Sécurité2162 documents taggés

Chiffrement, compression : révisons nos configurations OpenVPN

Malgré l’apparition il y a quelques années de la très séduisante solution libre Wireguard [1], OpenVPN reste l’outil de prédilection pour mettre en place facilement des tunnels VPN client / serveur, tout comme IPsec reste le standard en matière de connexion VPN site à site (ou routeur à routeur).

Le destin de l’hôpital : banalisation, ’’coopétition’’, fusion

Comme un puzzle qui se met lentement (mais sûrement) en place, l’hôpital n’en finit pas de se transformer, sous la houlette de la frénésie réformatrice des Pouvoirs publics. 

Le MiPih met du PEPS dans vos échanges

La messagerie sécurisée Medimail du MiPih, première messagerie MSSanté de France, s’inscrit dorénavant dans une solution complète et modulable appelée MediPEPS.

La Base de données Claude-Bernard : la solution de sécurisation et d’information du circuit du médicament pour les GHT

Tout en offrant l’une des plus larges couvertures du marché, la base de données sur les médicaments et les produits de santé Claude-Bernard est intégrée aux outils de prescription ou de dispensation des praticiens et accessible également sur Internet ou via smartphone et tablette. BCB répond aussi bien aux besoins exprimés par les acteurs hospitaliers qu’aux différentes typologies des GHT.

Journée régionale « Sécurité numérique en santé », le 20 novembre à Angers

Le 20 novembre prochain, l’Agence Régionale de Santé des Pays de la Loire, en collaboration avec le GCS e-santé, organise une nouvelle journée dédiée à la « Sécurité Numérique en Santé ».

Certification HDS : puissance VS souveraineté

La semaine dernière, Microsoft annonçait avoir enfin obtenu LA certification HDS [1], Saint Graal détenue à ce jour par un seul acteur bien connu du secteur de la santé, le GIP MIPIH. Une question me vient alors à l’esprit, la souveraineté doit-elle être prise en compte dans le choix de son hébergeur ?

Réflexions technico-juridiques autour des virus

Depuis un petit moment déjà, certaines réflexions autour des virus me titillent en me posant question. Et comme me disait mon institutrice de CE1 : « Mon petit Cédric, il faut poser ses questions ; s’il y a une chose que tu ne comprends pas, dis-toi que tu n’es pas le seul. » J’appelle donc à la rescousse mon illustre coauteur Me Omar Yahia. Go.

RGPD : un an après

Lors du prochain Congrès national de la sécurité des SI de santé de l’Apssis, qui se tiendra au Mans du 2 au 4 avril 2019, Cédric Cartau*, vice-président de l’Apssis, délivrera une conférence intitulée « RGPD : un an après ». Cette intervention donnera suite à celle qui, cette année, lors du 6e Congrès national, avait permis de présenter les travaux du CHU de Nantes. Dans le but d’alimenter la réflexion sur la mise en œuvre opérationnelle du RGPD, Cédric nous propose une publication originale, une analyse empreinte d’un premier recul, et pose une première série de diagnostics.

Sécurité des SI et conformité au RGPD en Guyane

Fin novembre, l’ARS de Guyane organisera, avec Normand Yves Consulting, une formation au RGPD destinée aux établissements sanitaires et médico-sociaux de la région.

Le dossier médical partagé (DMP) attendu par les usagers

ZOOM GHT : La parole à Fabrice Cianni, DSI des GHT Plaine de France et 93 Est

Fabrice Cianni présente la particularité d’être DSI de deux GHT : le GHT Plaine de France, réunissant les centres hospitaliers de Saint-Denis et de Gonesse, et le GHT 93 Est, qui regroupe les centres hospitaliers intercommunaux Robert-Ballanger d’Aulnay-sous-Bois et André-Grégoire de Montreuil ainsi que le groupe hospitalier intercommunal Le Raincy-Montfermeil. Un ensemble à deux têtes avec un objectif commun : la convergence, rien que la convergence, toute la convergence.

Les lectures de la Toussaint

Les semaines de vacances sont propices aux lectures de fond, du genre de celles auxquelles l’on n’a ni le temps de s’adonner pendant la journée de travail, ni l’envie de s’atteler le soir à la veillée. En voici quatre, parmi d’autres.

