![dsih, le magazine de l\'hôpital orienté systèmes d\'informations](/img/2022/logo-dsih.png)
Vous êtes dans : Accueil > ehesp >
Ehesp134 documents taggés
La cyber et le théorème du « Popopopopo »
04 juillet 2023 | Cédric Cartau | TribuneJ’adore ce genre d’histoire, car non seulement elle constitue un cas d’école très utile aux futurs experts de la cyber (côté gouvernance, mais pas que), mais en plus l’analyse en mille-feuille démontre que le couillon de l’histoire n’est pas celui que l’on pointe du doigt à l’origine.
La cyber confrontée à la question des accès fournisseurs
27 juin 2023 | Cédric Cartau | TribuneImpossible d’être passé à côté, l’actualité de cette semaine concerne l’attaque cyber dont a été victime le CHU de Rennes.
Votre horoscope à l’ère de ChatGPT
12 juin 2023 | Cédric Cartau | TribuneEn dehors des atermoiements de la technosphère (dont la spécialité est de développer des léviathans incontrôlables et de s’en mordre les doigts ensuite), que va réellement changer ChatGPT (et tous les modèles d’IA en état de fonctionner ou à suivre) ? Petite analyse pas du tout orientée sur le modèle des horoscopes des revues de mamies septuagénaires abonnées au catalogue Blancheporte : travail, amour, argent, loisirs.
De l’assurance cyber comme biais managérial
06 juin 2023 | Cédric Cartau | TribuneEn dehors de la question de savoir si la cyber est assurable ou pas (vaste débat), si elle va le rester, si le Cloud (qui consiste à mettre toutes ses gonades mâles dans le même panier) est fondamentalement antinomique avec l’assurabilité cyber (qui suppose une répartition des risques), bref, en dehors de tous ces sujets de fond, il en est un qui paraît bête a priori : cela veut dire quoi s’assurer contre le risque cyber ?
SI de santé et cyber : et si en 2023 on arrêtait…
30 mai 2023 | Cédric Cartau | TribunePasser son temps à beugler avec le troupeau, c’est certes reposant, mais à la longue les neurones s’atrophient. C’est tellement plus drôle de poser les questions mêmes que tout le monde pense classées, archivées, réglées… et qui au final ne le sont pas forcément, ou pas totalement. En philo, c’est ce qu’on appelle une expérience de pensée. Personnellement j’adore, il faut juste ne pas avoir peur de sortir des âneries – mais c’est bien connu, les Gaulois n’ont peur que d’une seule chose, c’est que le ciel leur tombe sur la tête. Essayons un coup pour voir.
Management des SI de santé : le paradigme de la tulipe
16 mai 2023 | Cédric Cartau | TribuneVous ne connaissez certainement pas Pieter Wynants. Il organisa pourtant un important dîner chez lui le dimanche 1er février. Dîner au cours duquel étaient présents, parmi de nombreux invités de la ville, non seulement son cousin, mais aussi Geertruyt Schoudt, une riche veuve, ainsi que Jacob De Block, un teinturier.
Perte de données Doctolib, petits rappels RGPD
09 mai 2023 | Cédric Cartau | TribuneLa plateforme de RDV médicaux Doctolib a perdu des données médicales[1], en l’occurrence des milliers de données sensibles. Dans un mail envoyé aux professionnels de santé le 3 mai dernier, la plateforme fait mention d’un “incident technique” ayant conduit à l’effacement de certaines observations de suivi, comme les motifs de visite, les comptes-rendus d’examen et les conclusions effectués entre le mercredi 26 avril à 17h40 et le jeudi 27 avril 11h40.
ChatGPT : la voie étroite entre l’interdiction et l’adaptation
09 mai 2023 | Cédric Cartau | TribuneÀ chaque fois que j’écris un billet sur l’IA et ChatGPT, je me dis que c’est le dernier, que le sujet est bouclé, mais en fait non.
