TRIBUNES LIBRES

Cahier de vacances du RSSI

Pour les vacances, ou plutôt pour ceux qui ont la chance d’en avoir… Mais aussi pour les autres (il n’y a pas de raisons), je vous propose un petit tour d’horizon des sujets d’actualité que j’ai trouvé intéressants en ce premier mois d’été.

Sous la plage, les octets

Cette première partie d’année a encore été riche en évènements…un petit coup d’œil dans le rétro avant le maillot.

Sommes-nous en route vers une ère de dictature numérique ?

C’est la question que l’on peut se poser lorsqu’on regarde de près l’actualité numérique.

RGPD dans les hôpitaux, chronique d’une prise en main – épisode 1

Pour ceux qui viennent de passer 6 mois dans un monastère en pleine pampa et qui reprennent contact avec la réalité, rappelons que le 25 mai 2018 rentre en vigueur la nouvelle réglementation européenne sur les données, le fameux RGPD (Règlement Européen de Protection des Données).

Evaporation de données de santé : le système de santé australien infiltré

Nouveau scandale en Australie, après le département de l’immigration qui avait, en 2014, laissé fuiter dans un répertoire en libre accès sur son site Web les données personnelles de près de 10 000 personnes incarcérées, et en 2015 des informations personnelles sur les chefs d’états ayant participé au dernier sommet du G20 qui s’était déroulé à Brisbane fin 2014.

La fin des mots de passe, ce n’est pas pour demain

Dans un article récent du journal Le Monde (1), on apprend à peine étonnés que « les employés du futur veulent de la sécurité, mais ne veulent ou peuvent pas se remémorer des dizaines de mots de passe. La seule méthode, dans un contexte où ces mêmes employés choisiront le même mot de passe pour tous leurs comptes et où il faut sécuriser tout de même, c’est l’authentification forte (à plusieurs facteurs).  

Médecins intérimaires : vos données sont en danger !

Même si le numerus clausus est en augmentation depuis quelques années déjà, les besoins restent supérieurs au nombre de médecins, ce qui fait qu’ils sont aujourd’hui, toujours en position de force (c’est la loi de l’offre et de la demande). Même si le nombre de médecins en France n’a jamais été aussi important, et qu’il devrait encore fortement augmenter dans les années à venir, cette situation n’est pas prête de changer selon la DREES (1). L’avenir nous le dira.

Lutte antivirale, vers la guerre éternelle ?

Courrier International publie cette semaine un très intéressant dossier sur la lutte antivirale à l’échelon planétaire, faisant suite aux deux alertes majeures Wannacry et Petya. Rappelons que le principe de l’hebdomadaire n’est pas de défendre un point de vue mais de présenter un panel relativement large des points de vue internationaux sur chaque sujet.

Ma brosse à dents « m’a tuer »

L’imagination (ou le ridicule, à vous de choisir) en matière d’objets connectés de santé n’a pas de limites. La brosse à dents connectée, pas vraiment nouvelle dans le secteur de l’IOT, embarque parfois aussi peu de sécurité qu’elle peut présenter d’intérêt pour son utilisateur, à moins que celui-ci soit hyper dépendant de son smartphone, au point de lui trouver encore une nouvelle utilité au sein de sa salle de bain.

Compromission d’une DMZ, la théorie des missionnaires

Dans un article (1) du 18 juin dernier, le magazine 01net détaille le mode opératoire de l’attaque contre TV5 Monde. Et je vous en conseille fortement la lecture, car cela donne à réfléchir, pour ceux qui ne se sont jamais frottés à ce sujet. Cet article m’interpelle d’autant plus que l’un des confrères RSSI de CHU a fait réaliser, sous contrôle bien entendu, une prestation d’intrusion à distance basée sur le même principe et que, dans mon CHU, nous avons aussi fait la même chose (sous un format un peu différent puisqu’il s’agissait d’un exercice d’intrusion interne).  

Être DSI de GHT, un nouveau métier ?

À travers cette chronique faisant à la fois la synthèse des 5 précédents, Michaël De Block, directeur de l’information numérique des Hôpitaux de Champagne Sud, qui pilote le chantier SI pour le GHT de l’Aube et du Sézannais, met en relief une facette du métier de DSI qu’on connaît moins bien et qui fait partie intégrante de ses fonctions (surtout depuis la mise en place des GHT) : la recherche de financements.

