Les 24 heures du Mans, j’y étais
Les 24 heures du Mans, furent, quelques semaines avant la course de motos puis la course d’endurance automobile, 24 heures de débats mémorables, de partages d’expériences très riches, de discussions animées, franches et sans langue de bois, au 4ème Congrès National de la Sécurité des Systèmes d’Information de Santé, organisé au Mans, du 4 au 6 avril 2016 par l’APSSIS(Association pour la Promotion de la Sécurité des Systèmes d’Information de Santé – www.apssis.com).
De nombreux intervenants sont montés à la tribune, directeurs des systèmes d’Information des hôpitaux, RSSI, responsables d’activités sociales, professeurs de médecine, experts sécurité, juristes … Les 17 présentations et tables rondes se sont enchainées suivant un scénario bien réglé, avec un tempo rigoureusement maitrisé. Ce Congrès qui a réuni 140 participants pendant 3 jours a étémerveilleusement organisé par notre ami ARCSIsteVincent Trély, président del’APSSIS,et son équipe,au Carré Plantagenêt, aux confins de la partie historique de la bonne ville du Mans.
Les participants ont écouté les présentations, réseauté, visité les stands, et discuté de solutions pratiques entre eux et avec les sponsors de l’évènement. Plusieurs participants m’ont posé la question : « Qu’est-ce que cette jolie épinglette que plusieurs d’entre vous portez à la boutonnière, à commencer par l’organisateur Vincent Trély ? ». C’était bien sûr l’épinglette de l’ARCSI.
Je ne ferai pas ici un compte-rendu exhaustif de cet évènement mais dresserai plutôt le ressenti d’un ARCSIste au milieu des participants dont plusieurs ARCSIstes. On comptait aussi des ARCSIstes parmi les intervenants.
Ce quatrième Congrès National de la Sécurité des Systèmes d’Information de Santé (CNSSIS) au Mans était le quatrième auquel j’ai eu le bonheur d’assister. Il en est ressorti, cette année, que l’Information de l’écosystème de la santé mais aussi celle des milieux sociaux sont loin d’être aussi sécurisées qu’elles le devraient vue la nécessité de l’intégrité, de la confidentialité mais aussi de la disponibilité et de la traçabilité des données manipulées, transmises ou stockées. 2015 a été une année noire pour le vol de données de santé, et les menaces sur les laboratoires et centres hospitaliers. Les menaces restent toujours bien réelles et même augmentent en 2016. Les attaques se concrétisent et nombreux sont les établissements de santé qui en ont fait les frais. Guillaume Poupard avait annoncé au Forum International de la Cybersécurité à Lille, en début d’année : « Demain il y aura des morts à cause des objets connectés ». C’est avec ce constat et cette annonce peu réjouissants que s’ouvre le congrès.
Dans le style de l’émission « C dans l’Air » une première table ronde, animée par le directeur sécurité du centre hospitalier d’Eure et Seine, réunit des personnalités venant de plusieurs domaines dont notre ARCSIste Philippe Loudenot, fonctionnaire de sécurité des systèmes d’Informaton (FSSI)auprès des ministères des affaires sociales et de la santé. Philippe a été bien sûr la référence de l’administration, au long de ces trois jours, et interviendra plusieurs fois, toujours avec précision et compétence, et jamais avec une langue de bois. Le thème de « C dans l’Air » est l’étude du quotidien du travail du DSI dans un établissement hospitalier. Il a été beaucoup question du PGSSIS, référentiel pour les établissements de santé, et du projet « Hôpital numérique ». Il en ressort que suivant leur taille, les établissements de santé, surtout les plus petits, montrent peu de maturité dans la prise en compte de la sécurité de leur Information, même quand elle est très sensible. Et sans même parler d’informatique, que dire de documents papiers, contenant des informations confidentielles, qui trainent près d’un photocopieur, accessible à tous ? On voit souvent de telles horreurs. A l’autonomie des années 90, les hôpitaux aujourd’hui vont vers une mutualisation des ressources. Le système d’information s’ouvre hors des murs de l’hôpital. On en saura bientôt plus car la loi impose de déclarer aux ARS les incidents graves, ou jugés significatifs, touchant à la sécurité de l’information. La politique de gestion de la sécurité des systèmes d’information de l’état (PGSSI E) préconise, dans la mesure du possible, l’utilisation de produits labélisés par l’ANSSI.