La cyber va bien, en fait plus que bien : hyperbien !
02 mai 2023 | Cédric Cartau | Tribune« En 2023, les mesures de protection cyber ont considérablement évolué pour répondre aux menaces en constante évolution. Les professionnels de la cybersécurité ont mis en place des mesures de protection plus avancées pour protéger les systèmes informatiques et les données sensibles contre les cyberattaques.
ChatGPT ou Le Bal des pleureuses
18 avril 2023 | Cédric Cartau | TribuneÀ moins d’être totalement allergique à l’informatique, il est difficile d’émettre un avis négatif sur le fait que le domaine est tout de même hyperintéressant. Innovations à tout va, concepts de haut niveau maniés à longueur de journée, sans parler des différentes couches où tout le monde peut facilement trouver chaussure à son pied. Le réseau vous branche : il y a. Le développement Objet vous fascine ? Il y a aussi. À moins que vous ne préfériez les langages fonctionnels de type Haskell ou Lisp ? Il y a encore. Les middlewares et les bases de données ? Les applications métiers et leurs liens avec les processus ? Il y a encore et encore. Bref, on peut s’y vautrer allègrement toute sa vie sans voir deux fois la même chose. Pour un technophile, c’est le nirvana total.
Les habilitations d’accès aux données médicales à l’ère des GHT – la vision RSSI/DPO
04 avril 2023 | Cédric Cartau | TribuneLa news a été diffusée par plusieurs médias spécialisés : le dossier patient (DP) de Pierre Palmade à l’AP-HP a été consulté à de multiples reprises par des personnels n’ayant rien à voir avec la prise en charge médicale de l’humoriste… voire travaillant dans l’un des établissements de l’AP-HP où il n’était pas hospitalisé. Il s’agit d’un accès indu au DP (ou de curiosité malsaine en langage courant). C’est illégal et c’est puni par la loi. Cela étant, le sujet est très complexe. Décryptage.
Du rififi chez tonton Google ?
28 mars 2023 | Cédric Cartau | TribuneLes séries TV fleuves vous ennuient ? Les histoires avec le méchant JR et le gentil Bobby Ewing vous font bâiller à vous en décrocher la mâchoire ? Essayez ChatGPT.
Le quiz annuel
21 mars 2023 | Cédric Cartau | TribuneÇa y est, c’est le printemps, il est largement temps de se changer les idées avec un petit quiz pas du tout orienté ni poil à gratter – pas mon genre. Une seule bonne réponse par question, on compte les points à la fin.
Un de plus, encore un de trop
14 mars 2023 | Cédric Cartau | TribuneImpossible d’être passé au travers tant l’info a fait le tour de l’actualité cyber : jeudi dernier le CHU de Brest était la victime d’une attaque cyber. Soyons clair : à ce stade, même si la communauté des RSSI hospitaliers dispose de plusieurs éléments techniques, impossible de divulguer quoi que ce soit dans un média ouvert sur ladite attaque pour des raisons évidentes de protection des SIH.
Cyber : les effets pervers de la fuite en avant perpétuelle
28 février 2023 | Cédric Cartau | TribuneUne des qualités premières pour prétendre à une carrière de RSSI, c’est de garder ses yeux d’enfant. C’est ce que l’on se disait récemment, mes 52 printemps et moi-même. Illustration.
Les théories du complot appliquées à la cyber
20 février 2023 | Cédric Cartau | TribuneRécemment, une discussion entre amis a doucement dérivé vers les théories complotistes.
Début d’année cyber : l’ambiance en soute n’est pas jouasse
13 février 2023 | Cédric Cartau | TribuneOn pourra toujours se rassurer – Coué, Coué, Coué – en lisant dans les derniers rapports de l’Anssi qu’il y aurait eu moins d’attaques en 2022 qu’en 2021, il n’empêche, de mémoire de vieux croûton, je n’ai jamais connu un tel début d’année.
