TRIBUNES LIBRES

La rentrée se prépare : ChopChop pourrait bien enrichir le cartable du RSSI

19 août 2020 | Charles Blanc-Rolin | Tribune

La fin des vacances approche, l’heure est à l’achat des dernières fournitures scolaires, alors s’il  reste un peu de place entre la trousse et les cahiers dans votre cartable, je vous propose de l’enrichir avec ChopChop [1], un outil libre récemment partagé par le groupe Michelin sous licence Apache 2.0.

2020, bilan à mi-parcours

11 août 2020 | Cédric Cartau | Tribune

L’année 2020 aura été bizarre, confinement oblige. Ce n’est pas pour autant qu’il ne s’est rien passé, et ce n’est pas pour autant que les gendarmes et les voleurs (comprendre RSSI et hackers) se sont tournés les pouces – surtout pour les seconds. Bilan de la première moitié de l’année.

Cahier de vacances : navigateurs Web et nouveautés, comment bien préparer la rentrée ?

30 juillet 2020 | Charles Blanc-Rolin | Tribune

Les RSSI ne s’arrêtant jamais vraiment, je vous propose un cahier de vacances sur le thème des nouveautés à connaître qui sont et vont être implémentées dans les navigateurs Web et ce sur quoi il va falloir se pencher à la rentrée si ce n’est pas déjà fait...

Mise en conformité avec le RGPD : un « kit » est lancé par l’Anap

28 juillet 2020 | Me Noémie Mandin-Lafond | Tribune

L'Agence nationale d'appui à la performance des établissements de santé et médico-sociaux (Anap) vient de publier un kit à destination de l’ensemble des structures sanitaires et médico-sociales, rassemblant les ressources utiles pour leur permettre une mise en conformité avec le règlement général sur la protection des données (RGPD). 

Incident IT à La Poste

27 juillet 2020 | Cédric Cartau | Tribune

Pendant 48h, le site www.laposte.fr (et tous ses avatars) ont été totalement inaccessibles. Quels que soient le navigateur, l’OS, rien, nada : toujours la même page d’erreur d’accès au site. En cause : un problème de révocation de certificat (le détail se trouve ici[1]), manifestement une révocation faite par erreur.    

Invalidation du Privacy Shield – ça va piquer un peu

21 juillet 2020 | Cédric Cartau | Tribune

Certains admirent les acteurs de cinéma célèbres, les pilotes de chasse, les baroudeurs ou les artistes rock. OK, OK, je respecte, chacun son truc. Moi, ce que j’adore, ce sont les teignes. Le genre qui fiche le bazar partout où il passe, le style de Détritus dans La Zizanie(je vous conseille de lire ou de relire les premières pages, c’est énorme) ou de Jacques Brel dans L’Emmerdeur.

Privacy Shield invalidé, EARN IT Act, LAED Act… : say goodbye aux hébergeurs américains ?

20 juillet 2020 | Charles Blanc-Rolin | Tribune

Je ne sais pas si les projets de lois ubuesques imaginés par une poignées de sénateurs américains ont fait pencher la balance, mais la Cour de Justice de l’Union Européenne a invalidé jeudi 16 juillet, le « Privacy Shield », cet accord permettant de transférer les données à caractère personnel des ressortissants européens vers les États-Unis [1].

Point sur les incidents de sécurité des SI de santé signalés en 2019

15 juillet 2020 | Charles Blanc-Rolin | Tribune

Pour rappel, la déclaration de tout incident de sécurité sur un SI de santé ayant des conséquences potentielles ou avérées sur la sécurité des soins, la disponibilité, l’intégrité ou la confidentialité des données de santé ou encore sur le fonctionnement normal de l’établissement est obligatoire depuis le 1er octobre 2017 [1].

Réflexions métaphysico-virales

15 juillet 2020 | Cédric Cartau | Tribune

Entre deux cornets de glace, coup de soleil estival et irritation due à mes tongs toutes neuves, il reste un moment pour des réflexions de fond sur des sujets variés.

Crise du Covid-19 : L’élargissement de la télésurveillance du diabète et l’ouverture de la télémédecine aux pharmaciens d'officine

07 juillet 2020 | Me Noémie Mandin-Lafond | Tribune

Nous le savons, dans le contexte exceptionnel de la lutte contre l’épidémie de Covid-19, les autorités sanitaires ont publié, depuis fin janvier 2020, une série de décrets visant à faciliter l’accès à la télémédecine et aux outils numériques de suivi.

