Publications, Enquêtes, Etudes
L’un des rôles de l’APSSIS est d’analyser l’évolution des pratiques numérique en santé.
En 2014, l’association a réalisé le premier vadémécum des objets connectés et en 2016, une étude sur le rapport de la génération Z au numérique et aux données de santé à caractère personnel qui rassemble expertise de professionnels du secteur et analyse de données. Suivront en 2019 et 2020 l'Ouvrage collectif des RSSI de Santé et les Guides Cyber-résilence rédigés par Cédric Cartau.
Guide Cyber-résilience - Opus 4 - La sécurisation du Cloud
L’APSSIS a le plaisir d’annoncer la quatrième publication d’une série de plusieurs Guides à destination des professionnels du secteur. Conçus et élaborés par Cédric Cartau, RSSI/DPO du CHU de Nantes et Vice-président de l’APSSIS, ces guides se veulent à la fois accessibles, techniques et pratiques. Ce quatrième opus traite d’un sujet d'actualité : La sécurisation du cloud.
Vous y retrouverez plusieurs approches métiers et contributions qui constituent des témoignages précieux. Que ces visions ne soient pas toutes alignées, qu’elles abordent le sujet par différents angles d’attaques, qu’elles ne posent pas les mêmes questions et ne proposent pas les mêmes pistes de solutions est exactement l’objectif du présent guide !
Bonne lecture.
Des guides numériques en libre accès
Avec le soutien de l’APSSIS, ce troisième ouvrage est publié sous licence Creative Common, ce qui permet sa libre diffusion, copie et réutilisation à des fins non-commerciales. Un quatrième guide est prévu dans les prochains mois.
Guide Cyber-résilience - Opus 3 - Les habilitations d'accès aux données
L’APSSIS a le plaisir d’annoncer la troisième publication d’une série de plusieurs Guides à destination des professionnels du secteur. Conçus et élaborés par Cédric Cartau, RSSI/DPO du CHU de Nantes et Vice-président de l’APSSIS, ces guides se veulent à la fois accessibles, techniques et pratiques. Ce troisième opus traite d’un sujet critique : Les habilitations d'accès aux données.
Informatiser un processus métier revient, stricto sensu, à automatiser le traitement des données, ce qui conduit à traiter plus de données, plus vite, pour le bénéfice de plus de clients / usagers, et accessibles à plus de monde en interne / externe.
Or, quand les données des établissements n’étaient physiquement disponibles que sous un format papier, à de rares exceptions, les fuites et les problématiques d’accès (qui peut voir quoi, qui peut modifier quoi) étaient quasi inexistantes. Avec l’informatisation et surtout l’interconnexion des réseaux (le Web entre autres), la question de l’accès devient plus prégnante.
Que dans une PME de 10 personnes, tout le monde ait accès aux données client (la GRC, Gestion de la Relation Commerciale) ne choquera personne : après tout, il faut bien faire tourner l’établissement. Que dans cette même PME, tous les employés aient accès aux données RH de tout le monde posera plus de problèmes : il s’agit de données sensibles, et l’employé X n’a aucune légitimité à connaître la situation familiale, fiscale (taux de retenue à la source), professionnelle (salaire, prime, appréciation de la hiérarchie, etc.) de l’employé Y sauf si X est responsable du processus RH.
Immanquablement, l’informatisation de données métier (comptables, RH, facturation, cœur de métier, etc.) est indissociable de la question des habilitations d’accès à ces mêmes données. Selon que l’établissement compte 10 ou 10 000 salariés, selon qu’elle évolue dans un domaine fortement réglementé ou pas, selon la nature des données traitées, les réponses ne sont pas les mêmes.
Ce guide a pour objectif de poser clairement le problème, de présenter les différentes approches possibles avec leurs avantages et inconvénients, de sensibiliser le lecteur aux questions connexes de telle sorte à disposer d’une vision globale du sujet. Il s’adresse aussi bien aux professionnels de santé qu’aux décideurs ou aux DSI.
