TRIBUNES LIBRES

Détournement juridique du décret d’hébergement de données de santé

Récemment, au fil de mes pérégrinations dans le petit monde de la santé, je suis tombé coi devant un usage du décret d’hébergement qui pourrait paraître, a priori, comme un détournement juridique.

MFC : L’ennemi de la confidentialité

Les copieurs multifonctions ou MFC (pour Multiple Function Copiers en anglais) sont présents dans nos établissements depuis de nombreuses années.

CICF an 2 : alors là, poussez-vous tout le monde

L’année dernière, à l’occasion de la première édition de l’audit de certification des comptes, je m’étais fendu d’un article dithyrambique[1] sur son impact – positif – pour les RSSI dont je suis.  

Du shadow IT au shadow Darty

Ces dernières années, nous aurons été abreuvés de concepts plus ou moins bancals, la plupart du temps vantés par certains fournisseurs de solutions matérielles plus ou moins intégrées, avant d’être dénigrées peu de temps après par des consultants à jolie cravate. Dans les deux cas, c’est le client qui se fait tondre, merci pour lui.

Sécurité des SI de santé : état normatif ou la fin annoncée du bricolage

La T2A a sans conteste été une révolution dans le monde de la santé : faut-il rappeler qu’avant sa mise en place et sa généralisation sur le territoire, le mode de financement des établissements consistait peu ou prou à prendre les budgets des années précédentes et à les reporter sur l’année d’après avec une augmentation de quelques pourcents.

Fuites de données : rien de tel pour se remettre en question

L’actualité brûlante a de quoi nous faire réfléchir sur la sécurité en place au sein de nos SIH.

Phishing au "Webmail générique"

De plus en plus d'établissements sont victimes de piratages de leur messagerie. En effet, depuis plusieurs semaines déjà, je vois passer une quantité importante de messages de phishing [1] en provenance de messageries d'utilisateurs d'autres établissements de santé (mais aussi de multinationales, de ministères de divers pays, etc...) qui ont été piratées de la même façon je suppose.

Encore un article sur la protection antivirale ?

Ô lecteur, si tu as cliqué sur ce lien par curiosité, tu te demandes ce que l’on peut bien encore écrire sur ce sujet battu et rebattu. Il se trouve que nous n’allons pas – ou peu – évoquer des aspects techniques, mais plutôt le niveau de maturité sur cette question. Une échelle Gartner, assez semblable d’ailleurs à celle de Cobit, découpe la maturité en cinq niveaux.

La santé du patient ou la sécurité de ses données : faut-il vraiment choisir ?

Helpdesk : la sécurité vous y avez pensé ?

Les outils « Helpdesk », également appelés « outils d’assistance utilisateur », de « support hotline » ou encore de « ticketing » sont aujourd’hui incontournables pour de nombreuses DSI [1].

Sélection d’ouvrages de management pour la DSI

On me demande souvent, en cours ou en congrès, quels ouvrages de management il faut conseiller, que ce soit pour une lecture studieuse entre deux réunions au bureau ou sur la plage à l’ombre du parasol. Petite sélection sans prétention.

Malwares : quel est l’état des lieux de la menace ?

Les « malwares », ou logiciels malveillants en français, sont de plus en plus présents.  

DSI : la question de l’équilibrage des ressources

Cela fait pas loin de 17 ans que je navigue dans le merveilleux monde des DSI, et après trois CHU et des dizaines de DSI auditées ou simplement visitées, je tombe toujours régulièrement sur des dysfonctionnements liés à la question des ressources affectées aux équipes, que ce soit les équipes en front office de la DSI (secteur applicatif) ou celles qui relèvent de l’intendance technique (équipe système, infrastructure, réseau, etc.). Cela consiste à demander à une personne ou une équipe un travail (du Run comme du Build) sans lui en donner les moyens, ce qui se traduit souvent par un déséquilibre entre les ressources affectées à chaque équipe (l’une étant surdimensionnée par rapport à la capacité de production de l’autre).

L’identito-vigilance ou la complexité sans fin

Je constate souvent, chez ceux de mes interlocuteurs qui ne connaissent pas ou peu le monde de la santé, un étonnement devant quelque chose qui est pourtant le quotidien d’un établissement de soins : l’identito-vigilance. Stricto sensu, il s’agit juste de s’assurer que l’on réalise le bon acte de soins sur le bon patient – et du bon côté, histoire de ne rien oublier.  

