Publicité en cours de chargement...
Été, bilan chaud, chaud, chaud !
En juin, la Cnil prononçait une sanction pour défaut de protection d’un site Web à l’encontre de la société Sergic. Comptes des clients accessibles sans authentification préalable, pièces administratives (copies de cartes d’identité, de cartes Vitale, etc.) entièrement accessibles, bug connu de l’entreprise depuis plus de six mois, bref, ils ont légèrement cherché la boîte à gifles chez Sergic. D’autant que les éléments susnommés semblaient être conservés ad vitam æternam. 400 000 euros d’amende, et pan !
En juillet, là on rigole moins : c’est le tour d’un hôpital aux Pays-Bas de se voir infliger une amende de la Cnil locale pour défaut de protection des dossiers patients informatisés. Motif : le DPI d’une célébrité de la téléréalité nationale a été consulté par 85 employés de l’hôpital, une bonne partie de ces agents n’étant en rien impliqués dans la prise en charge du patient en question. Je dis que l’on rigole moins, parce qu’il n’est pas certain que le même cas ne se produise chez nous. Certes, le cas d’un VIP est particulier, la curiosité malsaine étant beaucoup plus forte que pour un patient lambda – ce qui n’est en rien une excuse –, et dans cette dernière hypothèse les indiscrétions toucheraient beaucoup moins d’agents potentiels – ce qui n’est en rien une satisfaction. Mais, clairement, le niveau de prise de conscience de la confidentialité des données patients frise le zéro absolu dans pas mal d’endroits, situation aggravée par le fait qu’il n’y a presque jamais de sanctions prises à l’encontre des agents indélicats. De ce que j’ai pu voir, seuls les hôpitaux psychiatriques ont une réelle culture de la confidentialité, ce qui s’explique évidemment par la sensibilité particulière des données qu’ils traitent. Mais la consultation du dossier médical d’un agent hospitalisé dans une structure par ses collègues, du DPI d’un patient par un agent qui se trouve être son voisin de palier ou tout simplement d’un patient par un agent qui se trouve être un parent – son père, sa mère, son conjoint ; eh oui ! c’est interdit – sont légion. Pour le moment, la seule disposition qui fonctionne pour les VIP est de rendre le dossier totalement anonyme (appeler le VIP par un autre nom bidon dans le DPI), mais, pour changer cet état de fait, il va falloir taper une bonne fois pour toutes et faire un exemple.
En août, les 120 établissements du groupe Ramsay étaient victimes d’une attaque par cryptolocker. Il y a eu pas mal de buzz sur ce sujet, et l’on ne peut que souhaiter à la DSI du groupe de recouvrer rapidement la disponibilité des applications les plus sensibles. Ce qui interroge, c’est que l’on n’a aucun détail : par quel vecteur est arrivé le cryptolocker (messagerie, clé USB ?), pourquoi tout le SI semble avoir été compromis (en principe, ce sont surtout les serveurs de fichiers et la messagerie qui sont touchés), pourquoi – alors que les articles de presse mentionnent un arrêt quasi total du SI – la direction du groupe communique sur le fait qu’il n’y a pas d’impact patient (si cela devait arriver dans un gros établissement français, ce serait une vraie catastrophe avec, dans certains cas, des déroutements de patients vers d’autres structures) ? Bref, on ne sait pas grand-chose, et c’est bien dommage parce que davantage d’informations permettraient aux autres RSSI de communiquer auprès de leurs instances respectives pour accroître le préventif.
Ah oui ! j’allais oublier : le 22 août dernier, on apprenait que des petits malins s’en étaient pris au fonds de pension de l’armée US par cyberattaque. Fallait oser tout de même, c’est un coup à se retrouver à Guantanamo.
Sinon, dans la catégorie des découvertes de l’été, je me permets de vous en signaler au moins deux. D’abord, l’excellente série de podcasts de No Limit Secu sur l’histoire du droit numérique, avec Marc-Antoine Ledieu en guest star. On part de loin dans le temps (quasi la préhistoire), mais même si les textes mentionnés et débattus sont connus de tous, la mise en perspective historique est très bien faite, et surtout Marc-Antoine Ledieu est extrêmement didactique. À écouter sans modération. Et, pour terminer, l’ouvrage Ubérisons l’État avant que d’autres ne s’en chargent, de Clément Bertholet et Laura Létourneau : une réflexion sur l’avenir des services publics, que l’on peut lire en gardant en tête ce qui pourra ou non s’appliquer au monde de la santé.
Souriez, c’est la rentrée.
Avez-vous apprécié ce contenu ?
A lire également.

En direct de SantExpo | DALVIA Santé en action : retour d'expérience sur l’IA générative 100% française au service de la santé
21 mai 2025 - 09:14,
Actualité
- Par Pauline NicolasCette nouvelle agora permet de revenir sur les évolutions d’une solution présentée il y a tout juste un an dans le cadre de l’édition 2024 de SantExpo : DALVIA Santé. Des travaux menés autour d’une nouvelle synthèse médicale dans une approche de co-construction au retour d’expérience d’un médecin sp...

SantExpo 2025 | En avant-première : la nouvelle solution de transcription de consultation par l'IA souveraine et éthique signée La Poste Santé & Autonomie
20 mai 2025 - 16:30,
Actualité
- Par Pauline Nicolas, DSIHRemettre l’échange entre le patient et le médecin au centre de la prise en charge. Telle est l’ambition de DALVIA Vox, la nouvelle solution souveraine de reconnaissance vocale et de retranscription basée sur l’IA signée La Poste Santé & Autonomie. Présentation, en direct de cette 59ème édition de Sa...

En direct de Santexpo - Numih France, une nouvelle identité pour MipihSIB et une ouverture à l’international
20 mai 2025 - 16:15,
Actualité
- Damien Dubois, DSIHÀ l’occasion du premier jour de Santexpo 2025, le tout nouveau groupement Numih France a présenté ses nouvelles ambitions, en France, avec le plan Métamorph’OSE, et à l’international, avec un partenariat au Maroc.

Les innovations de l’application Chimio
20 mai 2025 - 16:00,
Communiqué
- Computer EngineeringAvec la possibilité de mettre en place un « Chimio de territoire » et l’utilisation de la réalité augmentée dans la préparation des poches de chimiothérapie, Computer Engineering propose des réponses globales et sécurisées aux services d’oncologie, quelle que soit la configuration des sites.