TRIBUNES LIBRES

QUEUEJUMPER : encore une belle porte d’entrée sur les systèmes Windows

Journées nationales du numérique à l’hôpital : les enjeux à venir

Le 14 mars dernier, WELIOM assistait aux Journées nationales du numérique à l’hôpital, l’occasion de débattre du bilan du programme HOP’EN et du nouveau volet SUN-ES, en compagnie de l’ANS, de la DGOS, de l’ANAP et d’autres acteurs opérationnels.

ChatGPT ou Le Bal des pleureuses

À moins d’être totalement allergique à l’informatique, il est difficile d’émettre un avis négatif sur le fait que le domaine est tout de même hyperintéressant. Innovations à tout va, concepts de haut niveau maniés à longueur de journée, sans parler des différentes couches où tout le monde peut facilement trouver chaussure à son pied. Le réseau vous branche : il y a. Le développement Objet vous fascine ? Il y a aussi. À moins que vous ne préfériez les langages fonctionnels de type Haskell ou Lisp ? Il y a encore. Les middlewares et les bases de données ? Les applications métiers et leurs liens avec les processus ? Il y a encore et encore. Bref, on peut s’y vautrer allègrement toute sa vie sans voir deux fois la même chose. Pour un technophile, c’est le nirvana total.

Habilitations d’accès aux données médicales à l’ère des GHT - Vision juridique

Quand le brillant RSSI et DPO Cédric Cartau et moi-même décrochons notre téléphone en pleine journée pour nous appeler, c’est qu’un « serpent de mer » technico-juridique nous travaille. Le dernier en date : les droits d’habilitation au Dossier Patient Informatisé (DPI), et ce, dans le contexte d’un article de presse[1] annonçant les mesures prises par l’APHP « la mise en œuvre d’un système de surveillance du mode « bris de glace » afin de contrôler et d’identifier les accès illégitimes ». Dans un premier volet, la vision technique et opérationnelle a donc été présentée[2]. Ce deuxième volet vise à présenter le cadre juridique. Que disent les textes ?        

Vague 2 du SEGUR Numérique : Des tendances qui s’affirment en ce qui concerne le SONS

Le SEGUR Numérique s’annonce tout aussi intense en 2023 qu’il l’a été en 2022. La Vague 2 se profile à l’horizon avec l’ambition de poursuivre la généralisation du partage fluide et sécurisé des données de santé entre les Professionnels de Santé et avec les Usagers. S’il est encore un peu tôt pour se faire une idée précise des futures cibles d’usages qui seront à atteindre, du côté du SONS en revanche, les tendances de ce qui va être au programme des éditeurs s’affirment. 

Les habilitations d’accès aux données médicales à l’ère des GHT – la vision RSSI/DPO

La news a été diffusée par plusieurs médias spécialisés : le dossier patient (DP) de Pierre Palmade à l’AP-HP a été consulté à de multiples reprises par des personnels n’ayant rien à voir avec la prise en charge médicale de l’humoriste… voire travaillant dans l’un des établissements de l’AP-HP où il n’était pas hospitalisé. Il s’agit d’un accès indu au DP (ou de curiosité malsaine en langage courant). C’est illégal et c’est puni par la loi. Cela étant, le sujet est très complexe. Décryptage.

Enquête : les femmes, le numérique et la cybersécurité

Notre écosystème est toujours très masculin, nos événements accueillent plus de 80% d’hommes et les récentes études réalisées sur la présence des filles dans les filières scientifiques et informatiques ne montrent aucune amélioration. Pourquoi la mixité semble si difficile à atteindre dans le numérique et encore plus dans la cyber ? 

Doctrine du numérique en santé et projet de feuille de route du numérique en santé 2023-2027, quelles perspectives et nouveaux enjeux

Du rififi chez tonton Google ?

Les séries TV fleuves vous ennuient ? Les histoires avec le méchant JR et le gentil Bobby Ewing vous font bâiller à vous en décrocher la mâchoire ? Essayez ChatGPT.

Bloquer les scanners à la découverte de votre exposition sur Internet : bonne ou mauvaise idée ?

Depuis quelques jours, je vois beaucoup d’engouement sur les réseaux sociaux autour du blocage des scanners qui, comme le très connu Shodan ou son challengeur français Onyphe [1], référencent les ports, services, applications et vulnérabilités qui les affectent de toutes les machines exposées sur Internet.