Une précaution s’impose toutefois : le sujet des habilitations d’accès aux données de santé est complexe et a connu de gros changements depuis les premières générations de DPI au début des années 2000.
Sur certaines questions de fond, les réponses sont connues, classées, rangées. Sur d’autres questions, il n’y a pour le moment que des avis, susceptibles d’évolution dans les prochaines années. Et sur certaines questions enfin, les spécialistes des différents métiers (corps médical, corps soignants, DSI, juristes, RSSI, etc.) ne sont pas même pas d’accord sur la formulation de la question. Ce guide doit donc n’être pris que pour ce qu’il est : une tentative de poser les bases et les problèmes, de décrire l’état des connaissances et du débat sur la question, et certainement pas de proposer LA solution urbi et orbi à l’ensemble des questions. Ecrit il y a 10 ans, ce guide n’aurait certainement pas eu la même teneur, écrit dans 10 ans non plus.
Les contributions en annexes constituent un témoignage précieux de la vision de professions différentes : directrice, médecin, éditeur, etc. Que ces visions ne soient pas toutes alignées, qu’elles abordent le sujet par différents angles d’attaques, qu’elles ne posent pas les mêmes questions et ne proposent pas les mêmes pistes de solutions est exactement l’objectif du présent guide.
Après le premier guide « Cyber résilience – les mots de passe » et le deuxième guide « Cyber résilience – les cyber attaques », ce troisième opus poursuit la réflexion globale autour de la sécurité des SIH. Et comme toujours, les remarques, suggestions d’amélioration sont à envoyer directement à l’auteur pour être prises en compte dans les prochaines versions.
Bonne lecture.
Des guides numériques en libre accès
Avec le soutien de l’APSSIS, ce troisième ouvrage est publié sous licence Creative Common, ce qui permet sa libre diffusion, copie et réutilisation à des fins non-commerciales. Un quatrième guide est prévu dans les prochains mois.
Guide Cyber-résilience - Opus 2 - Cyberattaques
L’APSSIS a le plaisir d’annoncer la deuxième publication d’une série de plusieurs Guides à destination des professionnels du secteur. Conçus et élaborés par Cédric Cartau, RSSI/DPO du CHU de Nantes et Vice-président de l’APSSIS, ces guides se veulent à la fois accessibles, techniques et pratiques. Ce deuxième opus traite d’un sujet d'actualité : les cyberattaques.
Le contexte mondial n’a jamais été aussi tendu au regard des cyber attaques. Même si le cas existe toujours, l’adolescent qui pirate le Pentagone depuis sa chambre mansardée a laissé depuis longtemps la place aux organisations plus ou moins mafieuses et aux groupes plus ou moins soutenus par des Etats plus ou moins voyous. Pour un certain nombre de cyber attaques qui ont pu être imputées à la Russie, le Président Russe s’est défendu en prétendant qu’il s’agissait de groupes internes incontrôlés. Cela ne veut pas dire que les occidentaux ne mènent pas ce genre d’opérations, simplement qu’ils sont dans la plupart des cas plus discrets - si l’on excepte le cas bien connu de l’attaque des centrifugeuses Iraniennes par le Mossad et la CIA .
Les malwares classiques existent depuis aussi longtemps que l’informatique elle-même, mais la préoccupation date des années 1990, avec les fameux virus type « I Love You », qui provoquaient l’écran bleu de la mort sur les systèmes Windows. Pendant des décennies, le domaine de la protection antivirale s’apparentait au jeu du gendarme et des voleurs, des missiles et des anti-missiles : c’était à celui qui stockait le maximum de signatures, à celui qui dépistait le plus vite les zéro-day, à celui qui savait mixer, dans le moteur de son antivirus (AV), à la fois de l’analyse par signature et de l’analyse comportementale.