Confidentialité des données médicales et Covid

07 juillet 2020 | Cédric Cartau | Tribune

Dans une récente interview[1], l’éditeur Daqsan[2], spécialisé dans les analyses des accès anormaux aux données, fait part dans certains cas d’un pic de 1 000 % des détections des accès en anomalie aux dossiers des patients (DP). Selon l’éditeur, si les accès en anomalie aux données médicales des VIP ou des voisins de palier sont restés stables, ce sont surtout les accès aux DP des collègues qui ont explosé.    

Retour sur le phishing : l’article qui pique les yeux

30 juin 2020 | Cédric Cartau | Tribune

Dans un article récent(1) , Charles Blanc-Rolin entamait une classification des tentatives de phishing qui sévissent sur l’Internet. L’article classe en sept catégories ces cochonneries dont nous sommes inondés couramment : arnaque au faux support informatique, vente de masques FFP2 en ligne, etc. L’article regorge de copies d’écran et d’exemples de terrain ; sa lecture est indispensable pour tout informaticien qui se respecte.

Exchange de plus en plus ciblé : les serveurs de messagerie restent une porte d’entrée privilégiée pour les attaquants

30 juin 2020 | Charles Blanc-Rolin | Tribune

Les serveurs de messagerie sont toujours une cible de choix des attaquants. Déni de service, accès compromis au Webmail, diffusion de courriels malveillants, mais aussi et surtout, porte d’entrée dans le système d’information.

Comparatif des enjeux d’externalisation – partie 2

23 juin 2020 | Cédric Cartau | Tribune

Dans le volet précédent, nous avons examiné les raisons qui pourraient conduire à externaliser tel ou tel processus métier, bien entendu avec l’IT en tête. Déroulons maintenant les éléments qu’il faut instruire avant de s’engager dans un tel projet. Toute décision d’externalisation devrait être évaluée à l’aune de sept critères.

Ripple 20 : cataclysme réseau dans l’IOT

19 juin 2020 | Charles Blanc-Rolin | Tribune

Annoncée publiquement le 16/06/2020 par les chercheurs du laboratoire JSOF [1], Ripple 20 est une collection de 19 vulnérabilités impactant l’implémentation de la pile TCP/IP dans la librairie proposée par Treck [2]. Une présentation complète de ces travaux de recherche est prévue à la conférence Black Hat USA qui se tiendra au mois d’août [3]. Cette librairie est utilisée dans de très nombreux appareils de type IOT et notamment des dispositifs médicaux.

Masques FFP2 et SI : comparatif des enjeux d’externalisation - partie 1

16 juin 2020 | Cédric Cartau | Tribune

Une des plus importantes polémiques générées par la crise du Covid 19 est sans aucun doute la question de l’externalisation de la production des masques (FFP2, etc.), en l’occurrence en Chine, et qui a mené à la pénurie que l’on sait. Il est très facile, après coup, de jouer les donneurs de leçons sur ce sujet : comme le fait très justement remarquer Olivier Sibony (voir à ce sujet son excellente conférence ), si la question avait été aussi triviale nous n’aurions pas constaté un consensus quasi-général, à la fois national et international.

Equipements biomédicaux : La certification des appareils peut-elle garantir un haut niveau de sécurité ?

15 juin 2020 | Par Renaud Bidou, Trend Micro | Tribune

La pandémie de COVID-19 a placé les établissements de santé au cœur de l’actualité. Semaine après semaine, leurs forces vives se sont mobilisées quotidiennement pour sauver des vies. Or le caractère inédit de cette situation sanitaire et la vulnérabilité du secteur ont naturellement incité certains hackers non-éthiques à mener des cyberattaques spécifiques à l’encontre des établissements hospitaliers. 

SMBGhost revient hanter les systèmes Windows 1903 et 1909

11 juin 2020 | Charles Blanc-Rolin | Tribune

La vulnérabilité CVE-2020-0796 [1] baptisée SMBGhost n’a pas finie de faire parler d’elle et de faire passer des nuits blanches aux RSSI.

