TRIBUNES LIBRES

5e Colloque SSI du ministère de la Santé

URGENT/11 : des dispositifs médicaux atteints par la fameuse pathologie et une solution pour identifier les malades

Deux mois après l’annonce de URGENT/11 [1], une panoplie de 11 vulnérabilités affectant les systèmes VxWorkrs, la société ARMIS nous passe la deuxième couche de rouge vif.

Les CHU : fer de lance de l’IA en santé ?

Prudemment mais sûrement, le Gouvernement s’est emparé de la question en lançant un programme d’investissements d’avenir (PIA), devant permettre de ’’tester sur le terrain, par des applications concrètes, le potentiel l’IA’’(Cf. communiqué de presse commun de la Dinsic et de la DITP). 

Sauver la sauvegarde, à l’usage des DSI

À une époque pas si lointaine (il me semble) de mon existence, la SSII dans laquelle je travaillais avait constaté qu’un de nos clients faisait religieusement ses sauvegardes tous les soirs, comme on le lui avait montré. OK, c’était au millénaire précédent, OK, c’était sur des disquettes souples 5 ¼ pouces, OK, je ne suis pas exactement le perdreau de l’année, mais sauvegardes tout de même il y avait. Sauf que tous les soirs, juste avant de partir, le chef du client en question mettait un coup de trouilloteuse dans ladite disquette pour pouvoir la ranger dans un grand classeur à anneaux (authentique).

La majorité des attaques cyber porterait sur seulement 3 ports TCP

Les premiers pas (concluants) de la certification HDS

Ils sont actuellement 48 à avoir décroché la certification hébergeurs de données de santé, d’après le site de l’Asip Santé, le dernier en date étant, sauf erreur, le groupement de coopération sanitaire GCS Tesis (La Réunion et Mayotte), premier groupement régional d'appui au développement de l'e-santé (Grades) de la liste des hébergeurs pour son datacenter, et qui en plus couvre les 6 activités du référentiel. 

Où en est-on de la sécurité des données patients ?

Le top départ de l’e-santé 2022 a récemment été donné (voir la vidéo [1]de la première session du Tour de France ainsi que l’analyse [2]à grosse maille de votre serviteur), et c’est une bonne chose que la SSI fasse partie des préoccupations officielles des pouvoirs publics. Cela étant, où en est-on de la sécurité des données patients, justement ? D’où part-on ? Quel chemin, de roses ou de croix, à parcourir ?    

Délibération CNIL du 4 juillet 2019 : nouvelle réglementation sur le pistage numérique

Cette nouvelle délibération de la CNIL [1] arrive comme une pépite de chocolat sur le cookie afin de préciser les lignes directrices relatives à l’application de l’article 82 de loi informatique et libertés [2] et plus précisément aux opérations de lecture / écriture de traceurs sur le terminal d’un utilisateur.

E-santé 2022 : top départ

N’ayant pas pu être présent à Lille pour le lancement du Tour de France de présentation du programme Ma santé 2022, je me suis rattrapé en visionnant la conférence (ici1) pour vous faire un premier retour à chaud.  

Les CPTS : nouvel outil de déploiement de la télésanté ?

« Développer le recours à la télésanté (télémédecine et télésoin) », telle est l’une des missions désormais obligatoires des communautés professionnelles territoriales de santé (CPTS) souscrivant à l’accord conventionnel interprofessionnel signé le 20 juin 2019 et approuvé par arrêté publié au Journal officiel le 24 août dernier[1].  

Ransomware : optimiser sa défense (partie II)

« Tout ce qui est susceptible d’aller mal ira mal. » Tel est le célèbre adage maintes fois vérifié du pessimiste Edward Murphy.

RSSI : stupide tentative de classification

Stupide car, généralement, quand vous essayez de classifier ce type de fonction un peu bizarre au sein de l’organisation, la plupart de vos interlocuteurs ne manquent pas de vous faire remarquer que vous oubliez tel ou tel aspect de la question, qu’un de leurs confrères ne rentre pas dans le moule, etc. Même pas peur, et puis, de toute manière, on a bien le droit de penser à haute voix – au clavier en l’occurrence –, non ?

Les produits Microsoft sont-ils compatibles avec le RGPD ?