Un nouveau ransomworm dans la lignée de WannaCry

Nous étudions une nouvelle variante de ransomware, nommée Petya, qui se propage actuellement dans le monde. Cette menace cible de nombreux secteurs d’activité et organisations, et notamment les infrastructures critiques dans les domaines de l’énergie, de la banque et des transports.

Alerte virale en cours, le truc qui énerve

Une alerte virale est en cours – une de plus – et l’ensemble des RSSI hospitaliers (et des autres secteurs bien entendu) sont en alerte, échangent régulièrement sur l’état d’avancement, les points de vigilance (1), les patches et vulnérabilité, etc.  

Nouvelle alerte : Petya revient en force, empruntant les traces de Wannacry

Si le département du cantal est en alerte à cause des orages, c’est une bonne partie des RSSI et DSI de la planète qui retiennent leur souffle à l’heure qu’il est.

Licencing Oracle et virtualisation : cauchemar de la DSI ou légende urbaine ?

Le système de licencing d’Oracle est perçu comme un véritable cauchemar pour une majorité de nos DSI. Avec la généralisation de la virtualisation de machines, Oracle a su trouver un système de licencing lucratif et souvent considéré comme inaccessible pour la plupart de nos établissements de santé.

Accès au SNDS, quelques bizarreries

Le 20 juin dernier s’est tenue à Paris, dans les locaux de la Cnam et organisée par la Drees (Direction de la recherche, des études, de l’évaluation et des statistiques), une présentation du récent SNDS (Système national des données de santé) et plus particulièrement des conditions d’accès à ce dernier par les organismes disposant d’un accès de droit (les CHU, les organismes de recherche, etc.). Côté hôpitaux, une partie des CHU étaient bien entendu représentés, mais, plus étonnant, parmi leurs ambassadeurs, seuls les RSSI étaient présents. Je sais que certains CHU avaient convié leur direction de recherche interne à venir assister à la présentation, mais en vain : que les principaux utilisateurs dudit système ne participent pas à une réunion qui traite des contraintes d’accès au SNDS interroge un peu…

Contentieux éditeurs/hôpitaux : la forme n’affaiblit pas toujours le fond

Le 14 juin 2016, la Cour administrative de Bordeaux a rejeté la requête formée par un éditeur de logiciels, par laquelle il sollicitait l’annulation d’un jugement ayant refusé de faire droit à sa demande d’annulation du titre exécutoire émis à son encontre par le directeur général du CHU de Limoges.

On ne nous dit pas tout !

Comme tout un chacun, les éditeurs de logiciels ont eux aussi leur petit jardin secret.

La santé prend cher en ce moment

Dans le monde de la santé, en matière de sécurité des SI – au sens très large du terme –, il s’est passé plus de choses durant les deux dernières années que dans les 20 qui ont précédé.

SambaCry et MacSpy viennent boucler une folle semaine d’actu sécu !

Le moins que l’on puisse dire, c’est que la semaine qui vient de passer aura été mouvementée ! Des vulnérabilités à revendre, des logiciels malveillants et des attaques dans tous les sens. Il y en a aura pour tout le monde, peu importe votre système, qu’il soit symbolisé par une fenêtre, une pomme ou bien un pingouin. Si vous avez raté tout ça, petite séance de rattrapage !

Réflexions autour du décret de signalement des incidents de sécurité

À partir du 1er octobre 2017, les établissements de santé devront déclarer les incidents de sécurité SI. Et c’est une bonne chose. Lors de la Paris Healthcare Week, le directeur de l’Asip Santé, Michel Gagneux, a détaillé le dispositif et sa mise en œuvre, qui font suite à l’article 110 de la loi du 26 janvier 2016. Pas mal d’articles ont récemment été écrits sur le sujet, et notamment celui de ticsante [1] et, bien entendu, ceux de DSIH [2].  

La santé est en panne, la santé numérique sera-t-elle en marche ?

La télémédecine offre un bilan contrasté et la Bretagne en est une illustration caricaturale. Comment en est-on arrivé là ? Comment en sortir ? C’est le fruit de 50 ans d’évolution sanitaire, sociétale, organisationnelle, numérique mal managées par la gouvernance politique, administrative et par l’assurance maladie.