La dernière grosse attaque virale dans le monde de la santé date des années 2008 et 2009 : il s’agissait d’un malware nommé Conficker (qui a sévi sous sa forme A, puis B puis C, chacune étant une mutation plus sophistiquée de la précédente) et dont l’effet essentiel était de provoquer des tempêtes de broadcast sur le LAN, mettant à genoux les équipements réseau. Pour échelle, la forme B arrivait à bloquer totalement le cœur de réseau d’une entreprise de plus de 5000 personnes avec seulement 100 PC infectés qui saturaient les liens, ce qui donne une idée de la virulence du malware.
Mais le seul effet de ce type de malware classique était de bloquer l’informatique : une fois l’ensemble du parc déverminé, patché et redémarré – ce qui pouvait prendre plusieurs semaines tout de même -, le fonctionnement du SI revenait à son mode nominal. En somme les malwares classiques correspondaient à une attaque en disponibilité (D) sur le triptyque DIC (Disponibilité, Intégrité et Confidentialité).
En 2015, est apparu le premier cryptolocker, forme spécifique de malware dont l’action consiste à chiffrer les données pour les rendre inintelligibles à celui qui ne possède pas la clé de déchiffrement. Les premiers cryptolockers étaient juste capables de chiffrer les données en local du poste de travail, ce qui est certainement plus grave pour un particulier (qui la plupart du temps stocke tout sur son C et fait peu de sauvegardes) que pour une entreprise (où les données sont stockées sur des partages, même si la dérive d’utilisation du C a toujours existé). Mais comme beaucoup l’avaient prévu, les générations suivantes ont été capables de chiffrer les données de tous les partages accessibles – et pas seulement ceux montés sur une lettre sur le poste de travail -, voire les DB accessibles, voire les systèmes plus sophistiqués telles les sauvegardes, les plateformes d’administration, etc.
Les attaques les plus sophistiquées sont aujourd’hui capables non seulement de chiffrer les partages de fichiers, mais aussi les plateformes de stockage des VM, des CITRIX ou TSE, les consoles d’administration, etc. En somme de bloquer tout le SI de façon durable, et d’en exfiltrer les données soit pour être capable de démontrer à la cible que l’attaquant dispose des données chiffrées et de la clé de chiffrement afin d’être plus crédible pour « vendre » cette clé de déchiffrement, soit pour faire du chantage à la publication de données sensibles sur Internet. En ce sens, ces attaques impactent non seulement le D, mais aussi le I et le C.
Avec les cryptolockers, on atteint un sommet – même à y réfléchir à deux fois on ne voit clairement pas ce qui pourrait être pire -, et les outils de protections classiques atteignent leur limite.
Des guides numériques en libre accès
Avec le soutien de l’APSSIS, ce deuxième ouvrage est publié sous licence Creative Common, ce qui permet sa libre diffusion, copie et réutilisation à des fins non-commerciales. Un troisième guide est prévu dans les prochains mois.
Guide Cyber-résilience - Opus 1 - Les mots de passe
L’APSSIS a le plaisir d’annoncer la première publication d’une série de plusieurs Guides à destination des professionnels du secteur. Conçus et élaborés par Cédric Cartau, RSSI/DPO du CHU de Nantes et Vice-président de l’APSSIS, ces guides se veulent à la fois accessibles, techniques et pratiques. Le premier opus traite d’un sujet qui anime régulièrement les discussions des RSSI, des DSI et des chefs de projet : les mots de passe.
13 chapitres, des exemples concrets et des pistes de réflexion
123456, coucou, password… : malgré les conseils et campagnes d’information et de sensibilisation, la liste des mots de passe les plus utilisés en France en 2019 évolue peu. Depuis 2016, 123456 reste le mot de passe le plus utilisé en France et dans le monde (cf. comparatif). A la question, donneriez-vous spontanément votre mot de passe, la réponse est non et pourtant en quelques questions basiques, un journaliste arrive à le deviner (cf : vidéo) … Si nous sommes, semble-t-il, peu disciplinés dans la sphère privée, qu’en est-il dans l’environnement professionnel ?
