L’un des rôles de l’APSSIS est d’analyser l’évolution des pratiques numérique en santé.

En 2014, l’association a réalisé le premier vadémécum des objets connectés et en 2016, une étude sur le rapport de la génération Z au numérique et aux données de santé à caractère personnel qui rassemble expertise de professionnels du secteur et analyse de données. Suivront en 2019 et 2020 l'Ouvrage collectif des RSSI de Santé et les Guides Cyber-résilence rédigés par Cédric Cartau.

Guide Cyber-résilience - Opus 1 - Les mots de passe

L’APSSIS a le plaisir d’annoncer la première publication d’une série de plusieurs Guides à destination des professionnels du secteur. Conçus et élaborés par Cédric Cartau, RSSI/DPO du CHU de Nantes et Vice-président de l’APSSIS, ces guides se veulent à la fois accessibles, techniques et pratiques. Le premier opus traite d’un sujet qui anime régulièrement les discussions des RSSI, des DSI et des chefs de projet : les mots de passe.

13 chapitres, des exemples concrets et des pistes de réflexion

123456, coucou, password… : malgré les conseils et campagnes d’information et de sensibilisation, la liste des mots de passe les plus utilisés en France en 2019 évolue peu. Depuis 2016, 123456 reste le mot de passe le plus utilisé en France et dans le monde (cf. comparatif). A la question, donneriez-vous spontanément votre mot de passe, la réponse est non et pourtant en quelques questions basiques, un journaliste arrive à le deviner (cf : vidéo) …  Si nous sommes, semble-t-il, peu disciplinés dans la sphère privée, qu’en est-il dans l’environnement professionnel ?

Pour Cédric Cartau : « Au-delà des ouvrages de fond très nombreux dans le domaine de l’IT, il est des questions auxquelles nous sommes confrontées tous les jours : Faut-il contraindre les utilisateurs à changer régulièrement leurs mots de passe ? Quelle fréquence de changement ? Où les stocker de façon sécurisée ? ». Partant du constat qu’il existe curieusement peu de publications visant à faire le point sur tous ces aspects de terrain, Cédric Cartau a tenté de compiler, dans une publication volontairement compacte, accessible et pratique, l’ensemble de ces sujets avec un objectif triple, souligne-t-il, « servir de guide de référence aux professionnels du secteur, apporter des témoignages d’experts reconnus et faire évoluer cette présente publication lors des changements techniques majeurs. »

Des guides numériques en libre accès

Avec le soutien de l’APSSIS, ce premier ouvrage est publié sous licence Creative Common, ce qui permet sa libre diffusion, copie et réutilisation à des fins non-commerciales. Un deuxième guide est prévu dans les prochains mois. Il traitera quant à lui des dispositifs de cyber résilience face à la menace croissante des cryptovirus et des malwares. Les thématiques des guides suivants sont à l’étude.

Télécharger le guide

Ouvrage collectif SSI Santé

Premier Ouvrage collectif dédié à la sécurité des systèmes d’information de santé, produit par l’APSSIS, avec le support de l’ASIP Santé, et grâce à la bienveillance et à la passion qui animent cet écosystème !

Imaginé en 2016, planifié en 2017, produit entre mars et décembre 2018, cet Ouvrage collectif APSSIS réunit plus de 40 productions.

La rédaction d’articles et de retours d’expériences a été proposée à un large panel de Professionnels de la SSI Santé. L’objectif était de donner la parole au terrain, par la plume de celles et ceux qui « exercent la SSI », qui mettent en œuvre les principes de la cybersécurité au cœur des organisations, tant sur le volet « technique » que sur le volet « politique » et qui connaissent succès et échecs, facilités et difficultés, joies et doutes, mais sont toujours accompagnés par la passion.

L’ouvrage est organisé en 7 thématiques : Normes et référentiels, Gouvernance de la SSI Santé, Technologies de sécurité, RGPD et cybersécurité, Processus et procédures, Conformité et audits, et Prospective.
Les articles de nos auteurs ont été rassemblés par thématique, afin de proposer une lisibilité agréable et fluide.

2019 est une année importante pour la sécurité des SI de santé. Les nouvelles organisations territoriales génèrent de croissantes demandes de partage, de mobilité et d’accès permanents aux données de santé. Les architectures techniques et logicielles, les solutions d’interopérabilité, les réseaux d’échanges, les outils de sécurité et tous les composants techniques, logiciels et humains qui collectent et manipulent ces données doivent être sûrs, robustes, en plus de se conformer aux lois, instructions et bonnes pratiques connues.