Chiffrer ses postes clients Windows avec BitLocker en connaissance de cause

Pour préserver la confidentialité et éviter toute violation de données à caractère personnel, à plus forte raison lorsqu’il s’agit de données aussi sensibles que les données de santé manipulées au quotidien par nos utilisateurs, le recours au chiffrement peut s’avérer nécessaire, comme le souligne à plusieurs reprises le RGPD.

Une aide préopératoire pour le chirurgien sans précédent

DIVA est une plate-forme logicielle qui crée des représentations virtuelles de patients en fonction de leurs images médicales. Cette représentation innovante communique aux chirurgiens de manière précise la configuration spatiale des tumeurs de leurs patients.

4ème Colloque SSI santé du Ministère (suite et fin)

Dans une première partie [1], nous avions évoqué la vision ministérielle relative à l’importance du numérique dans la transformation de notre système de santé, ainsi que les grandes lignes du programme HOP’EN.  

La « gamification » ou « jeux sérieux » au service de la sensibilisation !

Sensibiliser n'est pas chose aisée, surtout quand il s'agit de sujets perçus comme contraignants voire techniques ... mais avec le jeu, rien d'impossible ! A l’occasion du mois européen de la cybersécurité, le GCS e-santé Pays de la Loire propose un nouvel outil de sensibilisation pour les structures de santé de sa région : « Sant’escape, sécurité numérique ».

ZOOM GHT : la parole à Cédric Freitas, DSI du GHT du Var

Directeur des systèmes d’information, directeur des travaux et du biomédical, directeur du contrôle de gestion ou encore secrétaire général d’une blanchisserie interhospitalière, Cédric Freitas vient d’ajouter une ligne à son curriculum vitæ. Il pilote désormais la DSI du GHT de Var, soit huit structures provençales qui vont devoir respirer une unique fragrance, celle de la convergence.

La directive NIS, volet juridique, partie II

Accompagner et expliquer ? Ordonner et sanctionner ? Il semble que le législateur ait choisi.

La directive NIS en application, volet SSI, partie II

Dans le premier volet[1], nous avons décortiqué la directive NIS ainsi que son positionnement par rapport à l’avalanche de textes régissant la SSI qui nous ont submergés depuis 2016. Me Yahia a quant à lui embrayé sur les aspects juridiques du dispositif[2], avec une vision encore plus large sur les éventuels recouvrements avec le décret hébergeur et les obligations de signalement des incidents SSI (obligations multiples, signalements multiples). L’analyse de l’avocat et celle du RSSI se rejoignent sur un point : les ennuis ne font que commencer.  

4e Colloque SSI Santé du ministère : vision ministérielle et programme Hop’en

Les Assises de la sécurité : l’actu de l’Anssi

La directive NIS, volet juridique, partie 1

Puisque mon illustre coauteur, Cédric Cartau, me tend la perche, je m’en voudrais de ne pas la saisir !

La directive NIS en application, volet SSI, partie I

Alors que le landerneau informatique avait les yeux rivés, au matin du 25 mai dernier, sur la sortie du RGPD, personne ou presque n’a manifesté son inquiétude ou son intérêt à propos du décret n° 2018-384 relatif à la directive NIS, pourtant promulgué deux jours plus tôt (et je laisse à mon illustre coauteur Me Yahia le soin d’apporter les précisions adéquates sur la structure des textes et leurs relations).

ITrust, un SOC au rayonnement international

La mondialisation expose les systèmes d’information aux cyberattaques de grande ampleur. Les parades doivent donc être anticipées, et les attaques déjouées à cette même échelle. Dans cette optique, ITrust, spécialiste de la sécurité informatique, ouvre un second centre opérationnel de sécurité (SOC, Security Operations Center) aux portes de Paris.

Cybersécurité Santé : trois jours d’échanges et de conférences au #CNSSIS2019 !

Le 7e Congrès national de la sécurité des SI de santé se prépare. Nouveautés, objectifs et analyse : interview de Vincent Trély, président de l’Apssis et organisateur du CNSSIS 2019.