Informatique de santé, entropie et tueur en série

09 juin 2020 | Cédric Cartau | Tribune

L’entropie, c’est la mesure du désordre. Une des lois fondamentales de la thermodynamique énonce que l’entropie d’un système fermé à une tendance inexorable à augmenter. C’est pourquoi au début de l’Univers, tout était beau et bien rangé dans une boule minuscule contenant toute la matière existante, et qu’après le Grand Boum (oui d’accord, on dit le Big Bang) la matière est tout en désordre, un foutoir sans nom, les planètes par ci, les soleils par là, la gravité qui te courbe l’espace, et tout le tralala.

StopCovid : une analyse tout ce qu’il y a d’impartial

02 juin 2020 | Cédric Cartau | Tribune

Sincèrement, je pensais qu’après les ratés en série dès l’annonce de StopCovid – annonce faite sans vérifier les possibilités techniques du Bluetooth sur les iPhone entre autres – on verrait ce machin tomber lentement mais sûrement dans les oubliettes. Mais non : on va y avoir droit (force est de constater que l’on ne pourra pas reprocher un manque de constance). Petits rappels.

Sécurité versus continuité de la sécurité

26 mai 2020 | Cédric Cartau | Tribune

Il est un sujet commun à toutes les organisations (santé, armée, business, etc.) : il s’agit bien entendu de la sécurité du SI.

Ragnar Locker : des attaquants puissants et novateurs

26 mai 2020 | Charles Blanc-Rolin | Tribune

Même si j’avais déjà vu passer ce nom dans certains articles ces derniers mois, il a vraiment attiré mon attention depuis quelques semaines, après avoir ciblé un très grand groupe du secteur de l’énergie et après s’être illustré dans un billet de l’équipe sécurité de Microsoft sur le thème des rançongiciels ciblant le secteur de la santé et les services critiques [1].

SI-DEP, la schizophrénie guette le RSSI/DPO

18 mai 2020 | Cédric Cartau | Tribune

J’ai toujours adoré les curiosités de l’esprit : si vous avez une heure à perdre, je vous suggère d’aller faire un tour sur ce site[1]qui explique la diagonale de Cantor, astuce géniale avec laquelle le mathématicien allemand a démontré qu’il existait plusieurs catégories d’infini (authentique). Bon, en même temps, ne vous penchez pas trop au-dessus du précipice, le bonhomme a terminé ses jours dans un asile. Récemment, je suis tombé sur une autre curiosité avec un ouvrage de Jean-Paul Delahaye : la trompette de Torricelli, qui a la particularité d’avoir une surface infinie, mais un volume intérieur fini. On ne peut donc pas la peindre, mais on peut la remplir d’eau. Mais la remplir d’eau revient à peindre sa surface intérieure, non ?  

SI-DEP, le contact tracing n’est pas si neutre

13 mai 2020 | Cédric Cartau | Tribune

La mise en place du contact traçing est l’actualité brûlante : les hôpitaux doivent mettre en production les interfaces avec l’application nationale, le décret publié hier, la CNIL saisie qui donne son avis , le Conseil Constitutionnel qui retoque une des mesures du dispositif (en l’occurrence le fait que les données soient accessible à certains acteurs du dispositif).  

Covid-19 : quand viendra le temps du bilan sur le volet SI

12 mai 2020 | Cédric Cartau | Tribune

Le temps viendra du bilan sur la crise Covid que nous traversons tous : bilan politique, bilan sur le système de santé, bilan sur les organisations, etc. À ce sujet, lire d’ailleurs l’excellente série publiée dans le journal Le Monde sur la stratégie des différentes mandatures entre les années 2005 et 2020. On y apprend entre autres que, fin mars, la France continuait de brûler des millions de masques, en pleine pénurie.

Thunderspy : confinez vos ordinateurs portables…

12 mai 2020 | Charles Blanc-Rolin | Tribune

En cette première semaine de déconfinement, un mot encore inconnu jusque-là par nos correcteurs orthographiques, je me suis dit que nous avions bien le droit de nous « détendre » un peu en faisant une pause sur les sujets a trait au Covid-19. Parlons matériel, puisque le numérique repose dessus malgré tout, et que nous avons parfois tendance à l’oublier avec la virtualisation omniprésente aujourd’hui, ou encore le cloud, qui n’est pas un nuage, mais bien l’ordinateur de quelqu’un d’autre.