Réflexions autour de la souveraineté
07 février 2023 | Cédric Cartau | TribuneDans un récent et excellent article de La Tribune[1], Marc Sztulman, conseiller régional d’Occitanie et délégué au Numérique pour tous, s’interroge sur ce que sont ou ne sont pas la souveraineté et la confiance, en particulier autour des notions de Cloud. À titre personnel, je n’avais même pas connaissance de la différence entre ces deux idées (confiance versus souveraineté) car – selon moi – elles se recouvrent totalement. Il semble tout de même important de revenir sur quelques concepts.
Un mois de janvier comme un autre au pays de la cyber
31 janvier 2023 | Cédric Cartau | TribuneLa routine, vraiment la routine.
ChatGPT : le grand remplacement – ou pas
24 janvier 2023 | Cédric Cartau | TribuneIncroyable, le nombre de vidéos qui fleurissent sur les réseaux sociaux – même BFM TV titre dessus pour vous expliquer que Google a quelques soucis à se faire, c’est dire. Passé les premières séances de jeu avec l’interface où l’on se prend à poser les questions les plus bizarres sur les sujets les plus divers. Il y a ce que ChatGPT fait, ce qu’il ne fait pas, ce qu’il peut faire et ce qu’il ne fera jamais, en tout cas dans sa version actuelle.
ChatGPT à l’épreuve d’un test rigoureux
17 janvier 2023 | Cédric Cartau | TribuneBon, apparemment, tout le monde se marre entre la poire et le fromage en posant les questions les plus diverses à ChatGPT. Tout le monde sauf moi, et cela ne peut pas durer. J’ai donc décidé, moi aussi, de tester la bête, mais attention, pas n’importe comment : un test rigoureux, pas du tout orienté, basé sur un corpus de questions sélectionnées par un comité représentatif de moi-même, bref que du lourd. Allons-y.
Le bullshit à l’épreuve de la SSI – et inversement
10 janvier 2023 | Cédric Cartau | TribunePhilosophons un peu en ce début de semaine.
2022 : bilan de l’année
03 janvier 2023 | Cédric Cartau | TribuneL’année s’est achevée : 2022 restera comme l’année d’après (Covid) et surtout l’année « pendant » (l’explosion des attaques en crypto, tout le monde en aura pris sa part et pas seulement les hôpitaux). Petit bilan.
ChatGPT : le début de la fin de la cyber
27 décembre 2022 | Cédric Cartau | TribuneIl est assez rare, dans la vie d’un ingénieur, de tomber sur un produit qui effraye autant, duquel on pense qu’il signe peut-être la fin des haricots.
Ma lettre au Père Noël 2022
19 décembre 2022 | Cédric Cartau | TribuneCher Père Noël, comme chaque année je t’écris car j’ai été encore hypersage, bien plus que les années précédentes. Non, ce n’est pas l’âge, enfin si quand même un peu.
Nouvel outil « Soins et territoires » : comment piloter la transformation de l’offre hospitalière en région
19 décembre 2022 | DGOS | CommuniquéAccessible sur le portail ScanSanté de l’ATIH depuis décembre 2022, « Soins et territoires » met à disposition des professionnels les données clés de chaque territoire sur les besoins et l’offre de soins. Cette application va permettre d’objectiver les discussions autour des projets de transformation de l’offre hospitalière entre responsables hospitaliers, élus, agences régionales de santé (ARS) et associations de patients.
Affaire Camaïeu : la galaxie DPO en émoi
13 décembre 2022 | Cédric Cartau | TribuneIl y a une actualité qui empêche de dormir et qui fait le buzz dans les chaumières ces derniers temps, non ce n’est pas une histoire de ballon rond et de petit filet : c’est l’affaire Camaïeu.
Hébergement de données de santé : quoi de neuf ?