Mot de passe : technique et bon sens indissociables

Même s’il existe aujourd’hui de nombreuses solutions d’authentification forte ou double authentification (que nous ne détaillerons pas dans cet article), carte à puce, périphérique USB, OTP [1]… ainsi que des solutions de SSO [2] pour nous simplifier la vie, le mot de passe, reste malgré tout incontournable.

Les traces d’accès aux données médicales, suite

Mon précédent article[1] sur la question de l’accès aux traces d’accès a provoqué questions et réactions, notamment un échange très intéressant avec Bruno Rasle, le délégué général de l’AFCDP[2], qui a porté à ma connaissance une ordonnance en référé du 17 juillet 2014[3].  

Traces d’accès aux données médicales : quels droits pour les patients et le personnel soignant ?

Pas si courant mais tout de même, surtout dans le contexte d’une judiciarisation croissante de la santé, les établissements de soins sont de plus en plus confrontés à des demandes, provenant des patients bien entendu, non seulement d’accès aux données médicales, mais surtout d’accès aux traces de connexion à ces mêmes données.

La messagerie : le premier maillon faible

La messagerie électronique, ce système d’échange d’informations aujourd’hui totalement entré dans les mœurs, a été créée en 1971 par le regretté Ray Tomlinson, qui nous a quittés au mois de mars dernier.

IT et euros dans la santé

La question m’est souvent posée, en cours ou en conférence, des budgets optimums qu’il faudrait consacrer aux SI dans le monde de la santé. Le sujet n’est pas simple, d’autant qu’un monde sépare un Ehpad d’un CHU, mais il est tout de même possible de dégager quelques règles et abaques.

L’hypermnésie, une certaine vision de l’enfer numérique

L’hypermnésie est une pathologie désignant la capacité d’une personne à se souvenir d‘absolument tout ce qu’elle a vu, entendu, dit, écrit, et ce depuis sa petite enfance. On ne dénombre que quelques cas à l’échelle mondiale (moins de 10 selon certaines sources), et les patients vivent toujours très mal cet état : temps considérable passé chaque jour à se remémorer les événements passés, impossibilité de faire le tri dans les souvenirs, intégration sociale quasi inexistante.

Le décret, enfin

Il est arrivé, le décret tant attendu d’application de la loi de santé 2015, plus spécifiquement la partie qui nous intéresse ici, à savoir celle qui concerne les SI.

Le piège des habilitations

Si je demande à la volée qui doit décider des habilitations IT – s’entend des règles qui définissent quel utilisateur a droit à quoi –, l’auditoire se lève en général comme un seul homme pour répondre : la maîtrise d’ouvrage. Pas si vite, pas si vite, je n’userais pas mon clavier et les yeux de mon rédacteur en chef sur un tel sujet si la réponse était aussi triviale.

Vers une époque agile ?

Des antivirus, nous en avons déployé à foison : PC, serveurs, tout ce qui est candidat est passé par les fourches caudines de la DSI. Certes il reste quelques matériels hétéroclites, mais dans l’ensemble tout le parc est couvert. Idem pour les pare-feu, les proxy, et l’intégralité de ce que la planète sécurité compte de dispositifs, qu’ils soient matériels ou logiciels.

99,9 % dans mes rêves

Dans les dîners en ville, parmi les discussions les plus probables entre deux directeurs des systèmes d’information figure en premier lieu la fameuse question de la fiabilité du SI, qui se mesure en taux de disponibilité annuel, soit le pourcentage de temps pendant lequel le SI est accessible pour l’utilisateur. Traditionnellement, la surenchère est de mise : c’est à celui qui alignera le plus de neuf : 99 %, 99,9 %, 99,99 %, etc.

Concours de langue de bois

Depuis le temps que cela me démange, ça y est, je m’y mets : un florilège à la Prévert des poncifs, des lieux communs et des phrases langue de bois qui émaillent les réunions et les groupes projets dans ce merveilleux monde de l’IT. C’est parti.