Sensibilisation des utilisateurs au phishing : un exercice difficile

Même si nos solutions de protection de la messagerie ont fortement progressé en s’appuyant sur de nombreux outils qui prennent en compte de plus en plus de critères, que les commerciaux affamés vous proposeront LA solution miracle à base de poudre de perlimpinpin qui arrête tous les messages frauduleux avec ses petits bras musclés, la sensibilisation des utilisateurs au phishing reste à mon sens indispensable, et l’actualité nous le montre bien.

Améliorer la coordination des soins dans le domaine de la santé mentale

Dans la prise en charge des patients souffrant de troubles mentaux, la coordination entre les médecins généralistes et les autres acteurs de soins (psychiatres, psychologues, infirmiers, etc.) est insuffisamment développée. Pour promouvoir une évolution des pratiques, la HAS publie un guide proposant différents outils; les professionnels peuvent les mobiliser isolément ou combiner les uns avec les autres en fonction de leurs besoins, de leurs contraintes et du niveau de développement de la coordination sur leur territoire d'exercice. 

ZOOM GHT La parole à… Martine Barbet, DSI du GHT des Pyrénées Ariègeoises

Le Centre hospitalier du Val d’Ariège, le CH Ariège Couserans, celui du Pays d’Olmes, de Tarascon-sur-Ariège, d’Ax-les-Thermes… voici le nom des établissements composant le cinq majeur du GHT des Pyrénées Ariègeoises. À Martine Barbet, directrice de la DSI, la responsabilité d’amener le SI de l’équipe à son meilleur niveau.

Comment simplifier la gestion des mots de passe sécurise nos données en tant que patient

Actu sécu « en bref » : RGPD, Vulnérabilités, Attaques du moment

Pour commencer ce mois international de la cybersécurité, je vous propose un petit tour rapide des dernières actualités SSI du moment.  

Mais je fais quoi avec tous ces mots de passe ? Partie III

Lors du premier volet, nous avons engagé une classification des grandes familles de mots de passe (ID/MDP) et une première évaluation des risques encourus. Dans le deuxième volet nous avons tenté une ébauche de solution de stockage des ID/MDP en fonction des catégories susnommées. Poursuivons.

À la une de DSIH N° 25 : Les groupes de cliniques peaufinent leur stratégie numérique

ZOOM GHT : La parole à Anne-Lise Lemoine, DSI du GHT Novo

Novo, le nom claque comme un fragment latin gravé sur le frontispice d’un bâtiment antique. Mais ici, tout n’est que modernité. Le GHT Nord-Ouest Vexin Val-d’Oise est résolument tourné vers l’avenir. Et c’est dans cette direction que regarde Anne-Lise Lemoine en présidant aux destinées de la DSI de ce groupement hospitalier de territoire qui comprend trois établissements répartis sur sept sites.

Intégration des GHT dans leur territoire

Les 27es Journées nationales d’Athos se tiendront les 18 et 19 octobre à Arles sur le thème « Les GHT et les autres acteurs de santé de territoire ».

La médecine du XXIème siècle est digitale et déployée à tous les usages

Cette médecine nouvelle, stimulante tant pour le professionnel de santé que pour l’usager de la santé, apporte indiscutablement des compétences médicales nouvelles et de nouveaux métiers de la santé. Cette médecine du XXIème siècle est porteuse de formidables espoirs de performance pour prévenir et guérir les maladies et améliorer la santé des populations. La Société Française de Télémédecine s'en réjouit.

L’Anssi ouvre le code source de son système Clip OS

La news est tombée mercredi dans la soirée, même si le communiqué de presse [1] est daté du 20 septembre, soit deux jours plus tard. L’ Agence nationale de la sécurité des systèmes d’information a officiellement annoncé l’ouverture du code source de son système d’exploitation Clip OS dont on entend parler depuis pas mal d’années !

Nuance : de la télémédecine à l'IA dans la santé - la transformation est en cours

Ce weekend, la télémédecine, pratique qui consiste pour les médecins à réaliser des consultations via conférence téléphonique et vidéo s’est généralisée en France.

Un espace de stockage Amazon mal configuré et des données de santé une nouvelle fois exposées

Alors qu’en France la première certification HDS vient d’être délivrée [1], dans de nombreux autres pays, comme les États-Unis par exemple, les établissements traitant des données de santé ne sont pas restreints dans le choix d’un prestataire d’hébergement de données de santé.