StopCovid : cas d’école de la gestion de projet défaillante

05 mai 2020 | Cédric Cartau | Tribune

Rarement une application ou un logiciel développé par la puissance publique aura connu autant de turbulences : même Parcoursup et APB n’en avaient pas pris autant dans la figure, c’est dire. Revenons-en aux fondamentaux de la gestion de projet pour une analyse objective, étant entendu qu’il ne s’agit pas de porter un jugement sur l’efficacité médicale (ce qui fait intervenir de multiples paramètres et sujet sur lequel je n’ai aucune compétence, donc aucun avis pertinent), mais sur le processus général.

Télétravail : échanger en gardant le contrôle de ses données

05 mai 2020 | Charles Blanc-Rolin & Cybercercle | Tribune

La situation sans précédent que nous vivons a clairement fait augmenter nos besoins en matière de télétravail et d’échanges numériques. De nombreuses organisations n’étaient pas prêtes, ou pas dans une telle mesure en tout cas. Accès Internet, VPN ou solution de bastion, partage de fichiers, vidéo-conférences etc... Quelle DSI peut prétendre avoir tout anticipé et permis à l’ensemble des employés de « télétravailler » en toute sécurité ?

Covid-19 : le prétexte pour se relâcher en matière de protection des données ?

28 avril 2020 | Charles Blanc-Rolin & Me Omar Yahia | Tribune

En cette période de crise et de peur généralisée, alors que certains révèlent leurs plus bas instincts en menaçant des professionnels de santé, en vandalisant leurs voitures et en allant même jusqu’à cambrioler certains cabinets dans le but de leur dérober leurs équipements de protection, comme le rappelle Le Quotidien du médecin [1],« plus je connais les hommes, plus j’aime mon chien », selon la formule de Pierre Desproges. 

Mots de passe versus Men in Black

28 avril 2020 | Cédric Cartau | Tribune

Le confinement est l’occasion de mettre un peu d’ordre, de régler quelques dossiers et de réfléchir à quelques sujets de fond. J’ai donc rangé mes chaussettes comme le préconise Marie Kondo (en les repliant sur elles-mêmes et non en les mettant en boule), débloqué le Roi Boo dans Mario Kart Wii (750 parties tout de même) et tenté de comprendre la différence entre la relativité restreinte et la relativité générale.

Covid-19 : « Hacker » des dispositifs médicaux pour pallier le manque de respirateurs

23 avril 2020 | Charles Blanc-Rolin | Tribune

La pandémie actuelle met en évidence le manque cruel de respirateurs dans l’ensemble des hôpitaux de la planète. En France, nous disposerions d’environ 5 000 dispositifs de ce type, et nos hôpitaux en commanderaient entre 1 000 et 1 500 nouveaux chaque année [1]. Les demandes explosent depuis plus d’un mois maintenant et les constructeurs ont du mal à les satisfaire [2].

StopCovid : difficultés techniques non prévues

21 avril 2020 | Cédric Cartau | Tribune

Il semblerait qu’il y ait une « difficulté technique » avec la future application StopCovid : Apple refuserait l’usage du bluetooth par une application lorsqu’elle n’est pas active au sein du smartphone, ce qui, on le comprend bien, en limiterait fortement son utilité.

Quand ça retombe en marche

20 avril 2020 | Cédric Cartau | Tribune

C’est pas beau de se moquer des autres, surtout quand la bêtise qu’ils ont commise pourrait parfaitement se reproduire chez soi. C’est pourquoi je ne me moquerai pas de Google, à qui il vient d’arriver une mésaventure pas drôle du tout – enfin si, c’est drôle quand on lit le papier, mais une fois la lecture terminée, ça ne l’est plus.

La téléconsultation par téléphone désormais autorisée dans le cadre de l’épidémie de Covid-19

14 avril 2020 | Me Noémie Mandin-Lafond | Tribune

Après avoir simplifié et amélioré le remboursement de l’accès aux consultations médicales à distance en vidéo dans le cadre de l’épidémie de Covid-19, le ministre des Solidarités et de la Santé autorise, depuis le 4 avril dernier, le recours à la téléconsultation par téléphone.