Développement agile et accompagnement au changement en GHT

Dans le cadre de la semaine de l’Europe, Michaël De Block, directeur de l’information numérique des Hôpitaux de Champagne Sud, qui pilote le chantier SI pour le GHT de l’Aube et du Sézannais, est intervenu pour présenter aux élus régionaux et européens, l’avancement du portail sécurisé ville-hôpital MyGHT. Décryptage.

Déclaration des incidents de sécurité SI : démarrage en octobre !

La biométrie à l’hôpital, ça existe, mais au compte-gouttes !

Quittons les terres fertiles et autres sentiers battus des GHT pour rebondir sur une brève de mon RSSI préféré, alias Cédric Cartau, au sujet de la biométrie.

Lettre ouverte d’un RSSI excédé à certains fabricants de systèmes embarqués non protégés

8600 vulnérabilités dans des pacemakers : record à battre !

Nous l’avons vu encore une fois avec WannaCry, les dispositifs médicaux ne sont pas exemptés d’infections par les centaines de nouveaux logiciels malveillants faisant leur apparition chaque minute.

Une solution interconnectée pour gérer les blocs opératoires et l’anesthésie

En interfaçant TimeWise à Direct-Consult et DirectOP, Canyon Technologies propose aux gestionnaires de blocs opératoires une information exhaustive du parcours du patient opéré, y compris dans le champ de l’anesthésie. Un connecteur transparent pour l’utilisateur et très simple à mettre en œuvre permet l’échange de fichiers via un EAI ou un simple partage de répertoires.

Du rififi au pays de la biométrie

Il y a à peine une petite dizaine d’années, tous les spécialistes de la sécurité physique ou informatique tenaient pour acquis, cela ne faisait pas l’ombre d’un doute, que la biométrie était l’avenir de l’homme, ou en tout cas celui du RSSI. Voire.

GHT et chamboulement RH : circulaire, y a rien à avoir !

Nombreux sont les fantasmes et les craintes provoqués par la création des groupements hospitaliers de territoire (GHT), sur le plan de la gestion du personnel des établissements membres du groupement : risques de suppression de postes, changements d’affectation, mises à disposition ou recherches d’affectation auprès du centre national de gestion, etc., le tout dans un esprit de « rationalisation » des effectifs.

WannaCry me a river

Nous venons certainement de passer le point dur – enfin, le premier – de Wannacry, et si je suis resté silencieux, moi qui ai l’habitude de la ramener sur tout et n’importe quoi, c’est parce qu’en gros pendant l’orage tout a été dit ou presque sur le sujet.

Une semaine après les premières grosses attaques, quelles conséquences ? Quelles leçons en tirer ? Que faut-il craindre maintenant ?

Sécurité des SI : penser GHT, partie II

Dans un précédent article, nous avons évoqué le fait que la SSI n’était pas forcément le sujet le plus complexe à mutualiser dans un GHT, et que certains éléments tels que le prochain RGPD ou la complexité technique inaccessible aux établissements périphériques devaient servir de catalyseurs.

Propagation mondiale du rançongiciel WCRY : des nouvelles du front

Rançongiciel : propagation massive et mondiale : l’ANSSI sonne l’alerte !

Le secteur IT mondial s’apprête à vivre une importante crise. Un nouveau rançongiciel chiffrant (ou cryptovirus) se propage de manière préoccupante sur l’ensemble de la planète depuis ce vendredi 12 mai.

Quand la sécurité atteint ses limites (dès le départ…)

Il ne faut pas se leurrer, la sécurité d’une solution est bien souvent limitée par l’imagination de ses concepteurs. Chaque vulnérabilité est due, soit à une erreur de conception, une mauvaise idée ou une chose à laquelle les concepteurs n’avaient pas pensé (une mauvaise analyse de risque si vous voulez).

Secteur de la santé : innovations et réduction des coûts grâce à l’Internet des objets

Dans le secteur de la santé, six établissements sur dix utilisent déjà l’Internet des objets (IoT). Vous avez peut-être déjà vu une infirmière accéder à vos radios depuis son téléphone portable. C’est un exemple de ce que l’IoT peut permettre.