06 décembre 2022 | Marguerite Brac de La Perrière & Cédric Cartau | TribuneÀ la date d’écriture du présent article, la phase de concertation d’un nouveau référentiel HDS (commenté dans un récent article[1]) est terminée depuis quelques jours ? Pour mémoire, ce référentiel définit les exigences de la certification s’imposant aux termes de l’article L1111-8 du Code de la santé publique à « toute personne qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données […] ». Dans le même temps, une version 2022 de la doctrine du numérique en santé a été mise en concertation[2] et a créé l’émoi chez ceux qui s’inquiètent de la suppression de l’exemption au régime relatif à l’hébergement de données de santé qui y figurait – sous conditions – pour les établissements d’un groupement hospitalier de territoire (GHT). L’objet du présent papier est d’éclairer le lecteur sur ce dernier sujet, du point de vue juridique d’abord, puis selon la vision opérationnelle du RSSI.
Pierre Thépot, Directeur Général du Groupe Hospitalier Littoral Atlantique, élu Président d’UniHA
05 décembre 2022 | UniHA | CommuniquéLes membres de l’Assemblée Générale d’UniHA ont procédé au renouvellement du conseil d’administration et porté Pierre Thépot, Directeur Général du Groupe Hospitalier Littoral Atlantique, à la présidence du GCS. Le mandat du nouveau conseil d’administration commencera le 2 janvier 2023.
ISO 27001 : prospectives et limites
29 novembre 2022 | Cédric Cartau | TribuneUne norme ISO est un objet fascinant de réflexion, tant la pratique peut en modifier la vision. Un débutant ne vous parlera certainement pas de l’ISO de la même façon qu’un RSSI aguerri, un RSSI de la même façon qu’un consultant, etc. C’est bien toute la richesse du concept que d’évoluer en même temps que ses possibilités d’interprétation. Je souhaitais partager avec vous quelques réflexions autour de la 27001 – et il faut bien garder en mémoire que ces thèmes mêmes de réflexion et la façon de les traiter auront certainement changé dans un an ou deux
Les référentiels ISO, pas si simples
22 novembre 2022 | Cédric Cartau | TribuneIl est de ces sujets qui paraissent anodins, tellement anodins que vous les voyez rarement évoqués en tant que tels dans une réunion d’huiles ou tout simplement d’experts.
La fin de la cyber ou les sept scénarios de l’apocalypse
15 novembre 2022 | Cédric Cartau | TribuneQuelquefois, entre deux réunions avec moi-même ou à la sortie d’une énième conférence encore consacrée à ce que l’on sait déjà depuis des lustres, je me mets à rêvasser à des fins de partie, ENDS OF GAME dans la cyber. Il y a une petite vingtaine d’années, Guillaume Bigot s’était essayé à l’exercice lors du très remarqué Les Sept Scénarios de l’apocalypse, qui mêlait joyeusement guerre nucléaire, attaque bactériologique mondiale, et j’en passe. Tant qu’à faire, autant se lâcher.
Analyse psy de la cyber : les RSSI sont tous dingos
08 novembre 2022 | Cédric Cartau | TribuneRécemment, je suis tombé sur une émission d’Affaires sensibles[1] consacrée à une affaire judiciaire célèbre mettant en jeu la pathologie psychiatrique d’une protagoniste : le syndrome de Münchhausen par procuration, SMPP pour les intimes. Petite explication en guise d’introduction : le syndrome de Münchhausen (SM) consiste à simuler une maladie plus ou moins grave pour s’attirer la sympathie de son entourage, alors que le SMPP consiste à prétendre qu’un proche (souvent un enfant) est affecté d’une maladie grave, ce qui le maintient dans un état de dépendance (il est fréquemment soumis à un traitement lourd de longue durée, voire incapacitant) tout en attirant la sympathie des proches pour le « soignant »[2][3] eu égard au (prétendu) calvaire qu’il endure.