Le quiz annuel

Ça y est, c’est le printemps, il est largement temps de se changer les idées avec un petit quiz pas du tout orienté ni poil à gratter – pas mon genre. Une seule bonne réponse par question, on compte les points à la fin.

Cellule de crise SSI : qui mobiliser ?

La tempête n’est toujours pas passée… C’est ce que nous apprend le récent panorama de la cybermenace 2022 de l’ANSSI [1] : le nombre de cyber-attaques touchant les établissements de santé reste au plus haut niveau. Alors que faire face à cette situation ? La réponse : se préparer aux intempéries à venir ! C’est tout l’objet de l’instruction ministérielle SHFDS/FSSI/2023/15 du 30 janvier 2023 [2] : elle impose aux établissements de santé de réaliser annuellement un exercice de gestion de crise. Attention, l’objectif de ces exercices n’est pas de tester la continuité informatique ou bien la continuité de l’activité via le déclenchement des modes dégradés, mais bien de tester le fonctionnement de la cellule de crise de l’établissement. 

Recherches médicales : rappel à l’ordre de la CNIL

La présidente de la CNIL a rappelé à deux organismes procédant à des recherches médicales leurs obligations légales.

Un de plus, encore un de trop

Impossible d’être passé au travers tant l’info a fait le tour de l’actualité cyber : jeudi dernier le CHU de Brest était la victime d’une attaque cyber. Soyons clair : à ce stade, même si la communauté des RSSI hospitaliers dispose de plusieurs éléments techniques, impossible de divulguer quoi que ce soit dans un média ouvert sur ladite attaque pour des raisons évidentes de protection des SIH.

De l’usage de la pyramide de Maslow pour les RSSI/CISO

Soyons clairs : toutes les méthodes de modélisation du comportement humain ne sont jamais que des outils, des grilles de lecture. Parfois elles fonctionnent et tombent même remarquablement juste, mais parfois non. Pyramide de Maslow, sociodynamique, rosace 360° : il ne faut pas les tordre ni leur faire dire ce pour quoi elles ne sont pas prévues.

Application du DGA en santé : le cas des intermédiaires

Alors que l’espace européen des données de santé est encore à ses balbutiements, le règlement sur la gouvernance des données, (en anglais data governance act – DGA), première pierre de l’arsenal juridique européen visant à instaurer le marché unique de la donnée, entrera en application le 24 septembre prochain. Applicable tout secteur confondu, ce règlement trouve un écho particulier dans le secteur de la santé. Preuve en est, le cas des services d’intermédiation. 

L’optimisation des entrepôts de données de santé : un enjeu essentiel

Les entrepôts de données de santé présents dans les établissements sont trop souvent à usage unique et statique, avec des données non-normalisées. Les rendre interopérables, sécurisés et dynamiques est pourtant essentiel pour répondre aux défis que traversent le secteur de la santé.

Cyber : les effets pervers de la fuite en avant perpétuelle

Une des qualités premières pour prétendre à une carrière de RSSI, c’est de garder ses yeux d’enfant. C’est ce que l’on se disait récemment, mes 52 printemps et moi-même. Illustration.

Cybersécurité et santé – protéger les hôpitaux grâce aux technologies réseaux (NDR)

Villefranche-sur-Saône, Dax, Oloron-Sainte-Marie, Albertville, Arles, Castelluccio, Saint-Dizier, Vitry-le-François, Mâcon, Paris, Corbeil-Essonnes, Versailles… Et ceci n’est qu’une courte liste des différents établissements de santé publics et privés visés par des cyberattaques ces dernières années. En pleine ouverture et mutation numérique, le secteur hospitalier a dû faire face à de multiples vagues successives de cyberattaques bloquant tout ou partie de leur activité et forçant certains à revenir à l’ère du crayon à papier. Aider les établissements de santé à maitriser le risque cyber nécessite toutefois d’adopter une approche résolument proactive en prenant en compte les contraintes propres au secteur. La protection du réseau – et les technologies adaptées – sont indispensables pour prémunir les structures concernées. 

La pseudonymisation et le risque d’atteinte au secret médical

Un centre hospitalier peut-il être contraint, en application du Code des relations entre le public et l’administration, de communiquer des documents contenant des données de santé pseudonymisées ? C’est à cette question que le Conseil d’Etat a dû répondre, dans un arrêt du 8 février 2023. 