Objets connectés, mobilité, télémédecine et robotique en GHT

À travers cette chronique, Michaël De Block, directeur de l’information numérique des Hôpitaux de Champagne Sud, qui pilote le chantier SI pour le GHT de l’Aube et du Sézannais, aborde la question des cyberrisques liés aux nouveaux compagnons du système d’information.

GHT : le nouveau prétexte pour ne pas travailler

Depuis plusieurs mois déjà, le GHT est au cœur de toutes les discussions dans le secteur de la santé. Source d’économies, mutualisation des moyens, redynamisation des équipes, projet médical de territoire, bref, la solution miracle à tous nos problèmes.

Des hôpitaux victimes d’usurpation d’identité

Plusieurs RSSI d’établissements de santé de toute taille remontent l’incident suivant : dans la ville et la proche agglomération, des personnes non identifiées contactent par téléphone des patients d’un établissement en se présentant comme faisant partie du personnel dudit établissement et cherchent à obtenir un certain nombre d’informations administratives (état civil, couverture médicale, etc.) dans l’objectif de vendre un contrat de mutuelle santé ou tout autre type de prestations.

Du rififi autour de l’INDS

Récemment sur les réseaux santé[1], on a vu tomber cette annonce a priori anodine : les quatre fédérations hospitalières refusent d’intégrer l’Institut national des données de santé (INDS). Anodine, car de prime abord on finit la lecture de l’article en se disant : oui, bon, et alors ?  

Attaques cyber : les tendances du moment

La sécurité numérique, c’est comme la mode, il faut suivre les tendances, sinon on est vite ringard !

5ème Congrès APSSIS : retour sur 3 journées d’exception (Partie 2)

Comme évoqué la semaine dernière dans la première partie de ce retour sur le #CNSSIS(1), l’hébergement de données de santé et la certification ISO27001 ont fait partie des grands sujets de ce congrès.

Dis papa, c’était comment le monde avant les malwares ?

J’espère juste ne jamais avoir à répondre à cette question venant de ma fille ou de mes éventuels petits-enfants ou neveux, mais c’est tout sauf gagné.

5ème Congrès National de la Sécurité des Systèmes d’Informations de Santé : retour sur 3 journées d’exception (Partie 1)

Le #CNSSIS est le rendez-vous incontournable de tous les acteurs se préoccupant de la sécurité des systèmes d’information de santé, et par conséquent de la sécurité des patients et de leurs données. La cuvée 2017 aura encore été un grand cru ! 21 conférences réparties sur trois jours intenses et très riches en partages, rencontres et réflexions. Ce petit écosystème composé de divers acteurs, éditeurs, intégrateurs, professionnels de la sécurité, médecins, avocats, directeurs d’établissements, RSSI, DSI, représentants de l’état, étudiants, n’ont fait qu’un pendant trois jours pour faire avancer la sécurité des SI de santé. Un congrès éprouvant, car il faut bien le dire, les journées sont longues et les nuits sont courtes, mais tellement enrichissant !

Le NIR ou 39 ans de réflexion

Excellent article[1] de Pierre Desmarais sur son blog concernant la légalisation de l’utilisation du NIR (numéro Insee) dans le monde de la santé.  

En direct de l’APSSIS, ESIA innove dans la supervision

ESIA[1] est une société belge qui propose un produit très intéressant de supervision et innove clairement dans l’ergonomie de ce type d’outils.  

En direct de l’APSSIS, l’agrément HDS nouvelle mouture, y’aura des frais

Présentation extrêmement intéressante d’Orange Cyberdéfense sur la nouvelle mouture de l’agrément Hébergeur de Données de Santé (HDS).

En direct de l’APSSIS, vision DG de la SSI

En dehors des questions habituelles de budgets et de priorité stratégique, une question importante posée aux DG, et la réponse est lourde de sens.

En direct de l’APSSIS, changement d’époque dans la protection antivirale

Table ronde très appréciée de TREND coordonnées par Loïc Guézo, évangéliste chez TREND, avec le témoignage d’un CHU sur sa protection antivirale. Le sujet est complexe et le lecteur pourra se reporter à un précédent article et notamment celui-ci[1].