Confinement : en profiter pour mettre un peu d’ordre

14 avril 2020 | Cédric Cartau | Tribune

Tant qu’à être bloqués à la maison, autant en profiter pour mettre un peu d’ordre et faire du rangement.

Covid-19 et vidéo-conférence : Pourquoi Zoom n’est pas la solution idéale ?

07 avril 2020 | Charles Blanc-Rolin | Tribune

Depuis une semaine, l’application de vidéo-conférence Zoom fait couler de l’encre à n’en plus finir dans le domaine de la sécurité. Si personne ne vous a encore demandé un accès à cet outil dans votre établissement, ça ne devrait pas tarder, sauf si… un utilisateur l’a déjà utilisé à votre insu. Après avoir commencé à recenser quelques informations pertinentes sur le sujet [1], et vu qu’il y de la matière, j’ai pensé qu’il serait intéressant de les partager avec vous, sous forme de synthèse dans ce billet.

Covid-19 et biais cognitif, quelles leçons pour la sécurité des SI ?

07 avril 2020 | Cédric Cartau | Tribune

Je laisserai à d’autres la question de savoir quelles sont les responsabilités politiques dans la crise actuelle du Covid-19 – et surtout de quelle mandature –, intéressons-nous plutôt aux dysfonctionnements qui ont mené à une telle situation, afin d’en comprendre certains mécanismes qui sont totalement reproductibles dans le domaine des SIH. Analyse de la situation selon le prisme des biais cognitifs.

Télémédecine : capitaliser aujourd’hui pour repenser la santé de demain

07 avril 2020 | WELIOM | Tribune

Au cours de l’année 2019, seuls 6 % des Français avaient déjà réalisé une téléconsultation tandis que 13 % des médecins l’avaient expérimentée. On estimait à environ 2 200 le nombre de consultations par semaine. Frileux, les patients avançaient une déshumanisation de la relation et les médecins invoquaient la nécessité de palper, de toucher le patient. Les politiques réfléchissaient à l’encadrement de cette pratique et les start-up rivalisaient d’innovations pour séduire les utilisateurs. Il y a quelques semaines, un virus est venu changer la donne. Entre le 23 et le 29 mars 2020, soit en une semaine, 486 369 actes ont été facturés par les médecins, selon la Cnam*. Facilitée, recensée, encouragée, la téléconsultation a fortement évolué et, avec elle, la conception que l’on en avait. Entretien avec Didier Alain, Expert WELIOM. 

Sécurisation du télétravail, deuxième effet COVID – volet usage

31 mars 2020 | Cédric Cartau | Tribune

Le télétravail nécessite des outils et une infrastructure adaptée, comme le développe Charles dans son article. Mais les outils ne sont pas tout, il y a aussi et surtout la question des usages, ceux autorisés et ceux qui interrogent.

Sécurisation du télétravail, deuxième effet COVID – volet technique

31 mars 2020 | Charles Blanc-Rolin | Tribune

La situation inédite que nous vivons aura amené de nombreuses entreprises, institutions, administrations, sans oublier nos établissements de santé, pas toujours prêts, à mettre en place du télétravail, conformément à la volonté du gouvernement. Cette semaine, nous avons décidé de croiser nos plumes, préalablement désinfectées par friction hydro-alcoolique, pour réfléchir sur le sujet. Cédric s’étant penché sur le volet « usage », je vous propose de nous intéresser au volet « technique ».

Confinement semaine 1 : étrange encéphalogramme de la SSI

24 mars 2020 | Cédric Cartau | Tribune

Le moins que l’on puisse dire, c’est que la situation est des plus étranges.

Covid-19 : évitons aussi la pandémie numérique

24 mars 2020 | Charles Blanc-Rolin | Tribune

Pendant que certains apprécient les vacances, les barbecues en famille, le jogging au petit matin, vont faire les courses trois fois jour, sillonnent les routes de France en voitures ou en camping-car au lieu de rester chez eux (c’est un fait, je les croise tous les matins en me rendant à l’hôpital), des malades meurent. Alors, il est difficile de se plaindre dans ce contexte, même si nous sommes exposés, que notre santé physique et mentale en prend un coup parce que nous redoublons d’efforts tous les jours en ces temps difficiles, que nous sommes amenés à faire de nombreuses tâches supplémentaires en plus de notre travail habituel pour anticiper au mieux la suite des évènements tout en assumant le quotidien.