Il est aussi question de la place du RSSI dans l’organisation. Les intervenants pensent que celle-ci devrait être au plus proche de la direction de l’établissement, et surtout ne pas dépendre du directeur informatique. Il est conseillé que le RSSI rencontre, au moins deux fois par an, la direction pour traiter,directement avec elle, des problèmes spécifiques à la sécurité des données sensibles et des systèmes.
Notre ARCSIste Hervé Troalic, Directeurde l’activité conseil et sécurité chez Sodifrance, accompagné de deux experts sécurité de sa société, qui se sont placés dans la peau de hackers, nous font une démonstration en live d’une tentative … réussie, de pénétration dans le système d’Information d’un établissement hospitalier. Une attaque par SQL Injection, un piratage de mots de passe, une récupération d’informations sensibles nous montrent que, pour des experts motivés, avec un minimum d’outils, quand on veut, on peut. Les attaques ne restent pas seulement théoriques et les informations des patients sont réellement menacées. Certes, il a fallu s’accrocher pour ne rien perdre de cette démo, mais tous les participants, même les moins férus de techniques, ont pu tirer comme conclusion que ces trois intervenants, mieux valait les avoir de son côté que les affronter comme pirates potentiels de son système d’Information. Ils ont bien perçuqu’il fallait impérativement protéger son système d’Information pour diminuer le risque de voir les données sensibles librement exposées dans les réseaux sociaux et connaître les bancs des tribunaux.
La pause nous permet de visiter les stands, de discuter avec les sponsors et de récolter des documentations techniques, sans oublier de prendre … de forts intéressants goodies. J’ai aussi entendu les confessions d’un RSSI d’un hôpital à Paris, dont l’établissement venait juste de subir une tentative de « fraude au président », juste quand il avait le dos tourné puisqu’il était au Mans avec nous. Il a passé une grande partie de la pause rivé à son smartphone pour essayer de voir jusqu’où les choses étaient allées.
A la troisième conférence Marc Schmitt, société Anetys, nous explique ce qu’est le principe d’adhérence : L’adhérence est la dépendance entre deux composants d’un système d’Information, par exemple entre un serveur web et un navigateur, entre une application et le système d’exploitation sur lequel elle tourne. L’idée est de pouvoir se libérer, autant que faire se peut, des adhérences, sans compromettre le bon fonctionnement de l’ensemble du système et deses applications. On peut arriver à un bon compromis par la virtualisation des serveurs, sous réserve de l’assurance d’une compatibilité suffisante entre un hyperviseur et le matériel sur lequel il tourne. La solution Citrix apporte en supprimant les adhérences, une certaine indépendance entre une application et la plate-forme sur laquelle elle repose.
Jimaan Sané, souscripteur chez Beazley, société qui assure les risques cyber, venu tout exprès de Londres, où se trouve le support central de cette compagnie d’assurance US, nous offre un panorama des menaces qui pèsent sur la sécurité de l’Information de santé. Il évoque la nécessaire prudence de contacter une police d’assurances pour être couvert avant que l’attaque arrive.
Ces vingt dernières années, les assurances couvraient essentiellement les dommages potentiels qui affectaient principalement les dispositifs matériels des hôpitaux. Aujourd’hui les menaces sur l’Information de santé et les systèmes informatiques qui la gèrent, se précisent, les attaques se multiplient. Tous les laboratoires et établissements de santé peuvent connaître un jour des pertes d’informations sensibles ou une entrave au bon fonctionnement de leurs appareils. Les actes malveillants, en particulier les atteintes à l’intégrité des données, le vol et la divulgation, même involontaire, de secrets médicaux font qu’il est prudent d’assurer, non seulement le contenant physique, mais aussi le contenu numérique. Jimaan précise que la cote d’une donnée de santé est très supérieure, dans les marchés noirs de la cybercriminalité, à celle d’une donnée d’identité ou d’une donnée bancaire.