Sans se lancer dans une quelconque théorie du complot ou toute autre polémique anti-Gafam, l’évolution du business modeldu géant américain et de ses produits mérite vraiment de s’interroger. Les données, et en particulier les données de santé, ont aujourd’hui beaucoup plus de valeur que n’importe quelle licence logicielle, ce que savent pertinemment Google ou Facebook, qui, à défaut de les exploiter, auraient probablement mis depuis belle lurette la clé sous la porte.  

Été, bilan chaud, chaud, chaud !

Ça y est, c’est l’odeur des cartables neufs, des Bic sous blister et des chaussures toutes neuves qui font mal aux petons : il est temps de faire le bilan de l’été. Parce qu’il n’y a pas eu que la canicule, fallait se tenir un minimum informé.

ECRAN-Santé#2019 : retour d'expérience

Le ministère des solidarités et de la santé renforce ses actions d’anticipation au vu de la cybermenace actuelle et des enjeux pour la santé publique. Il a donc été décidé d’organiser un exercice de type cyberattaque sur le secteur de la santé, similaire à la cyberattaque mondiale de type rançongiciel (1) qui avait paralysé une partie des établissements de santé (NHS) du Royaume-Uni en mai 2017.  

Ransomware : connaitre son ennemi (partie 1)

Une backdoor implantée dans vos serveurs Linux / Unix ?

Sans le savoir, vous avez peut-être ouvert une porte aux attaquants sur vos serveurs Linux / Unix…

BlackHat & DefCon cuvée 2019, patch tuesday et Ramsay… Tornade de vulnérabilités dans l’actu cet été !

Les deux rendez-vous dédiés à la sécurité des SI les plus renommés viennent de se terminer après neuf journées consécutives que l’on peut imaginer comme complètement folles ! Comme le chassé-croisé entre les juillettistes et les aoûtiens version Las Vegas, les conférenciers de la DefCon arrivent alors que BackHat n’est pas encore terminée, même si une grande partie des visiteurs en profitent pour enchaîner les deux évènements.

Se saborder, mode d’emploi

Comme un fait exprès, dans la même quinzaine nous tombons sur deux news, apparemment sans rapport, mais à y regarder de plus près en fait de rapport il y a.

Campagne de phishing innovante : les vacances donnent des idées aux attaquants

On dirait bien que les vacances profitent aux attaquants juillettistes. Certains n’ont pas mis longtemps à se ressourcer pour trouver de nouvelles idées permettant de passer à travers les mailles des filets que nous tendons en amont de nos serveurs de messageries.

Cahier de vacances 2019 du RSSI

Certains profitent déjà des joies de la plage, de l’air marin mélangé à l’odeur de la crème solaire et des beignets, du bruit des vagues associé au chant des mouettes et aux cris des enfants, d’autres vivent au rythme du camping, de ses apéros entre voisins et de ses parties de pétanques… Tandis que d’autres sont encore au bureau pour quelques jours ou semaines.

Médecins coordonnateurs en Ehpad : un droit de prescription élargi

Le décret portant réforme du métier de médecin coordinateur en établissement d’hébergement pour personnes âgées dépendantes (Ehpad) est paru au Journal officiel le 6 juillet dernier.

Un dernier cocktail RGPD avant la plage

La canicule n’en refroidit pas certains apparemment, tout du moins si l’on se fie aux dernières breaking newssur le RGPD sous toutes ses formes, pendant cette dernière quinzaine. Que l’on en juge.

Doit-on prévoir un budget « rançongiciel » au plan d’investissement ?

Convergence des SI au sein des GHT : un « kit » est lancé

La mise en place des groupements hospitaliers de territoire (GHT) implique, au plan numérique, une convergence des systèmes d’information (SI) des établissements parties du groupement, l’objectif étant d’aboutir à un SI commun. 

Données de santé : anonymat et pseudonymat

À l’occasion de plusieurs discussions professionnelles, j’ai pu me rendre compte de la confusion qui règne autour de ces notions : je vous propose donc une tentative de synthèse. Tentative seulement car ces concepts font appel à plusieurs réglementations (évidemment le RGPD, mais aussi le Code de la santé publique), et, si mes honorables lecteurs détectent une imprécision ou une erreur, je serai ravi de publier un correctif.