La SFIL et la FEIMA expriment leurs inquiétudes concernant le décret n°2016-46 du 26 janvier 2016 relatif à la biologie médicale

Conscients des enjeux attachés à l’évolution de la biologie médicale en France et notamment dans les échanges entre professionnels de santé, la Société Française d’Informatique de Laboratoire (SFIL), qui regroupe des biologistes, des laboratoires de biologie médicale et des industriels, et la Fédération des Editeurs d’Informatique Médicale et Paramédicale Ambulatoire (FEIMA), qui regroupe les principaux éditeurs de logiciels du secteur médical et paramédical ambulatoire, ont toujours été des acteurs mobilisés pour accompagner les modifications réglementaires.

Externalisation, le miroir aux alouettes des pénalités

L’externalisation, c’est super, vous diront certains. Elle peut de surcroît faire gagner des sous : si le fournisseur ne respecte pas ses engagements, il doit des pénalités. Les pénalités dans les contrats sont comme les promesses dans les campagnes électorales : elles n’engagent que ceux qui y croient. Petite explication de texte à l’usage des crédules.  

Petit précis de gestion du temps : merci Pareto !

Depuis Vilfredo Pareto et la fin du xixe siècle, on connaît le principe des 80-20 : 20 % de la population accaparent 80 % des ressources, 20 % des conducteurs provoquent 80 % des accidents, etc. Bien loin de constamment nous enquiquiner, cette loi peut être d’un secours louable dans la gestion de projets informatiques, et dans les DSI en général. Illustration.

Pouvoirs du RSSI, une approche Itil de la question

Lors d’une intervention qui aura fait date et que les RSSI vieux et sages raconteront le soir à la veillée à leurs arrière-petits-enfants, Patrick Pailloux invoquait comme un mantra le pouvoir de dire « non » des RSSI. S’entend non aux âneries qui émaillent les SI et plombent la sécurité : mots de passe administrateurs par défaut, machines sans protection antivirale sur le réseau, etc. Quand on interroge les RSSI en santé (l’affaire est vite réglée : ils sont à peine 50), trois approches à ce pouvoir de dire non sont traditionnellement évoquées.

Quand Dieu ne sait plus, il appelle Alexandre

On dira ce que l’on voudra, mais les normes ISO c’est tout sauf une partie de rigolade : il faut tout de même se creuser un peu la tête pour assimiler et surtout imaginer comment on va adapter ce machin dans nos organisations.

Cryptolockers et métaphysique de la communication utilisateur

Depuis janvier 2015 – plus d’un an –, des vagues de cryptolockers s’abattent régulièrement sur nos SI, hospitaliers ou cliniques, de santé ou non.

Le chiffrement de mails – Conclusions

Dans une première partie1, nous avons examiné deux solutions de chiffrement de mails : le « roi » PGP, et la solution Asip Santé de messagerie sécurisée. Dans une deuxième partie2, nous avons décortiqué Apicrypt et BlueFiles. Un certain nombre de précisions s’imposent.  

GHT et DSI : la fausse bonne idée des économies d’échelle

Du projet de loi à la loi votée, de rumeurs en réactions semi-officielles de certains groupes d’intérêt, les choses bougent pas mal côté GHT ces derniers temps. Dernier épisode en date, un projet de décret à moitié confidentiel (il circulait déjà sous le manteau plusieurs jours avant sa diffusion) vient préciser ce qui doit être entendu par « SIH convergent », en l’occurrence une brique logicielle unique supportant un processus métier, et ce avant 2020.

Info flash : un hôpital américain cible de hackers

La nouvelle fait le tour de la presse spécialisée autant que des grands quotidiens, un hôpital de Los Angeles vient de subir une attaque de la part de hackers, qui réclamaient plus de 3M de dollars pour débloquer le SI. Au final, l'établissement affirme avoir déboursé 17 000 dollars pour remettre le SI en services.

Externaliser pour prendre soin de ses archives de santé

Le chiffrement de mails, tour d’horizon de quelques solutions – partie 2

Dans une première partie1, nous avons examiné deux solutions de chiffrement de mails : le « roi » PGP, et la solution ASIP Santé de messagerie sécurisé de santé. Poursuivons ce tour d'horizon.  

Le chiffrement de mails, tour d 'horizon de quelques solutions – partie 1

Qu'on se le dise, envoyer un message électronique sur Internet, c'est comme envoyer une carte postale : toutes les personnes qui auront la carte dans les mains à un instant donné pourront lire ce qui est écrit dessus. Les protocoles de messagerie sont ainsi conçus qu'un message transite en clair sur le réseau des réseaux.