« Si l’informatique est en panne, c’est le DSI qui ira devant le juge. »
02 novembre 2022 | Cédric Cartau | TribuneAutant le préciser tout de suite, il s’agit de la citation d’une formule que j’ai entendue récemment : je pensais que ce type d’imbécillité avait disparu des organisations modernes, mais en fait non. D’où le nécessaire décryptage, qui va aider plus d’un DSI et plus d’un RSSI. Et plus d’une MOA pour le même tarif. À partager largement, c’est cadeau.
Actualité SSI : Cnil, Microsoft et protection contre les attaques par mail
24 octobre 2022 | Cédric Cartau | TribuneUne fin d’octobre chargée, petite revue de presse/d’actualité/de réflexion/de ce que vous voudrez.
CNIL et mots de passe : dernière doctrine
20 octobre 2022 | Cédric Cartau | TribuneJe ne l’avais pas vue passer, mais dans sa délibération 2022-100 du 21 juillet[1] dernier, la CNIL nous a décrit son positionnement sur la question des mots de passe.
Gestion des annuaires, à la frontière de la SSI
18 octobre 2022 | Cédric Cartau | TribuneLe RSSI et le DPO sont souvent consultés pour des sujets bizarres, voire carrément étrangers à leur périmètre. Mais après tout, c’est le lot de pas mal de professions transverses, surtout dans le conseil.
La cyber dans la santé : la loi de Hanlon et les gorets
11 octobre 2022 | Cédric Cartau | TribuneJe n’avais pas prévu ce genre de billet, mais vu ce qui vient d’arriver la semaine dernière dans mon établissement, il m’a semblé être une bonne idée de le partager avec vous. 23 ans d’hôpital, dont 13 dans la cybersécurité, et je n’avais jamais vu cela. Je vous fais la version courte, car il m’a fallu plusieurs jours pour tout détricoter et reconstituer le fil de l’histoire, et déjà la version courte risque de finir par vous donner mal aux cheveux.
Quelle responsabilité juridique pour les établissements cyberattaqués ?
04 octobre 2022 | Cédric Cartau | TribuneBreaking news : une association de patients attaque le Centre hospitalier Sud francilien[1] (CHSF) quant à sa responsabilité dans le contexte de l’attaque cyber subie par l’établissement et la publication de données sensibles (entre autres, médicales) sur les réseaux par les pirates pour faire pression sur le paiement d’une rançon.
Anne Boleyn et le Cloud
27 septembre 2022 | Cédric Cartau | TribuneImaginez la scène : vous êtes à la recherche d’un nouveau véhicule (la poubelle dans laquelle vous roulez est au bout du bout, même le chien ne veut plus monter dedans tellement c’est moche) et vous tombez sur un concessionnaire aux dents éclatantes et à la cravate impeccable qui vous propose le modèle de vos rêves (V8 350 CV avec 0 émission de CO2). Seulement voilà, impossible de l’acheter, il faut passer en mode locatif avec renouvellement de véhicule tous les trois ans (c’est à la mode). Jusque-là, pourquoi pas ? Mais il y a une petite clause dans le contrat : vous êtes lié à vie au concessionnaire et à la marque, sans possibilité de vous dédire. Jusqu’à la fin des temps (ou en tout cas de votre vie), il faudra rapporter le modèle au bout de trois ans, en reprendre un neuf, avec toujours plus d’options, toujours plus cher, et impossible de se carapater. Chaud patate, n’est-ce pas ?
Cyber et pataphysique : quelques concepts utiles
20 septembre 2022 | Cédric Cartau | TribuneEn ces temps troublés, il convient de revenir aux bases, back to basic, les fondamentaux éternels nous sauveront des ténèbres de la cyber. Nous avions déjà remarqué que certains jeunots récemment débarqués dans la cyber manquaient de principes directeurs : petit florilège presque sérieux et pas du tout orienté, que nous conseillons donc en support de formation continue.
Rentrée cyber : une rentrée bizarre, très bizarre…
12 septembre 2022 | Cédric Cartau | TribuneLa rentrée 2022 aura été bizarre, vraiment bizarre.