Les théories du complot appliquées à la cyber

Récemment, une discussion entre amis a doucement dérivé vers les théories complotistes.

Comment Qbot revient en force avec OneNote ?

Les attaquants derrière le cheval de Troie Qbot (aussi connu sous le nom de Quakbot) utilisent depuis longtemps des fichiers Word ou Excel avec des macros servant à télécharger et exécuter la charge malveillante.

Début d’année cyber : l’ambiance en soute n’est pas jouasse

On pourra toujours se rassurer – Coué, Coué, Coué – en lisant dans les derniers rapports de l’Anssi qu’il y aurait eu moins d’attaques en 2022 qu’en 2021, il n’empêche, de mémoire de vieux croûton, je n’ai jamais connu un tel début d’année.

Une tempête de rançongiciels s’abat sur les serveurs VMWare

Si cela semble en surprendre certains, le fait que les attaquants s’intéressent de près aux hyperviseurs VMWare ESXi n’est pas vraiment quelque chose de nouveau. Souvenez-vous l’été 2021, de nombreux opérateurs de rançongiciels s’en prenaient déjà aux serveurs VMWare [1], dans un but bien précis, gagner du temps en chiffrant « à la source » les serveurs virtuels des systèmes d’informations de leurs victimes. En 2022, le groupe derrière le rançongiciel LockBit avait d’ailleurs procédé ainsi lors de l’attaque ayant ciblé le CH Sud Francilien.  

Réflexions autour de la souveraineté

Dans un récent et excellent article de La Tribune[1], Marc Sztulman, conseiller régional d’Occitanie et délégué au Numérique pour tous, s’interroge sur ce que sont ou ne sont pas la souveraineté et la confiance, en particulier autour des notions de Cloud. À titre personnel, je n’avais même pas connaissance de la différence entre ces deux idées (confiance versus souveraineté) car – selon moi – elles se recouvrent totalement. Il semble tout de même important de revenir sur quelques concepts.    

Panorama de la cybermenace : que retenir du rapport de l’ANSSI ?

La semaine dernière, l’ANSSI publiait son panorama de la cybermenace 2022 [1]. Quels enseignements tirer pour nos SI de santé, des attaques observées en France l’an passé ?

Un mois de janvier comme un autre au pays de la cyber

La routine, vraiment la routine.

L’intégration de la Sécurité dans les Projets ou comment bien faire les choses dès le départ ?

Dans une précédente publication, Cybersécurité : l’enjeu de la Gouvernance (1), parue dans le Guide cyber-résilience APSSIS - Opus 6 (2), nous discutions de l’implémentation d’une gouvernance de Sécurité et du rôle du RSSI dans cette démarche. Nous avons pu voir que les qualités requises pour un RSSI sont nombreuses mais nous nous arrêterons aujourd’hui sur l’une d’entre elles : l’anticipation. La gestion des risques pour la Sécurité de l’information devrait, ou doit, être considérée dès la phase d’un nouveau projet informatique, quelle que soit sa nature (intégration d’une nouvelle solution, d’un nouvel équipement, une migration, etc.) C’est le principe de l’Intégration de la Sécurité dans les Projets (ISP), un pilier essentiel de l'approche de la « Security by Design ». Le principe est simple : bien faire les choses dès le départ. 

ChatGPT : le grand remplacement – ou pas

Incroyable, le nombre de vidéos qui fleurissent sur les réseaux sociaux – même BFM TV titre dessus pour vous expliquer que Google a quelques soucis à se faire, c’est dire. Passé les premières séances de jeu avec l’interface où l’on se prend à poser les questions les plus bizarres sur les sujets les plus divers. Il y a ce que ChatGPT fait, ce qu’il ne fait pas, ce qu’il peut faire et ce qu’il ne fera jamais, en tout cas dans sa version actuelle.

La certification HDS : une condition de validité des contrats informatiques

Le défaut de certification HDS peut coûter cher aux éditeurs de logiciel qui sont dans l’incapacité de démontrer la certification HDS de leur hébergeur, dès lors que la prestation offerte aux clients prévoit ou implique l’hébergement de données de santé. Une récente décision de la Cour d’appel de Nîmes (arrêt du 15 décembre 2022, n°21-01214) illustre cette situation.