Pour Cédric Cartau : « Au-delà des ouvrages de fond très nombreux dans le domaine de l’IT, il est des questions auxquelles nous sommes confrontées tous les jours : Faut-il contraindre les utilisateurs à changer régulièrement leurs mots de passe ? Quelle fréquence de changement ? Où les stocker de façon sécurisée ? ». Partant du constat qu’il existe curieusement peu de publications visant à faire le point sur tous ces aspects de terrain, Cédric Cartau a tenté de compiler, dans une publication volontairement compacte, accessible et pratique, l’ensemble de ces sujets avec un objectif triple, souligne-t-il, « servir de guide de référence aux professionnels du secteur, apporter des témoignages d’experts reconnus et faire évoluer cette présente publication lors des changements techniques majeurs. »
Des guides numériques en libre accès
Avec le soutien de l’APSSIS, ce premier ouvrage est publié sous licence Creative Common, ce qui permet sa libre diffusion, copie et réutilisation à des fins non-commerciales. Un deuxième guide est prévu dans les prochains mois. Il traitera quant à lui des dispositifs de cyber résilience face à la menace croissante des cryptovirus et des malwares. Les thématiques des guides suivants sont à l’étude.
Ouvrage collectif SSI Santé
Premier Ouvrage collectif dédié à la sécurité des systèmes d’information de santé, produit par l’APSSIS, avec le support de l’ASIP Santé, et grâce à la bienveillance et à la passion qui animent cet écosystème !
Imaginé en 2016, planifié en 2017, produit entre mars et décembre 2018, cet Ouvrage collectif APSSIS réunit plus de 40 productions.
La rédaction d’articles et de retours d’expériences a été proposée à un large panel de Professionnels de la SSI Santé. L’objectif était de donner la parole au terrain, par la plume de celles et ceux qui « exercent la SSI », qui mettent en œuvre les principes de la cybersécurité au cœur des organisations, tant sur le volet « technique » que sur le volet « politique » et qui connaissent succès et échecs, facilités et difficultés, joies et doutes, mais sont toujours accompagnés par la passion.
L’ouvrage est organisé en 7 thématiques : Normes et référentiels, Gouvernance de la SSI Santé, Technologies de sécurité, RGPD et cybersécurité, Processus et procédures, Conformité et audits, et Prospective.
Les articles de nos auteurs ont été rassemblés par thématique, afin de proposer une lisibilité agréable et fluide.
2019 est une année importante pour la sécurité des SI de santé. Les nouvelles organisations territoriales génèrent de croissantes demandes de partage, de mobilité et d’accès permanents aux données de santé. Les architectures techniques et logicielles, les solutions d’interopérabilité, les réseaux d’échanges, les outils de sécurité et tous les composants techniques, logiciels et humains qui collectent et manipulent ces données doivent être sûrs, robustes, en plus de se conformer aux lois, instructions et bonnes pratiques connues.
Le cheminement des SI de santé vers l’hyper connexion, les mettant au centre de systèmes exogènes multiples – IoT, monitoring et supervision distants des patients, IA spécialisées, systèmes régaliens – doit positionner leur sécurité et leur conformité au top des priorités. C’est l’obligation portée par le système de santé, au bénéfice de la confiance numérique et du bien-être des patients et des professionnels de santé usagers !
L’APSSIS est heureuse d’avoir pu porter ce projet, et de proposer ainsi à la communauté un large panel d’analyses issues du terrain, au plus près des réalités quotidiennes !
Etude sur le rapport de la génération Z au numérique et aux données de santé à caractère personnel
Confidentialité des données : le deal
Le service proposé, si possible gratuit, contre mes données personnelles.
