Publicité en cours de chargement...

Publicité en cours de chargement...

Sous la plage, les octets

31 juil. 2017 - 12:49,
Tribune - Cédric Cartau
Cette première partie d’année a encore été riche en évènements…un petit coup d’œil dans le rétro avant le maillot.

Janvier, le gouvernement US demande aux ressortissants étrangers qui rentrent sur le territoire de fournir leurs comptes sur les réseaux sociaux (Facebook, linkedin, etc.). C’est facultatif, pour le moment…

Février : à force de protéger nos réseaux de l’extérieur, nous en venons à supprimer les mails entrants qui contiennent des pièces jointes chiffrées, car il n’est pas possible de les faire analyser par l’antivirus de la passerelle mail. Ca chouine côté utilisateurs, certains ont pris l’habitude d’échanger des données médicales nominatives (ce qui est illégal en France) par ce moyen technique. 

Mars : la CNIL anglaise (ICO) vient en effet d’infliger une amende de 200 000 £ à une société informatique indienne (HCA) qui envoyait des comptes-rendus médicaux dictés sous un format non chiffré, directement sur Internet. Une prune de 200 000 £, ça doit légèrement piquer les yeux du PDG de la boite, tout çà pour ne pas avoir coché la case « https » ou « TLS » sur les serveur d’échange, cela fait cher du clic. Ils sont nuls ces rosbifs : qu’ils viennent nous voir, nous on ne fait jamais çà, la preuve la CNIL n’a jamais condamné personne pour cela.

Avril : utilisation obligatoire du NIR comme identifiant dans les données des patients. Ceux qui ont été patients en revanche ce sont les hôpitaux : la CNIL n’a jamais mis que 39 ans pour valider un choix qui n’en est pas vraiment un du reste, parce qu’il n’y en a pas d’autre. 

Mai : plusieurs hôpitaux français victimes d’usurpation d’identité, des petits malins appellent des patients au nom de l’hôpital local, afin de récupérer des données d’identité : couverture mutuelle, état civil, etc. Quand on sait le temps que cela peut prendre, on se demande bien où est la rentabilité (pour les hackers) de l’opération de phoning.

Juin : lettre ouverte d’un RSSI (1) qui en a marre que l’on se paye sa tête, du fait de l’incurie générale des équipements connectés au regard des basiques de la sécurité informatique. Record de vue de l’année 2017, plus de 8000 lectures. Ce n’est pas fini, à la rentrée votre serviteur va relancer les fournisseurs, il y aura une suite.

Juillet : chronique d’une prise en main du RGPD à l’hôpital par votre serviteur. Ca avance, pas vite mais ça avance. Prochain épisode à la rentrée.

Une dernière pour la route : on me signale que le site www.indsante.fr (Institut National des Données de Santé, qui gère le fameux SNDS sur lequel j’ai déjà fait un article m’étonnant du simple usage login / password pour l’accès aux données) utilise dans sa page de garde…un lien vers Google Drive (lien « 28 juillet 2017 »). Il faut savoir que ce type de stockage externe est formellement déconseillé par le Ministère, que pas mal d’hôpitaux ont filtré GoogleDrive sur leurs pare-feu et que le lien en question pointe vers un fichier pdf, on se demande bien pourquoi il n’a pas été stocké sur le site de l’INDS.

Bon bronzage à toutes et tous.

 


(1) /article/2524/lettre-ouverte-d-un-rssi-excede-a-certains-fabricants-de-systemes-embarques-non-proteges.html 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé

Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé

07 juil. 2025 - 23:57,

Actualité

- DSIH

Le ministre chargé de la Santé et de l’Accès aux soins, Yannick Neuder, a réuni ce 1er juillet un Comité stratégique exceptionnel pour présenter les premières étapes de la stratégie nationale sur l’intelligence artificielle (IA) et l’utilisation secondaire des données de santé. Objectif : structurer...

Illustration Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

01 juil. 2025 - 00:00,

Actualité

- DSIH

La 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...

Illustration Le 8ème opus des guides cyber-résilience de l’APSSIS est en ligne !

Le 8ème opus des guides cyber-résilience de l’APSSIS est en ligne !

30 juin 2025 - 20:50,

Communiqué

- APSSIS

L’APSSIS a le plaisir d’annoncer la publication du 8ème opus des Guides Cyber-résilience à destination des professionnels du secteur. Conçus et élaborés par Cédric Cartau, ces guides se veulent à la fois accessibles, techniques et pratiques.

La cyber et les sacs de luxe

30 juin 2025 - 20:44,

Tribune

-
Cédric Cartau

C’est la fin du premier semestre, il est temps de faire un bilan à mi-course de l’année 2025. Et il s’en est passé, des choses, pas forcément douces et roses.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.