ITIL v3 et le catalogue des services en sécurité SI – partie 3

Dans une première partie[1], nous avons traité de généralités concernant l'offre de services de la DSI en matière de sécurité, et plus spécifiquement de disponibilité, avec en ligne de mire la constitution d’un tableau officiel qui recense l'ensemble des composant identifiés comme étant critiques. Dans une deuxième partie[2], nous avons développé le cas des plages d’arrêt convenues pour les opérations de maintenance technique et en particulier celui des arrêts du Dossier Patient Informatisé (DPI).    

Les archives de sante au cœur de l’actualité : les enjeux d’une gestion éclairée

Loi de modernisation du système de santé, mise en oeuvre du Dossier Médical Partagé, marchandisation des données personnelles… La santé est au coeur de l’actualité. Les enjeux liés à l’amélioration du suivi médical et à l’optimisation de l’hôpital de demain sont cruciaux non seulement pour les patients mais aussi pour les acteurs publics et privés… Or, le rôle des archives de santé est central dans ce dispositif et les modes opératoires mutent face à la généralisation du numérique.

ITIL v3 et le catalogue des services en sécurité SI – partie 2

Dans une première partie[1], nous avons traité de généralités concernant l'offre de services de la DSI en matière de sécurité, et plus spécifiquement de disponibilité.  

ITIL v3 et le catalogue des services en sécurité SI – partie 1

La norme ITIL, dans sa version 3, réserve une place spécifique à la sécurité du SI. On retrouve le découpage classique en roue de Déming (PDCA) et les items habituels de planification, implémentation, audit, etc.

Les procédures dégradées, quelle implication des MOA

La même question se pose toujours : que le SI soit en panne ou qu'il s'agisse d'un arrêt programmé, que font les métiers le temps de la coupure ? Le sujet peut s'aborder à l'aide d'un schéma type RTO-RPO pour ce qui concerne du déroulé temporel1, mais il subsiste tout de même un certain nombre de points durs. Petite revue sans prétention.  

2016, l'année des GHT...ou pas

De modifications en modifications, le projet de loi de santé 2015 a finalement été voté avec quelques changements, certes à la marge pour ce qui concerne le volet SI. Petit tour d'horizon des acteurs en présence.  

Le couteau suisse de la sécurité au quotidien

A force de parler de sécurité du SI, il semble que nous n'avons jamais tenté le moindre recensement des outils les plus utiles au quotidien, aussi bien pour le RSSI que pour l'usager lambda du SI (sans que ce terme soit péjoratif). Pour le dernier filet de la l'année, petit florilège sans prétention.

L'informatique ça coûte une blinde

Il en va de l'informatique comme des primes d'assurance : tant que l'on a aucun pépin, on trouve toujours cela trop cher, et les utilisateurs ont une fâcheuse tendance à oublier les moyens que cela fait économiser. Démonstration.

Ma lettre au Père Noël pour 2015

Semaine presque normale d'un RSSI

L’hébergement des données personnelles de santé à l’heure du Cloud

A l’horizon 2020, on estime à 7% la part des dépenses liées à l’e-santé dans le budget total de la santé en France contre 1% actuellement. Ce développement de l’usage des technologies de l’information et de la communication répond à plusieurs nécessités : la prise en charge d’une population vieillissante et de plus en plus sujette aux maladies chroniques, l’aggravation des inégalités géographiques dans l’accès aux soins ou encore la réduction des budgets publics. Mais cette révolution de l’organisation des soins n’est pas sans poser de questions quant au stockage et au traitement des données personnelles des patients. Quels moyens sont mis en place par les pouvoirs publics et les hébergeurs pour assurer la sécurité et la confidentialité de ces données ?

Les poches trouées de l'informatique

Laissez-moi vous narrer une petite mésaventure récente, dans un domaine certes à la limite de l'informatique (quoique) : les photocopieurs multifonctions, MFP pour les intimes.

Présence de la DSI la nuit

Certains médias spécialisés viennent de rendre compte des conclusions d'un audit du déploiement d'Orbis à l'AP-HP. Nous n'allons pas nous étendre sur ces conclusions qui, rien d'étonnant dans ce type d'audit, pointent à la fois les retards de déploiement, la qualité et l'usage du progiciel. Le point qui nous attire concerne plutôt les pannes du logiciel, et surtout la présence de la DSI.