ChatGPT à l’épreuve d’un test rigoureux

Bon, apparemment, tout le monde se marre entre la poire et le fromage en posant les questions les plus diverses à ChatGPT. Tout le monde sauf moi, et cela ne peut pas durer. J’ai donc décidé, moi aussi, de tester la bête, mais attention, pas n’importe comment : un test rigoureux, pas du tout orienté, basé sur un corpus de questions sélectionnées par un comité représentatif de moi-même, bref que du lourd. Allons-y.

FIN 7 : détecter et contrer un acteur important du cybercrime

Le groupe FIN7 est un groupe cybercriminel Russophone connu depuis 10 ans déjà, pour de nombreuses attaques, via le cheval de Troie bancaire Carbanak, qui lui a permis de dérober plusieurs millions de dollars à des banques, puis il a sévi dans le domaine de l’espionnage industriel et gouvernemental avant de se lancer dans le rançongiciel avec Darkside et collaborer avec d’autres acteurs bien connus du monde du rançongiciel tels que LockBit, Maze ou encore Revil.

Le bullshit à l’épreuve de la SSI – et inversement

Philosophons un peu en ce début de semaine.

2023 : Une nouvelle année sans incidents cyber

Pour cette nouvelle année, nous pouvons nous souhaiter santé, joie, rires, réussite, amour, plaisir, argent… Ce dont certains groupes d’attaquants disposent déjà ! Alors commençons peut-être par nous souhaiter une bonne santé pour…. Nos systèmes d’informations de santé !

2022 : bilan de l’année

L’année s’est achevée : 2022 restera comme l’année d’après (Covid) et surtout l’année « pendant » (l’explosion des attaques en crypto, tout le monde en aura pris sa part et pas seulement les hôpitaux). Petit bilan.

ChatGPT : le début de la fin de la cyber

Il est assez rare, dans la vie d’un ingénieur, de tomber sur un produit qui effraye autant, duquel on pense qu’il signe peut-être la fin des haricots.

Hôpitaux attaqués : le sujet fait causer mais les avis divergent

S’il y a encore quelques années, nous n’étions qu’une poignée d’acteurs passionnés à nous préoccuper des sujets de sécurité numérique en santé, l’importante médiatisation de chaque incident vécu par une structure de santé fait qu’aujourd’hui, tout le monde a un avis, de bons conseils et des solutions pour lutter contre ce fléau que sont les rançongiciels prenant en otage nos établissements de santé, mais dans les faits malheureusement, les attaquants arrivent toujours à compromettre les SI de santé de nos établissements.

Ma lettre au Père Noël 2022

Cher Père Noël, comme chaque année je t’écris car j’ai été encore hypersage, bien plus que les années précédentes. Non, ce n’est pas l’âge, enfin si quand même un peu.

Affaire Camaïeu : la galaxie DPO en émoi

Il y a une actualité qui empêche de dormir et qui fait le buzz dans les chaumières ces derniers temps, non ce n’est pas une histoire de ballon rond et de petit filet : c’est l’affaire Camaïeu.

Bâtir un Hôpital Numérique : un levier de performance

Développer de nouvelles pratiques médicales ou soignantes, investir dans les nouvelles technologies, repenser les flux et les organisations : la construction d’un nouvel hôpital ou sa rénovation sont autant d’opportunités d’anticiper et de favoriser une transformation digitale performante. Par Christophe Cantin, Directeur Conseil - WELIOM 

Hébergement de données de santé : quoi de neuf ?

À la date d’écriture du présent article, la phase de concertation d’un nouveau référentiel HDS (commenté dans un récent article[1]) est terminée depuis quelques jours ? Pour mémoire, ce référentiel définit les exigences de la certification s’imposant aux termes de l’article L1111-8 du Code de la santé publique à « toute personne qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données […] ». Dans le même temps, une version 2022 de la doctrine du numérique en santé a été mise en concertation[2] et a créé l’émoi chez ceux qui s’inquiètent de la suppression de l’exemption au régime relatif à l’hébergement de données de santé qui y figurait – sous conditions – pour les établissements d’un groupement hospitalier de territoire (GHT). L’objet du présent papier est d’éclairer le lecteur sur ce dernier sujet, du point de vue juridique d’abord, puis selon la vision opérationnelle du RSSI.  