La séquence juridique qui suit réunit deux avocats au barreau de Paris, maître Pierre Desmarais et maître Omar Yahia, vice-président de l’APSSIS. Quelle liberté est laissée au patient de choisir ceux qui pourront consulter ses données de santé ? Que dit sur ce sujet la loi santé 2016 ? Le patient doit-il donner explicitement son consentement, ou celui-ci est-il acquis par défaut ? Le droit français doit-il impérativement s’aligner sur une règlementation européenne ?Quelle est l’attitude de la CNIL concernant la messagerie sécurisée des professionnels de santé ? Il est demandé aux professionnels de santé que figure sur leurs ordonnances, leur adresse e-mail, ceci pour faciliter des services transfrontaliers, mais en dehors du territoire national, cette messagerie n’est pas accessible, alors la conformité aux directives européennes est-elle seulement possible ?Et quel avenir peut-on entrevoir pour le DMP (Dossier Médical Personnel) dont on reparle aujourd’hui ? Autant de questions posées qui ont été traitées de main de maître par nos deux avocats.
Après un après-midi dont le temps a été parfaitement géré par Dominique Lehalle, rédactrice du magazine DSIH, des cars nous ramènent à nos hôtels, pour quelques instants de repos, puis reviennent nous chercher pour nous conduire au restaurant« La Réserve » où le chef étoilé Olivier Boussardnous a élaboré un délicieux repas. Les participants de ce congrès venaient pour certains, de très loin. J’étais assis à côté du responsable sécurité du centre hospitalier de Cayenne, occasion pour moi de confronter avec lui mes connaissances de la flore et de la faune (et du climat) autour du centre spatial de Kourou, où j’avais donné des sensibilisations à la cybersécurité il y a quelques années. J’ai enfin obtenu des réponses sur ces étranges vautours qui planent au-dessus du centre spatial de Kourou, et ces gros rats, ou ces gros ratons laveurs ( ?) qu’on voyait parfois sortir furtivement des buissons. Et les moustiques de Guyane…, ces dangereux moustiques…
Après une nuit un peu agitée parce que ce que nous avions entendu donnait quelques réelles inquiétudes, mais sans moustiques, la deuxième journée commence avec un duo Lazaro Peisachowicz, (CNAMTS) et président du Clusif et Cédric Cartau, RSSI du CHU de Nantes. Qu’est-ce qu’un RSSI ? Il est précisé que son travail est loin d’être purement technique. Un RSSI est plutôt un qualiticien, capable de permettre que les activitéspuissent continuer même dans un environnement dégradé. Il doit également être un pédagogue, pour assurer la sensibilisation et la formation des utilisateurs. Quelles sont ses principales qualités et ses principaux défauts ? Déjà il ne doit pas être trop parano et garder la tête froide en toutes circonstances. Il doit être un homme de dialogue qui génère des questions surtout si elles ne sont pas directement exprimées par les utilisateurs alors qu’ils devraient se les poser. Son métier n’est pas seulement d’assurer la sécurité mais plutôt de s’assurer que la sécurité est bien faite et bien comprise. Mais comment convaincre un directeur général d’embaucher un RSSI ? Surtout ne pas lui parler de coûts, ni aborder les questions sous l’angle de la technique comme par exemple lui parler de cryptologie, de gestion des identités ou de filtrage des URL. La bonne méthode est de causer qualité et audits. Le directeur a été en général déjà sensibilisé à la certification des comptes, à la conformité de son établissement aux lois et règlements en vigueur, au problème d’une perte toujours possible de production, et aux risques financiers et judiciaires. Un patron est généralement plus sensible aux aspects conformité de son établissement qu’aux aspects gestion des risques. La dernière chose qu’il souhaite est d’apparaître,lui et son établissement, dans les journaux suite à une cyberattaque.
Sur le plan du budget à consacrer à la sécurité, Cédric avance le chiffre de 3 à 7% du budget informatique, mais pour Lazaro, la qualité ne consiste jamais à faire plus mais plutôt à faire mieux, en évitant de faire de la pipométrie avec des statistiques. Philippe Loudenot,assis dans la salle, intervient alors pour faire remarquer que les statistiques montrent que 70% des statistiques sont fausses. Quelle stratégie adopter ? Imposer ou suggérer ? Pour Lazaro, la sécurité est plus un problème de compétences que de périmètre. Le RSSI doit rester proche du terrain et il faut éviter de faire une économie sur le nombre d’experts qu’on peut mettre face aux attaquants. Pour Cédric, le RSSI relève d’un processus métier plus que d’un processus technique.