L’IA va-t-elle faire disparaître les pilotes de ligne ? Partie II

Dans le volet précédent, nous avons entamé l’analyse d’un article[1]du Dr Laurent Alexandre dans L’Expresssur la fin programmée du métier de pilote de ligne. En substance, il nous paraît fortement optimiste d’affirmer que vers 2030 le métier de pilote disparaîtra, battu par une IA plus performante.    

Softway Medical acquiert Intellitec, Éditeur de logiciel spécialisé dans la psychiatrie

Softway Medical annonce le rachat de la société Intellitec. Intellitec édite un logiciel full web, spécialisé dans la gestion médicale des unités de soins de psychiatrie adulte et infanto-juvénile. L’éditeur jouit d’une trentaine de références, principalement publiques.

ZOOM GHT : La parole à Stéphane Lemardeley, DSI du GHT 72

Manager dans le domaine des systèmes d’information depuis 17 ans avec une expérience de RSI et de DSI, Stéphane Lemardeley pilote depuis février 2018 la direction des systèmes d’information du GHT 72. Ce GHT qui a pour établissement support le Centre hospitalier du Mans compte plus de 4 000 lits et places sur l’ensemble des activités (MCO, psychiatrie, SSR, USLD, Ehpad, HAD…).

Lensys remporte l’appel d’offres du centre hospitalier de Valenciennes

Le dossier patient informatisé du centre hospitalier de Valenciennes ne permettait pas de gérer le dossier d’anesthésie. Pour y remédier et renforcer la sécurité des soins, l’établissement a retenu sur appel d’offres les solutions métiers de Lensys, Direct-Consult et Direct-OP.

ITrust place l’intelligence artificielle au cœur de la cybersécurité

Créé en 2007, ITrust mène des activités de services (conseil, audit, MSSP) et d’édition de logiciels innovants en cybersécurité avec IKare, scanner de vulnérabilité, et Reveelium, outil de détection de malwares, virus et APT. La société européenne – basée à Labège en Haute-Garonne et implantée à Paris – dispose de son propre centre de sécurité.Elle sera présente aux Assises de la sécurité et des systèmes d’information qui se dérouleront à Monaco, du 10 au 13 octobre 2018.

Medasys sélectionnée par le RESAH pour le déploiement et la maintenance de robots de préparation de chimiothérapies

Ce nouvel accord-cadre qui confirme l’expérience avérée du Groupe en cancérologie, s’aligne à une volonté de soutenir les établissements dans le développement d’un plateau technique de chimiothérapie intégrant une robotique innovante. Outre l’optimisation du circuit oncologique et l’amélioration de la qualité des soins, cet accord vise également à simplifier les procédures d’achats groupés.

Adista dévoile sa vision de l’évolution des réseaux d’interconnexion des établissements de santé

Hébergeur agréé de données de santé et opérateur télécoms, Adista a développé une présence forte dans le monde de la santé.

Digitaliser le « parcours patient » dans l’hôpital de demain 

3 questions à Nicolas Briançon Responsable du marché Santé, SPIE ICS

Orages de vulnérabilités pour des inondations d’informations

Les données de santé de 2 millions de patients mexicains exposés sur Internet

Def Con 2018 : le chercheur Douglas McKee récupère et modifie les constantes vitales d’un patient

La Def Con figure parmi les conférences les plus incontournables dans le domaine de la sécurité numérique. Pour sa 26ème édition à Las Vegas qui s’est déroulée du 9 au 12 août, la sécurité des dispositifs médicaux faisaient partie, une fois encore des sujets phares de l’évènement.  

Les archives, meilleurs amis du RSSI ?

Pour le dernier article de cette première moitié d’année, j’ai décidé de revenir sur la question du rattachement hiérarchique et fonctionnel du RSSI : après tout, tant qu’à commenter des idées stupides, autant qu’elles viennent directement de moi. En l’occurrence, je me suis interrogé sur la question de savoir s’il était opportun ou pas de rattacher le RSSI au service des archives.

Singapour : l’infection d’un ordinateur permet le vol des données d’1,5 million de patients

Dans un communiqué publié vendredi [1], le Ministère de la santé de Singapour a révélé une fuite de données massive au sein du groupement d’établissements de santé publics / privés SingHealth qui a permis l’exfiltration de données à caractère personnel d’1,5 million de patients, soit le quart de la population du pays !