HAS et déploiement de la télémédecine : les recommandations « pratiques »

Le 20 juin 2019, la Haute autorité de santé (HAS) a rendu public une série de documents pour rendre opérationnel le déploiement de la téléconsultation, de la téléexpertise et de la téléimagerie. 

Violation de données à caractère personnel : place au doute ?

Le règlement général européen sur la protection des données à caractère personnel (RGPD), impose aux responsables de traitements de notifier les violations présentant un risque pour les droits et libertés des personnes à la CNIL.

2019 : bilan à mi-parcours

Juin se termine sous la chaleur, il est temps de faire le bilan de cette première partie d’année 2019.

Mesdames, Messieurs, Docteurs, on a un problème…

Maîtriser sa communication en cas de crise numérique : un exemple. 

SSI : Quand le problème se trouve entre la chaise et le clavier... de l’informaticien !

Les informaticiens vous le diront, en informatique, le problème se situe entre la chaise et le clavier. Comme le souligne à juste titre Cédric Cartau, ce qu’ils oublient de préciser, c’est qu’il s’agit très souvent de la chaise et du clavier de l’informaticien lui même !

Révolution dans le domaine des logiciels et des dispositifs médicaux

La réglementation relative aux dispositifs médicaux (DM) qui entrera en vigueur en mai 2020 va bouleverser certains éditeurs et fabricants, qui seront de facto soumis à des contraintes beaucoup plus importantes.

Publication du décret relatif à l’expérimentation d’une « e-carte Vitale » !

Le décret permettant l’expérimentation d’une « e-carte d’assurance maladie » est paru mercredi 29 mai 2019 au Journal officiel.

Incidents de sécurité des SI de santé : que faut-il déclarer ?

La déclaration des incidents de sécurité des SI de santé a été gravée dans le marbre avec l’article L1111-8-2 du Code de la santé publique [1]. Le décret du 12 septembre 2016 [2] a fixé l’entrée en vigueur de cette obligation à la date du 1eroctobre 2017, et indiqué que tous les incidents ayant des conséquences potentielles ou avérées sur la sécurité des soins, des conséquences sur la confidentialité ou l'intégrité des données de santé ou portant atteinte au fonctionnement normal de l'établissement, de l'organisme ou du service, devraient être déclarés.

Edgar Poe et la sécurité informatique

On reconnaît les génies au fait que leurs œuvres peuvent être lues et relues, interprétées et réinterprétées au fil des modes et du temps, tout en restant les mêmes. Edgar Poe est de ceux-là. Que l’on en juge : avec le Double Assassinat dans la rue Morgue, le bonhomme a carrément inventé le genre policier, 50 ans ou presque avant Conan Doyle et son Sherlock Holmes, et quasiment un siècle avant Agatha Christie et ses Dix Petits Nègres. Respect.

Publication d’un avis du Comité d’éthique en matière de big data

Où en est le « Health Data Hub » aujourd’hui ?

On peut lire et entendre de plus en plus fréquemment le terme de « Health Data Hub » lorsque l’on s’intéresse aux problématiques de santé numérique. Cette notion a été officiellement introduite en France suite à la remise du rapport Villani [1]en mars 2018, qui se penche sur la stratégie nationale en termes d’Intelligence Artificielle et donc d’exploitation des données. En juin 2018, le terme Health Data Hub est repris pour faire l’objet d’une mission de préfiguration lancée par la Ministre de la santé Agnès Buzyn [2].  

Le Cybersecurity Act adopté par le Conseil de l’Union Européenne

Adopté par le Parlement Européen le 12 mars 2019, le Cybersecurity Act a été définitivement adopté le 7 juin 2019 par le Conseil de l’Union Européenne [1].

Quelle responsabilité juridique pour l’IA – la vision juridique, partie 2

Dans une première partie, nous avons examiné la question du régime juridique des voitures autonomes. Intéressons-nous maintenant au régime de responsabilité pour les algorithmes.

Quelle responsabilité pour l’IA – la vision juridique, partie 1

Quelle responsabilité pour l’IA ? A l’heure où le régime juridique des voitures autonomes en France est en train d’être précisé, un petit point d’actualité et un bref rappel du cadre légal existant permettent de trouver quelques éléments de réponse. 