Jean-Yves Haguet, société Inovacom, nous livre des chiffres tirés d’une étude de PWC. Il souligne que si le nombre de cyberattaques s’est accru en un an de 38% dans le monde, l’augmentation est de 51% en France où l’on compte en moyenne 21 incidents significatifs par jour. D’après le rapport de la société Mandiant paru en 2015, Il s’écoule en moyenne 205 jours avant qu’on s’aperçoive qu’une attaque est en cours, et on l’apprend souvent par l’extérieur. 69%des attaques ont une complicité interne. Avec le Big Data, l’IoT, le BYOD la surface d’attaque a considérablement augmenté. 75% des entreprises interrogées ne s’estiment pourtant pas être exposées aux cyberattaques, faute de sensibilisation, et seules 58% des entreprises appliquent régulièrement les patchs de sécurité, laissant des vulnérabilités béantes, vecteurs potentiels d’attaques réussies.Le budget sécurité, dans la santé est de 3 à 5% aujourd’hui du budget informatique. Il devrait être bien supérieur pour diminuer les risques qui vont en augmentant.
Car les attaques venant du cyber espace ne manquent pas. Il a été réclamé 3,4 millions de dollars, par exemple, à un hôpital de Los Angeles, pour récupérer des données de santé volées.On cite aussi le chiffre de 40 000 identifiants et résultats d’analyses sanguines qui ont été dérobés chez Labio. Le groupe de pirates Rex Mundi a réclamé 20 000 euros pour rendre ces données dérobées. Labio n’a pas payé. Les identifiants et les analyses de sang des patients ont été publiés sur les réseaux sociaux. Dans les marchés noirs de la cybercriminalité, un dossier médical se négocie entre 47 et 235 euros, offres supérieures à celles proposées pour une carte bancaire.
Les contre-mesures déployées, antivirus, pare feux, VPN, chiffrement, ont des limites. Elles ne suffisent plus. Il existe tout de même des solutions très élaborées contre les APT (Advanced Persistent Threats), telles que Keelback qui sert maintenant à protéger le réseau de TV5 Monde, après l’attaque violente que cette chaine de télévision a éprouvée en 2015. Il existe des outils de SIEM tels que Splunk ou LogRhythm ou encore des solutions de gestion centralisée des identités et des accès. Les solutions ne manquent pas, mais elles ont un coût et réclament une expertise certaine pour être correctement déployées.
Deux personnes d’Advens suivent, et nous parlent des idées fausses et malvenues, mais très implantées dans l’esprit de trop de responsables : « ce n’est pas mon problème », «si ça arrive, ce n’est pas grave », « pour être protégé, il suffit d’investir dans des outils comme un antivirus et un firewall », « un SOC (Security Operating Center), c’est bon pour les banques, pas pour le monde de la santé ». Pour gérer au quotidien la sécurité de l’Information, un SOC est une bonne solution. Il protège le périmètre à sécuriser en répondant aux incidents. Il convient de connaître son ennemi. Il est impératif de détecter les attaques, elles laissent de nombreuses traces. Il faut rapidement réagir avant que l’attaque ne s’étale sur le système d’information et compromette l’intégrité et la confidentialité de l’Information sensible. Ce SOC doit-il être interne ou externalisé ? La réponse dépend bien sûr du niveau d’expertise interne en sécurité de l’Information de l’établissement de santé. Ce qui est sûr, c’est que quand on met en place un SOC, il est préférable de commencer par un périmètre restreint, et de ne le généraliser qu’ensuite, une fois bien maitrisé,à l’ensemble du système d’Information.
C’est l’heure de la pause, café, échanges de cartes de visites, discussions sur les stands des partenaires du congrès. On fait des connaissances utiles dans une ambiance très conviviale, et on récolte quelques goodies supplémentaires.
La matinée reprend avec des acteurs des territoires Pays de Loire, Alsace et Ile-de-France qui accompagnent les établissements de santé pour gérer leur système d’Information. La plupart des établissements évoquésvont mutualiser leurs services de sécurité, s’ils ne l’ont déjà fait. La Région Ile-de-France met en œuvre une équipe de RSSI qui peut intervenir dans les établissements qui ont établi une convention avec les GCS (Groupements de Coopérations Sanitaires). L’Alsace et la Région Pays de Loire offre de même des services variés aux GCS.
