôpital de demain sont cruciaux non seulement pour les patients mais aussi pour les acteurs publics et privés… Or, le rôle des archives de santé est central dans ce dispositif et les modes opératoires mutent face à la généralisation du numérique.Lire la suite ...

ITIL v3 et le catalogue des services en sécurité SI – partie 2

Cédric Cartau, le lun. 25 janvier 2016 : Dans une première partie[1], nous avons traité de généralités concernant l'offre de services de la DSI en matière de sécurité, et plus spécifiquement de disponibilité.  Lire la suite ...

ITIL v3 et le catalogue des services en sécurité SI – partie 1

Cédric Cartau, le lun. 18 janvier 2016 : La norme ITIL, dans sa version 3, réserve une place spécifique à la sécurité du SI. On retrouve le découpage classique en roue de Déming (PDCA) et les items habituels de planification, implémentation, audit, etc.Lire la suite ...

Les procédures dégradées, quelle implication des MOA

Cédric Cartau , le lun. 11 janvier 2016 : La même question se pose toujours : que le SI soit en panne ou qu'il s'agisse d'un arrêt programmé, que font les métiers le temps de la coupure ? Le sujet peut s'aborder à l'aide d'un schéma type RTO-RPO pour ce qui concerne du déroulé temporel1, mais il subsiste tout de même un certain nombre de points durs. Petite revue sans prétention.  Lire la suite ...

2016, l'année des GHT...ou pas

Cédric Cartau, le lun. 04 janvier 2016 : De modifications en modifications, le projet de loi de santé 2015 a finalement été voté avec quelques changements, certes à la marge pour ce qui concerne le volet SI. Petit tour d'horizon des acteurs en présence.  Lire la suite ...

Le couteau suisse de la sécurité au quotidien

Cédric Cartau, le lun. 28 décembre 2015 : A force de parler de sécurité du SI, il semble que nous n'avons jamais tenté le moindre recensement des outils les plus utiles au quotidien, aussi bien pour le RSSI que pour l'usager lambda du SI (sans que ce terme soit péjoratif). Pour le dernier filet de la l'année, petit florilège sans prétention.Lire la suite ...

L'informatique ça coûte une blinde

Cédric Cartau, le lun. 21 décembre 2015 : Il en va de l'informatique comme des primes d'assurance : tant que l'on a aucun pépin, on trouve toujours cela trop cher, et les utilisateurs ont une fâcheuse tendance à oublier les moyens que cela fait économiser. Démonstration.Lire la suite ...

Ma lettre au Père Noël pour 2015

Cédric Cartau, le lun. 14 décembre 2015 :                                                                                                                                                                                                 Lire la suite ...

Semaine presque normale d'un RSSI

Cédric Cartau, le lun. 07 décembre 2015 :                                                                                                                   Lire la suite ...

L’hébergement des données personnelles de santé à l’heure du Cloud

Fabien Rognon,Navaho, le mer. 02 décembre 2015 : A l’horizon 2020, on estime à 7% la part des dépenses liées à l’e-santé dans le budget total de la santé en France contre 1% actuellement. Ce développement de l’usage des technologies de l’information et de la communication répond à plusieurs nécessités : la prise en charge d’une population vieillissante et de plus en plus sujette aux maladies chroniques, l’aggravation des inégalités géographiques dans l’accès aux soins ou encore la réduction des budgets publics. Mais cette révolution de l’organisation des soins n’est pas sans poser de questions quant au stockage et au traitement des données personnelles des patients. Quels moyens sont mis en place par les pouvoirs publics et les hébergeurs pour assurer la sécurité et la confidentialité de ces données ?Lire la suite ...

Les poches trouées de l'informatique

Cédric Cartau, le lun. 30 novembre 2015 : Laissez-moi vous narrer une petite mésaventure récente, dans un domaine certes à la limite de l'informatique (quoique) : les photocopieurs multifonctions, MFP pour les intimes.Lire la suite ...

Présence de la DSI la nuit

Cédric Cartau, le lun. 23 novembre 2015 : Certains médias spécialisés viennent de rendre compte des conclusions d'un audit du déploiement d'Orbis à l'AP-HP. Nous n'allons pas nous étendre sur ces conclusions qui, rien d'étonnant dans ce type d'audit, pointent à la fois les retards de déploiement, la qualité et l'usage du progiciel. Le point qui nous attire concerne plutôt les pannes du logiciel, et surtout la présence de la DSI.Lire la suite ...

Actualité multiple

Cédric Cartau, le lun. 16 novembre 2015 : L'avantage quand on dispose, comme moi, de grandes oreilles, c'est qu'en les laissant traîner un peu partout on apprend des trucs.Lire la suite ...

Au 8ème jour, il créa les commissaires aux comptes

Cédric Cartau, le lun. 09 novembre 2015 : Je n’ai pas honte de le dire : oui, j’aime mon commissaire aux comptes.Lire la suite ...

Normes et guides de bonnes pratiques en IT

Cédric Cartau, le lun. 02 novembre 2015 : Lorsque l'on s'intéresse un tant soit peu à la question des normes dans l'IT, deux choses frappent immédiatement le chercheur curieux : d'une part, le foisonnement des normes en question, et d'autre part la manifeste difficulté à les faire adopter par les DSI.  Lire la suite ...

La fin du temps des Divas

Cédric Cartau, le lun. 19 octobre 2015 : Je me souviens d’un temps assez proche où les informaticiens eux-même arguaient de la résistance au changement des utilisateurs pour expliquer ou excuser, tout ou partie, les échecs des projets d’informatisation. Des études ont été conduites sur ce sujet, et la résistance en question y est certes pour beaucoup, autant d’ailleurs que l’absence de connaissance des besoins métier par les informaticiens, ou l’absence d’accompagnement au changement (formation, accompagnement post-déploiement, etc.).Lire la suite ...