Responsabilité de l’IA : visions croisées de l’informaticien et de l’avocate – partie I

L’autre jour, je discutais avec Marguerite de la question de la responsabilité de l’IA. C’est l’exemple bateau : si j’ai une voiture autonome – 100 % autonome – et qu’elle écrase un piéton, qui est responsable ? Nous voilà partis dans une discussion stratosphérique, alors qu’il n’y a vraiment pas de quoi fouetter un algorithme : si j’ai un chien et qu’il mord le voisin, j’en suis bien responsable en tant que propriétaire du chien, idem pour la voiture, fin de l’histoire.      

Authentification biométrique « #unhackable » : la solution qui voudrait nous faire croire aux licornes

Pharmacies à usage intérieur : le décret enfin publié !

Après plus de deux années d’attente, le décret d’application de l’ordonnance sur les pharmacies à usage intérieur (PUI) est paru le 23 mai 2019 au Journal officiel. Ce texte de 21 pages a une large portée et mérite que nous dressions le tableau de ses principaux apports.

Obsolescence du SI, pas si simple à définir – Partie II

Dans un premier volet[1], nous nous sommes attaqués à la définition de l’obsolescence des composants d’un SI, et le moins que l’on puisse dire est que ce n’est pas trivial. Classiquement, on retrouve le découpage classique : équipement terminal (PC, tablettes, téléphones) versus équipements « lourds » (serveurs, PABX) ; logiciels versus matériel. Et les règles ne sont pas forcément les mêmes partout.  

Santé du futur : comment favoriser la communication entre médecins et patients ?

En France, l’ère du numérique n’a pas encore atteint son apogée. En effet, le gouvernement français vise une transformation numérique de ses secteurs dont celui de la santé d’ici 2022 via un plan d’investissement de 420 millions d’euros. Cette transformation comprend notamment, pour chaque patient, une meilleure accessibilité en ligne de l’ensemble de ses données médicales et la simplification du partage de l’information entre tous les professionnels de santé. In fine, elle vise aussi à favoriser la relation entre les professionnels de santé et leurs patients. Car si les professionnels de santé ont pour mission première de soigner et de sauver des vies, la communication avec leurs patients reste une part intégrante de leur quotidien, malgré leur forte mobilité. Dans ce contexte, comment garantir la fluidité des rapports entre médecins et patients, ainsi qu’entre les professionnels eux-mêmes ?

Volet numérique du projet de loi ’’Santé’’ : les retouches sénatoriales

Le projet de loi relatif à l'organisation et à la transformation du système de santé a fait l’objet d’une procédure accélérée engagée le 13 février 2019 par le Gouvernement. Adopté le 26 mars 2019 par l’Assemblée nationale, le texte a été transmis au Sénat en 1ère lecture, et à sa commission des affaires sociales, laquelle a arrêté la version qui sera discutée en séance publique à partir du 3 juin prochain.

Obsolescence du SI, pas si simple à définir – Partie I

Si vous posez la question à votre voisin de palier, à votre belle-mère ou au collègue à la cantine, en l’occurrence quelle est l’obsolescence de son électroménager à la maison (lave-linge, lave-vaisselle, frigidaire, etc.), s’il ou si elle n’a pas la réponse au débotté il ne lui faudra en général pas longtemps pour glaner l’information. Bon, en gros, un appareil électroménager dure entre trois et sept ans. On prend le médian (cinq ans), et si l’on a cinq équipements, il faut budgéter un changement par an, fin de l’histoire, éteignez la lumière en sortant.

Mauvaise communication en cas d’incident numérique : le risque au-delà du risque

La première circulaire tarifaire et budgétaire 2019 annonce les crédits alloués aux établissements de santé !

21,5 milliards d’euros (Md€) de crédits alloués, 663 millions (M€) économisés et 415 M€ mis en réserve, tels sont les axes annoncés par la première circulaire relative à la campagne tarifaire et budgétaire 2019 des établissements de santé, texte qui s’inscrit dans le cadre de la deuxième année de mise en œuvre du plan d’économies 2018-2022 sur l’objectif national des dépenses d’assurance maladie (Ondam).

Anthem medical data breach : retour sur l’une des plus grosse fuite de données de santé