La DSI face au Covid

17 mars 2020 | Cédric Cartau | Tribune

Les événements auxquels font face les établissements de santé, publics ou privés, sont exceptionnels et inédits. Ils s’apparentent à une situation de guerre dans le sens où la totalité de la « capacité de production » du cœur de métier des organisations est orientée vers un objectif unique (la crise sanitaire), et les autres fonctions vers le support logistique, direct ou indirect.

Le Coronavirus s’immisce désormais dans les systèmes d’information

16 mars 2020 | Charles Blanc-Rolin | Tribune

Le Coronavirus semble vraiment être le prétexte pour tout et n’importe quoi. De nombreux éditeurs, totalement altruistes proposent généreusement d’offrir leurs solutions afin de simplifier la vie aux établissements de santé en cette période de crise. Il faut bien reconnaître qu’ils sont très forts dans les services communication… Comme le dit l’adage, le malheur des uns fait le bonheur des autres.

Anonymisation : comparatif de trois outils (partie II)

10 mars 2020 | Cédric Cartau | Tribune

Dans un précédent article, nous avons examiné deux solutions d’anonymisation et notamment celle d’Arcad Software.

Externalisation de la prise de rendez-vous médicaux en ligne : un pacte avec le diable ?

10 mars 2020 | Charles Blanc-Rolin & Me Omar Yahia | Tribune

À l’ère du numérique, quel établissement de santé, s’il n’a pas encore franchi le pas, n’a jamais songé à mettre en place une solution de prise de rendez-vous en ligne pour ses patients ? Gain de temps pour les secrétaires médicales, redynamisation de l’image de l’établissement et confort pour les patients sont de véritables arguments de persuasion.

Anonymisation : comparatif de trois outils (partie I)

03 mars 2020 | Cédric Cartau | Tribune

Les données nominatives de production (RH, patients, étudiants, etc.) sont accessibles aux professionnels qui les traitent (services RH, praticiens, enseignants, etc.), mais pas seulement. Qui n’a jamais eu besoin de mettre en place une base de formation, à partir d’un jeu de données réelles, qui n’a jamais eu besoin de transmettre à son éditeur un extract d’une DB pour analyser un bug tenace ? Il n’est pas question de rendre inintelligible des données de production aux adminsys eux-mêmes (qui de toute manière ont accès à tout, sauf à mettre en œuvre des moyens financièrement délirants), mais bien de pseudonymiser (remplacer les identités par des codes, la table de correspondance étant séparée) ou d’anonymiser une base (rendre quasi impossible le fait de remonter aux individus physiques avec des moyens « normaux »), pour la transmettre à des tiers. Petit comparatif de trois solutions.  

Kr00k : le Wifi une nouvelle fois mis à mal

28 février 2020 | Charles Blanc-Rolin | Tribune

Les chercheurs de la société Eset ont publié le 26 février un rapport [1] sur une nouvelle vulnérabilité affectant de très nombreuses puces Wifi utilisant les protocoles WPA2 et WPA2 Enterprise avec un chiffrement AES-CCMP. Ce qui est toujours la norme aujourd’hui, préconisée par l’ANSSI [2]. Il ne s’agit pas ici d’une attaque cryptographique portant sur AES-CCMP, mais bien sur l’implémentation de WPA2 qui est faite dans ces puces.

Quels critères pour choisir son progiciel métier ?

18 février 2020 | Cédric Cartau | Tribune

Il est toujours étonnant de voir les MOA se débattre dans des processus aussi complexes et chronophages les uns que les autres, pour un choix qui devrait somme toute être relativement bordé, à défaut de simple : celui du progiciel qui informatisera le cœur de métier, en l’occurrence le DPI pour les établissements de santé. Bien entendu, on parle du choix de gros DPI pour de grosses structures : sauf respect, informatiser un Ehpad ne présente pas de difficulté informatique. Il est bien question ici d’informatiser un gros CH, préoccupation d’actualité puisque nombre de GHT sont en train de revoir le choix du DPI, pour couvrir tout le GHT.

Les plus lus