Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Été, bilan chaud, chaud, chaud !

03 sept. 2019 - 10:43,
Tribune - Cédric Cartau
Ça y est, c’est l’odeur des cartables neufs, des Bic sous blister et des chaussures toutes neuves qui font mal aux petons : il est temps de faire le bilan de l’été. Parce qu’il n’y a pas eu que la canicule, fallait se tenir un minimum informé.

En juin, la Cnil prononçait une sanction pour défaut de protection d’un site Web à l’encontre de la société Sergic. Comptes des clients accessibles sans authentification préalable, pièces administratives (copies de cartes d’identité, de cartes Vitale, etc.) entièrement accessibles, bug connu de l’entreprise depuis plus de six mois, bref, ils ont légèrement cherché la boîte à gifles chez Sergic. D’autant que les éléments susnommés semblaient être conservés ad vitam æternam. 400 000 euros d’amende, et pan !

En juillet, là on rigole moins : c’est le tour d’un hôpital aux Pays-Bas de se voir infliger une amende de la Cnil locale pour défaut de protection des dossiers patients informatisés. Motif : le DPI d’une célébrité de la téléréalité nationale a été consulté par 85 employés de l’hôpital, une bonne partie de ces agents n’étant en rien impliqués dans la prise en charge du patient en question. Je dis que l’on rigole moins, parce qu’il n’est pas certain que le même cas ne se produise chez nous. Certes, le cas d’un VIP est particulier, la curiosité malsaine étant beaucoup plus forte que pour un patient lambda – ce qui n’est en rien une excuse –, et dans cette dernière hypothèse les indiscrétions toucheraient beaucoup moins d’agents potentiels – ce qui n’est en rien une satisfaction. Mais, clairement, le niveau de prise de conscience de la confidentialité des données patients frise le zéro absolu dans pas mal d’endroits, situation aggravée par le fait qu’il n’y a presque jamais de sanctions prises à l’encontre des agents indélicats. De ce que j’ai pu voir, seuls les hôpitaux psychiatriques ont une réelle culture de la confidentialité, ce qui s’explique évidemment par la sensibilité particulière des données qu’ils traitent. Mais la consultation du dossier médical d’un agent hospitalisé dans une structure par ses collègues, du DPI d’un patient par un agent qui se trouve être son voisin de palier ou tout simplement d’un patient par un agent qui se trouve être un parent – son père, sa mère, son conjoint ; eh oui ! c’est interdit – sont légion. Pour le moment, la seule disposition qui fonctionne pour les VIP est de rendre le dossier totalement anonyme (appeler le VIP par un autre nom bidon dans le DPI), mais, pour changer cet état de fait, il va falloir taper une bonne fois pour toutes et faire un exemple.

En août, les 120 établissements du groupe Ramsay étaient victimes d’une attaque par cryptolocker. Il y a eu pas mal de buzz sur ce sujet, et l’on ne peut que souhaiter à la DSI du groupe de recouvrer rapidement la disponibilité des applications les plus sensibles. Ce qui interroge, c’est que l’on n’a aucun détail : par quel vecteur est arrivé le cryptolocker (messagerie, clé USB ?), pourquoi tout le SI semble avoir été compromis (en principe, ce sont surtout les serveurs de fichiers et la messagerie qui sont touchés), pourquoi – alors que les articles de presse mentionnent un arrêt quasi total du SI – la direction du groupe communique sur le fait qu’il n’y a pas d’impact patient (si cela devait arriver dans un gros établissement français, ce serait une vraie catastrophe avec, dans certains cas, des déroutements de patients vers d’autres structures) ? Bref, on ne sait pas grand-chose, et c’est bien dommage parce que davantage d’informations permettraient aux autres RSSI de communiquer auprès de leurs instances respectives pour accroître le préventif.

Ah oui ! j’allais oublier : le 22 août dernier, on apprenait que des petits malins s’en étaient pris au fonds de pension de l’armée US par cyberattaque. Fallait oser tout de même, c’est un coup à se retrouver à Guantanamo.

Sinon, dans la catégorie des découvertes de l’été, je me permets de vous en signaler au moins deux. D’abord, l’excellente série de podcasts de No Limit Secu sur l’histoire du droit numérique, avec Marc-Antoine Ledieu en guest star. On part de loin dans le temps (quasi la préhistoire), mais même si les textes mentionnés et débattus sont connus de tous, la mise en perspective historique est très bien faite, et surtout Marc-Antoine Ledieu est extrêmement didactique. À écouter sans modération. Et, pour terminer, l’ouvrage Ubérisons l’État avant que d’autres ne s’en chargent, de Clément Bertholet et Laura Létourneau : une réflexion sur l’avenir des services publics, que l’on peut lire en gardant en tête ce qui pourra ou non s’appliquer au monde de la santé.

Souriez, c’est la rentrée.

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE

Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE

09 mai 2025 - 16:39,

Actualité

- DSIH

Le programme CaRE franchit une étape clé. Moins d’un an après le lancement de son premier appel à financement dédié à la sécurisation des annuaires techniques et de l’exposition sur Internet, la direction du programme annonce la validation du premier dossier ayant atteint l’ensemble des objectifs fi...

Illustration Ce que nous enseigne la mégapanne électrique dans la péninsule ibérique

Ce que nous enseigne la mégapanne électrique dans la péninsule ibérique

05 mai 2025 - 23:11,

Tribune

-
Cédric Cartau

Impossible de l’avoir ratée, la mégapanne électrique chez nos amis espagnols et portugais. Cet incident est riche d’enseignements, et force est de constater qu’il n’y a pas que des mauvaises nouvelles. D’abord, selon nos informations à ce jour, il n’y a eu aucune victime : c’est une bonne nouvelle.

Illustration Un hôpital, sous-traitant, sanctionné pour ne pas avoir déclaré les sous-traitants ultérieurs

Un hôpital, sous-traitant, sanctionné pour ne pas avoir déclaré les sous-traitants ultérieurs

02 mai 2025 - 16:13,

Tribune

- Alexandre Fievee, Gaétan Dufoulon et Alice Robert de Derriennic Associés

Par décision du 10 avril 2025 [1], l’autorité de contrôle espagnole a infligé une amende de 500.000 euros à un hôpital qui avait recruté des sous-traitants ultérieurs sans en informer préalablement le responsable du traitement.

Illustration Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée

Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée

24 avril 2025 - 15:14,

Actualité

- DSIH

La Délégation au numérique en santé (DNS) publie le premier rapport d’activité de la Plateforme d’éthicovigilance du numérique en santé, un dispositif inédit lancé fin 2023 pour recueillir les signalements d’usagers et de professionnels confrontés à des enjeux éthiques liés aux technologies de santé...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.