Sécurité des SI : le syndrome Gorbatchev
06 septembre 2022 | Cédric Cartau | TribuneMikhaïl Gorbatchev, l’artisan de la perestroïka, nous a quittés il y a quelques jours et nous rappelle que l’Union soviétique s’est effondrée en 1989 après une série de soubresauts qui a notamment démarré par la chute du mur de Berlin.
Effacer une donnée médicale d’un patient ? Vraiment ?
19 juillet 2022 | Cédric Cartau | TribuneLes données médicales constituent une exception sur pas mal d’éléments du RGPD : pas de droit à l’opposition du recueil (on excepte la question de l’anonymat), peu de droit à la rectification. Mais il est une question qui revient de temps en temps et qui concerne la question de l’effacement des données médicales d’un patient (soit tout le dossier, soit un séjour en particulier). La question est tout sauf simple, d’autant qu’il existe pas mal de cas d’usage à tiroirs. Cet article n’a pas la prétention de l’exhaustivité, juste d’illustrer une question qui paraît simple mais qui, en réalité, est protéiforme.
RSSI (et DPO) sont-ils des bullshit jobs ?
12 juillet 2022 | Cédric Cartau | TribuneÇa y est, c’est fait, c’est dit, c’est écrit : il fallait bien que quelqu’un se coltine la question et vu qu’il n’y avait pas foule de volontaires, je m’y colle.
Certification HDS : quelle approche de l’activité 5 ?
05 juillet 2022 | Cédric Cartau | TribuneRécemment, un confrère m’a soumis le problème suivant : en manque de personnel et après une démission, sa DSI a fait appel à une SSII pour une prestation de DBA en mode « prêt de personnel », mais ladite SSII n’est pas certifiée HDS et encore moins sur son niveau 5 (N5). Le décret 2018-137[1] énonce pourtant dans l’article R. 1111-9 que : « Est considéré comme une activité d’hébergement de données de santé à caractère personnel sur support numérique au sens du II de l’article L. 1111-8 le fait d’assurer pour le compte du responsable de traitement […] : 5° L’administration et l’exploitation du système d’information contenant les données de santé. » Si on l’applique tel quel et sans discernement, non seulement la DSI est bloquée, mais la moindre entreprise qui effectue la télémaintenance d’un progiciel de santé doit détenir la certification N5. Autant dire que l’on arrête de faire fonctionner la quasi-totalité des SI de santé puisque très peu d’entreprises cochent la case.
2022 : bilan à mi-course
28 juin 2022 | Cédric Cartau | TribuneBientôt l’été, déjà une canicule au compteur, il est temps d’un petit bilan à mi-année.
RGPD en santé : les enjeux des cinq prochaines années
21 juin 2022 | Cédric Cartau | TribuneLe RGPD a démarré depuis désormais cinq ans (bon, en fait sept, mais on va rester sur la version simple), et globalement les établissements de santé ont pris le problème en charge. Avec des moyens souvent réduits du reste : on observe des effectifs de demi-ETP dans certains gros CHU qui laissent un peu rêveur : mais bon, au moins il y a quelqu’un pour s’occuper du machin.
Référentiel d’identification électronique – An 0
14 juin 2022 | Cédric Cartau | TribuneNous n’avions pas encore eu le temps de l’évoquer, mais en avril dernier l’ANS a publié un corpus documentaire qui a fait l’objet de pas mal de discussions entre les experts du secteur : le référentiel d’identification électronique[1].
Les plus lus
e-santé
- 11/10/2022 - GIP Centre-Val de Loire e-Santé - (45)
Chargé(e) déploiement des usages
- 11/10/2022 - GIP Centre Val de Loire e-santé - (45)
Référent en Identitovigilance
- 11/10/2022 - GIP Centre Val de Loire e-Santé - (45)
Ingénieur de production
- 19/09/2022 - GIP Centre-Val de Loire e-Santé - (45)
Chargé(e) d’accompagnement Ségur/ SI ESMS