Avec trois adolescents à la maison, le sujet du numérique prend souvent sa part dans les échanges familiaux. Chez nous, le choix de la liberté numérique a été acté depuis longtemps. Chacun dispose d’un PC librement connecté à Internet, d’un smartphone, de comptes Facebook, Twitter, Instagram et Snapchat, entre autres. Des applications de quantified-self accompagnent les activités sportives et parfois les phases de « régime alimentaire ». En contrepartie de cette liberté, ce sont les principes d’échanges, de pédagogie et de communication qui régulent les usages. Notre métier dans les technologies numériques nous permet de disposer d’un argumentaire solide et d’offrir à nos ados la cartographie des risques de la toile.
C’est lors des séquences d’échanges que j’ai rapidement fait le constat d’une certaine légèreté relative aux données produites sur Internet, qu’il s’agisse de photos, de vidéos, de textes ou de rapides commentaires. Ce que je croyais être un déficit de conscience n’est en réalité qu’un deal assumé entre un service proposé et son alimentation en données diverses. A la question : et si l’usage des objets connectés de santé et applications associées permettait aux compagnies d’assurances et aux mutuelles d’appliquer un bonus / malus tarifaire en fonction des données de comportement récoltées via les applications « sportives » ou « nutritives » ? La réponse est directe : quoi de plus normal. Si je prends soin de moi, il est logique que je contribue de façon minorée au système de soins, versus un assuré qui se laisse aller. Dont acte. Les assureurs qui se lancent dans cette voie auront donc des clients dociles. A la question : quid des données déposées durant des années sur les réseaux sociaux et autres plates-formes et qui constitueront, dans un futur proche, un « CV numérique » détaillé ? La réponse est à nouveau claire : à chacun de faire attention aux traces laissées, « il y aura une appli pour ça » et enfin, cette notion de transparence assumée. Après tout, chaque individu aura un passé ou « passif » sur le Web, et les comportements de l’adolescence, sauf excès manifeste, n’auront que peu d’impact sur l’entrée dans la vie professionnelle. Ces débats sont sans fin et la façon de penser de la nouvelle génération, baignée dans le numérique, transforme notre rapport assez traditionnel et conservateur, à la notion d’intimité, celle-ci devenant relative.
En mai 2015, souhaitant aller plus loin et étendre la discussion à un panel plus important d’adolescents, j’ai demandé au Lycée Robert Garnier de la Ferté-Bernard de m’accueillir, proposant de délivrer huit séquences de sensibilisation à la cybersécurité. En contrepartie, les étudiants ont accepté de répondre à un questionnaire de seize items, devant permettre de mesurer leur sensibilité à la confidentialité des données personnelles en général et de leurs données de santé en particulier. Je tiens à remercier le Lycée Robert Garnier, ses élèves, ses enseignants et son Proviseur adjoint, Monsieur Jean-Clovis POUNGUI, pour la qualité de leur accueil et de leur intérêt pour cette initiative de l’APSSIS.
C’est le résultat de ce projet qui est proposé dans ce document. Une fois les données recueillies traitées et mises en forme, nous avons demandé à des experts d’en prendre connaissance et de proposer leur analyse des résultats. Qu’ils soient remerciés de leur disponibilité.
L’APSSIS inscrit son action dans le processus d’acculturation de notre jeunesse, d’ores et déjà usagers d’un système de santé en pleine mutation technologique. Les conclusions de cette étude doivent nourrir notre réflexion et apporter quelques paramètres issus du réel à la conception traditionnelle que nous avons de la confidentialité. Il semble que le deal sera simple : la mise à disposition des données est par principe acquise, en fonction du bénéfice qu’apportera l’application collectrice. Nous serons tracés, géolocalisés et nos données intimes seront agrégées par des plates-formes privées, mais nous serons d’accord, car le retour sur investissement nous sera favorable. Il est également certain que la nouvelle génération prendra conscience de la valeur de ses données personnelles et décidera de les monnayer... Après tout, si la matière ce sont les données, ne serait-il pas légitime de rémunérer leur production ?