Le cheminement des SI de santé vers l’hyper connexion, les mettant au centre de systèmes exogènes multiples – IoT, monitoring et supervision distants des patients, IA spécialisées, systèmes régaliens – doit positionner leur sécurité et leur conformité au top des priorités. C’est l’obligation portée par le système de santé, au bénéfice de la confiance numérique et du bien-être des patients et des professionnels de santé usagers !

L’APSSIS est heureuse d’avoir pu porter ce projet, et de proposer ainsi à la communauté un large panel d’analyses issues du terrain, au plus près des réalités quotidiennes !

Télécharger l'Ouvrage au format livret

Télécharger l'Ouvrage au format PDF

Etude sur le rapport de la génération Z au numérique et aux données de santé à caractère personnel

Confidentialité des données : le deal

Le service proposé, si possible gratuit, contre mes données personnelles.

Avec trois adolescents à la maison, le sujet du numérique prend souvent sa part dans les échanges familiaux. Chez nous, le choix de la liberté numérique a été acté depuis longtemps. Chacun dispose d’un PC librement connecté à Internet, d’un smartphone, de comptes Facebook, Twitter, Instagram et Snapchat, entre autres. Des applications de quantified-self accompagnent les activités sportives et parfois les phases de « régime alimentaire ». En contrepartie de cette liberté, ce sont les principes d’échanges, de pédagogie et de communication qui régulent les usages. Notre métier dans les technologies numériques nous permet de disposer d’un argumentaire solide et d’offrir à nos ados la cartographie des risques de la toile.

C’est lors des séquences d’échanges que j’ai rapidement fait le constat d’une certaine légèreté relative aux données produites sur Internet, qu’il s’agisse de photos, de vidéos, de textes ou de rapides commentaires. Ce que je croyais être un déficit de conscience n’est en réalité qu’un deal assumé entre un service proposé et son alimentation en données diverses. A la question : et si l’usage des objets connectés de santé et applications associées permettait aux compagnies d’assurances et aux mutuelles d’appliquer un bonus / malus tarifaire en fonction des données de comportement récoltées via les applications « sportives » ou « nutritives » ? La réponse est directe : quoi de plus normal. Si je prends soin de moi, il est logique que je contribue de façon minorée au système de soins, versus un assuré qui se laisse aller. Dont acte. Les assureurs qui se lancent dans cette voie auront donc des clients dociles. A la question : quid des données déposées durant des années sur les réseaux sociaux et autres plates-formes et qui constitueront, dans un futur proche, un « CV numérique » détaillé ? La réponse est à nouveau claire : à chacun de faire attention aux traces laissées, « il y aura une appli pour ça » et enfin, cette notion de transparence assumée. Après tout, chaque individu aura un passé ou « passif » sur le Web, et les comportements de l’adolescence, sauf excès manifeste, n’auront que peu d’impact sur l’entrée dans la vie professionnelle. Ces débats sont sans fin et la façon de penser de la nouvelle génération, baignée dans le numérique, transforme notre rapport assez traditionnel et conservateur, à la notion d’intimité, celle-ci devenant relative.

En mai 2015, souhaitant aller plus loin et étendre la discussion à un panel plus important d’adolescents, j’ai demandé au Lycée Robert Garnier de la Ferté-Bernard de m’accueillir, proposant de délivrer huit séquences de sensibilisation à la cybersécurité. En contrepartie, les étudiants ont accepté de répondre à un questionnaire de seize items, devant permettre de mesurer leur sensibilité à la confidentialité des données personnelles en général et de leurs données de santé en particulier. Je tiens à remercier le Lycée Robert Garnier, ses élèves, ses enseignants et son Proviseur adjoint, Monsieur Jean-Clovis POUNGUI, pour la qualité de leur accueil et de leur intérêt pour cette initiative de l’APSSIS.

C’est le résultat de ce projet qui est proposé dans ce document. Une fois les données recueillies traitées et mises en forme, nous avons demandé à des experts d’en prendre connaissance et de proposer leur analyse des résultats. Qu’ils soient remerciés de leur disponibilité.