ISO 27001 : prospectives et limites

Une norme ISO est un objet fascinant de réflexion, tant la pratique peut en modifier la vision. Un débutant ne vous parlera certainement pas de l’ISO de la même façon qu’un RSSI aguerri, un RSSI de la même façon qu’un consultant, etc. C’est bien toute la richesse du concept que d’évoluer en même temps que ses possibilités d’interprétation. Je souhaitais partager avec vous quelques réflexions autour de la 27001 – et il faut bien garder en mémoire que ces thèmes mêmes de réflexion et la façon de les traiter auront certainement changé dans un an ou deux

EHDS et réutilisation des données de santé : des cas d’usage concrets à l’essai

Le mois dernier, cinq cas d’usage ont été sélectionnés par la Commission européenne pour la version test de l’espace européen des données de santé (« EHDS ») s’agissant de « l’utilisation secondaire » des données de santé. Ces cas « pilotes » permettent d’apprécier plus concrètement les tenants et aboutissants de la proposition de règlement européen sur l’EHDS.

Cybercriminel : ça peut rapporter gros, mais ça peut coûter très cher !

Si la période est propice au mauvais temps et nous rappelle l’expression « il fait un temps à ne pas mettre un chien dehors », je crois qu’il en est de même pour les cybercriminels en dehors de la Russie.

Entrepôts de données de santé hospitaliers et données de vie réelle, quels constats ?

Si les registres (notamment du cancer) sont encadrés depuis près de 20 ans, ce n’est qu’il y a quelques années qu’un régime consacré aux Entrepôts de Données de Santé s’est esquissé, avant d’être encadré par le référentiel relatif aux Entrepôts de Données de Santé (applicable aux « responsables de traitements qui souhaitent, dans le cadre de leur mission d’intérêt public, réunir des données en vue de leur réutilisation »[1], les premiers concernés étant les établissements de santé.     

Les référentiels ISO, pas si simples

Il est de ces sujets qui paraissent anodins, tellement anodins que vous les voyez rarement évoqués en tant que tels dans une réunion d’huiles ou tout simplement d’experts.

La fin de la cyber ou les sept scénarios de l’apocalypse

Quelquefois, entre deux réunions avec moi-même ou à la sortie d’une énième conférence encore consacrée à ce que l’on sait déjà depuis des lustres, je me mets à rêvasser à des fins de partie, ENDS OF GAME dans la cyber. Il y a une petite vingtaine d’années, Guillaume Bigot s’était essayé à l’exercice lors du très remarqué Les Sept Scénarios de l’apocalypse, qui mêlait joyeusement guerre nucléaire, attaque bactériologique mondiale, et j’en passe. Tant qu’à faire, autant se lâcher.

La base de données médicale Claude Bernard obtient la certification ISO 13485

Déjà agréée par la Haute Autorité de Santé (HAS) et marquée dispositif CE classe I, la base de données sur les médicaments Claude Bernard renforce son niveau de conformité en étant désormais certifiée ISO 13485. Cette nouvelle certification ajoute une garantie supplémentaire à l’environnement de confiance et à la qualité de services délivrés par Claude Bernard à ses clients et partenaires. La certification ISO 13485 vient confirmer les exigences de qualité et de sécurité de la base de données médicale Claude Bernard  

Entrepôts de données dans le domaine de la santé, la check-list de la CNIL

Il y a un an, la CNIL publiait un référentiel relatif aux traitements de données à caractère personnel mis en œuvre à des fins de création d’entrepôts de données dans le domaine de la santé. Le 28 septembre dernier, l’autorité française de protection des données a publié une « check-list » visant à aider les responsables du traitement à vérifier facilement leur conformité audit référentiel. 

Quelle sobriété numérique possible à l'heure où le numérique se déploie à grande échelle ?

Le numérique (tous secteurs confondus) est aujourd’hui responsable de près de 3,5 % des émissions mondiales des gaz à effet de serre (1). A titre d’exemple : le nombre total de mails envoyés et reçus par jour dans le monde était de plus de 306 milliards en 2020. Selon l'organisation Carbon Literacy Project, un mail standard génère environ 4 g de CO2  et avec une pièce jointe volumineuse, il produit jusqu'à 50 g de CO2. Faites donc le calcul… Si les établissements de santé sont déjà fortement engagés dans une démarche « verte » pour réduire leur impact sur l’environnement (énergies renouvelables, rénovation de bâtiments moins énergivores, recyclage des déchets…), comment cela peut-il s’appliquer à l’utilisation du numérique ?