Vincent TRELY
Les objets connectés envahissent le monde !
Comment l’APSSIS ne pouvait-elle pas s’y intéresser ? Et surtout, quelle valeur pouvait-elle apporter ?
L’APSSIS met en téléchargement libre le premier « Vade-Mecum des Objets Connectés ».
Il a été réalisé avec la seule ambition d’informer, de sensibiliser, de « faire réfléchir ».
Il propose une large vue sur ces fameux objets, il renseigne sur les usages et les ressentis des usagers, des médecins et des experts, il aborde la réglementation en vigueur et enfin, donne la parole à de fins analystes qui ont eu la gentillesse d’accepter notre proposition de participer à ce vade-mecum et d’apporter leur pierre à l’édifice.
Plus de 120 objets commentés, une dizaine d’articles d’Experts, des chiffres, statistiques et tendances & le contexte juridique
L’APSSIS et le GCS TéléSanté Centre mettent à disposition un outil d’analyse des risques éprouvé.
L’analyse des risques liés au système d’information, qu’elle concerne les processus logiciels, les infrastructures techniques ou l’organisation, est une exigence préalable à la mise en œuvre d’une politique de sécurité adaptée. Les Etablissements de Santé l’ont bien intégré mais ne disposent pas d’outil standard, si ce n’est l’usage des méthodes EBIOS ou MEHARI, qu’il convient alors de simplifier et d’adapter aux contextes.
Forts de ce constat, l’APSSIS et le GCS TéléSanté Centre ont développé depuis 2013 un outil d’analyse des risques qui se veut simple d’usage. Testé auprès d’une soixantaine de Responsables Informatique et / ou Sécurité des SI, le QERSI-S (Questionnaire d’Evaluation des Risques pour le Système d’Information de Santé) constitue une première réponse aux besoins exprimés par les Etablissements. Utilisable lors de l’initiation d’un projet ou pour évaluer un processus existant, il permet également de répondre aux exigences de base du programme Hôpital Numérique.
Interrogés sur leur travail coopératif, Auriane LEMESLE, RSSI Régionale au GCS TéléSanté Centre (www.sante-centre.fr), et Vincent TRELY, Président de l’APSSIS (www.apssis.com), précisent : « Il s’agit d’un outil pragmatique, simple d’usage, et permettant de qualifier les risques liés à un projet SI ou à un processus existant. Le QERSI-S est adapté à la majorité des projets et process des SIH, même si certains gros projets nécessiteront une analyse plus fine. La soixantaine de RSI / RSSI l’ayant testé lors de sessions de formation l’a trouvé compréhensible, rapide et efficace. C’est ce qui nous a décidé à le mettre en libre service. »
Vincent TRELY précise : « Ce n’est pas un outil « institutionnel » et il a vocation à être critiqué, amendé pour aboutir à une version 2, suite aux retours que nous aurons pu recueillir des utilisateurs. Mais il a le mérite d’exister et d’avoir évolué suite aux multiples ateliers au cours duquel il a été utilisé, pour analyser des processus tels le circuit du médicament, le management du bloc opératoire, du laboratoire, de la PUI, la GAM, la GEF, le management des RH... ». Christian BLANCHETIERE, directeur de projets, dont le GCS est membre de l’APSSIS, se félicite de cette collaboration : « Nous proposons le QERSI-S aux Adhérents du GCS TéléSanté Centre depuis plus d’un an lors de formations. L’apport de l’APSSIS, qui l’a décliné lors de ses séminaires de formation au rôle de Référent SSI Santé, a été déterminant pour l’amener à maturité. Un travail commun nous a permis de le finaliser et c’est tout naturellement que nous sommes tombés d’accord pour le mettre gratuitement à la disposition de l’ensemble des Etablissements, pour ce qu’il est, en toute simplicité ».
N’hésitez pas à proposer des améliorations de l’outil via le formulaire dédié sous le lien de téléchargement.