L’APSSIS inscrit son action dans le processus d’acculturation de notre jeunesse, d’ores et déjà usagers d’un système de santé en pleine mutation technologique. Les conclusions de cette étude doivent nourrir notre réflexion et apporter quelques paramètres issus du réel à la conception traditionnelle que nous avons de la confidentialité. Il semble que le deal sera simple : la mise à disposition des données est par principe acquise, en fonction du bénéfice qu’apportera l’application collectrice. Nous serons tracés, géolocalisés et nos données intimes seront agrégées par des plates-formes privées, mais nous serons d’accord, car le retour sur investissement nous sera favorable. Il est également certain que la nouvelle génération prendra conscience de la valeur de ses données personnelles et décidera de les monnayer... Après tout, si la matière ce sont les données, ne serait-il pas légitime de rémunérer leur production ?

Vincent TRELY

Télécharger l'étude

Les objets connectés envahissent le monde !

Vadémécum des objets connectés

Comment l’APSSIS ne pouvait-elle pas s’y intéresser ? Et surtout, quelle valeur pouvait-elle apporter ?

L’APSSIS met en téléchargement libre le premier « Vade-Mecum des Objets Connectés ».
Il a été réalisé avec la seule ambition d’informer, de sensibiliser, de « faire réfléchir ».
Il propose une large vue sur ces fameux objets, il renseigne sur les usages et les ressentis des usagers, des médecins et des experts, il aborde la réglementation en vigueur et enfin, donne la parole à de fins analystes qui ont eu la gentillesse d’accepter notre proposition de participer à ce vade-mecum et d’apporter leur pierre à l’édifice.
Plus de 120 objets commentés, une dizaine d’articles d’Experts, des chiffres, statistiques et tendances & le contexte juridique

Télécharger l'étude

L’APSSIS et le GCS TéléSanté Centre mettent à disposition un outil d’analyse des risques éprouvé.

L’analyse des risques liés au système d’information, qu’elle concerne les processus logiciels, les infrastructures techniques ou l’organisation, est une exigence préalable à la mise en œuvre d’une politique de sécurité adaptée. Les Etablissements de Santé l’ont bien intégré mais ne disposent pas d’outil standard, si ce n’est l’usage des méthodes EBIOS ou MEHARI, qu’il convient alors de simplifier et d’adapter aux contextes.

Forts de ce constat, l’APSSIS et le GCS TéléSanté Centre ont développé depuis 2013 un outil d’analyse des risques qui se veut simple d’usage. Testé auprès d’une soixantaine de Responsables Informatique et / ou Sécurité des SI, le QERSI-S (Questionnaire d’Evaluation des Risques pour le Système d’Information de Santé) constitue une première réponse aux besoins exprimés par les Etablissements. Utilisable lors de l’initiation d’un projet ou pour évaluer un processus existant, il permet également de répondre aux exigences de base du programme Hôpital Numérique.

Interrogés sur leur travail coopératif, Auriane LEMESLE, RSSI Régionale au GCS TéléSanté Centre (www.sante-centre.fr), et Vincent TRELY, Président de l’APSSIS (www.apssis.com), précisent : « Il s’agit d’un outil pragmatique, simple d’usage, et permettant de qualifier les risques liés à un projet SI ou à un processus existant. Le QERSI-S est adapté à la majorité des projets et process des SIH, même si certains gros projets nécessiteront une analyse plus fine. La soixantaine de RSI / RSSI l’ayant testé lors de sessions de formation l’a trouvé compréhensible, rapide et efficace. C’est ce qui nous a décidé à le mettre en libre service. »

Vincent TRELY précise : « Ce n’est pas un outil « institutionnel » et il a vocation à être critiqué, amendé pour aboutir à une version 2, suite aux retours que nous aurons pu recueillir des utilisateurs. Mais il a le mérite d’exister et d’avoir évolué suite aux multiples ateliers au cours duquel il a été utilisé, pour analyser des processus tels le circuit du médicament, le management du bloc opératoire, du laboratoire, de la PUI, la GAM, la GEF, le management des RH... ». Christian BLANCHETIERE, directeur de projets, dont le GCS est membre de l’APSSIS, se félicite de cette collaboration : « Nous proposons le QERSI-S aux Adhérents du GCS TéléSanté Centre depuis plus d’un an lors de formations. L’apport de l’APSSIS, qui l’a décliné lors de ses séminaires de formation au rôle de Référent SSI Santé, a été déterminant pour l’amener à maturité. Un travail commun nous a permis de le finaliser et c’est tout naturellement que nous sommes tombés d’accord pour le mettre gratuitement à la disposition de l’ensemble des Etablissements, pour ce qu’il est, en toute simplicité ».

N’hésitez pas à proposer des améliorations de l’outil via le formulaire dédié sous le lien de téléchargement.

Télécharger l'outil d'analyse des risques