En route maintenant pour le restaurant « La Taverne des Arts »,en bordure du Carré Plantagenet, à l’ombre de la majestueuse cathédrale Saint-Julien. Un délicieux déjeuner nous est servi dans une ambiance conviviale et joyeuse dont notre camarade ARCSIste Vincent Trély a le secret. L’art était aussi dans les assiettes. A chaque pause, à chaque repas, à chaque visite, nous nous connaissons mieux. Ce furent d’autres occasions de nouer des relations fructueuses avec des personnes avec qui on n’a pas toujours l’occasion d’échanger, et d’autres occasions de poser des questions aux intervenants. Ces 24 heures du Mans, étalées sur trois jours sont décidemment une merveilleuse opportunité pour nouer des relations durables, voire des amitiés dans cette ville « d’art et d’histoire ».
De retour au Carré Plantagenêt, toujours avec un horaire respecté à la lettre, il nous est distribué le document sur l’enquête menée par Vincent Trély, dans le cadre de l’APSSIS, auprès de 204 élèves de seconde, qui analyse le comportement de la génération Z, vis-à-vis de ses données de santé confiées à l’Internet.« Génération Z et cyber sécurité. Leur rapport au numérique et aux données de santé à caractère personnel ». On y apprend que les jeunes ont peu d’appréhension sur le devenir de leurs données personnelles, et voient peut être au contraire une opportunité de les commercialiser auprès des GAFA et des compagnies d’assurance. Ils pensent aussi, généralement que les informations, recueillies par leurs montres connectées, restent au niveau de leurs poignets. Une sensibilisation aux dangers de l’évasion des données personnelles reste à faire…
L’après-midi commence avec la présentation de deux employés de la société ASINHPA sur le thème des normes internationales en vigueur dans l’écosystème de santé. Tousdeux, et les participants interrogés, sont d’accord que la voix de la France est cruellement absente de la plupart des mouvements de standardisation et de normalisation, tels que l’OSI. Notre ami ARCSIste Hervé Schauer assis au premier rang, n’hésite pas à monter sur scène pour annoncer qu’il n’y a eu, par exemple,qu’une seule voix pour défendre la voix de la France sur l’ISO/CEI 27799 : La sienne.
Deux ARCSIstes interviennent ensuite, Philippe Loudenot dont nous avions gouté la pertinence et l’honnêteté des réponses, déjà à maintes reprises depuis le début de cet évènement, et Loïc Guézo (Cybersecurity Strategist chez Trend Micro). Il ne faut absolument pas, martèlent-ils, rater le virage de la santé vers le tout numérique. Il est impératif, bien évidemment, de protéger l’intégrité et la confidentialité des données de santé, car celles-ci ont une grande valeur pour les cyberprédateurs. Ils nous apprennent que, suite à une erreur humaine, les dossiers médicaux de l’hôpital de Béthune s’étalaient, en accès libre, sur Google.
Le médecin cardiologue Jacques Lucas, termine cette deuxième journée du 4eme Congrès National de la Sécurité des Systèmes d’Information de Santé. Il fallait un médecin à la tribune, tout de même dans ce congrès, et quelle personnalité celui-là ! « Oh secours, mes données personnelles sont sur Facebook ! » était le thème général de son intervention. Le docteur Jacques Lucas explique la notion d’équipe de soins qui est composée de l’équipe de prise en charge du patient et d’un vaste écosystème médico-social. Certes, les données de santé ne doivent pas être partagées entre tous et doivent être protégées. Les GAFA, les assureurs sont très friands de ces informations qu’ils peuvent utiliser à des fins mercantiles. Il faut donc protéger les données de santé, et garder traces de toutes les tentatives d’accès. Les données accessibles à ceux qui ne sont pas des ayant droits doivent être rendues non identifiables, dans la mesure du possible. Par exemple, si un employé va consulter un psychiatre, en France, cela peut présenter une connotation négative pour son employeur. Il est donc très préjudiciable pour un patient, si ses données de santé se retrouvent chez un hébergeur qui ne les protège pas suffisamment. Les données de santé doivent d’autre part être localisées en France.
Ce sont les experts, pas les médecins, qui détiennent les clés de la sécurité. Donc ces experts doivent jouer un rôle pédagogique pour expliquer ce qu’est la sécurité de l’Information au corps médical. Le docteur Jacques Lucas évoque des marchés parallèles à la médecine traditionnelle, comme par exemple l’assureur AXA qui propose des consultations en ligne assurées par des médecins salariés, avec envoi d’une ordonnance par FAX. Cet assureur a aussi offert à ses clients des podomètres connectés, avec contrôle d’une marche à pieds d’au moins 10 000 pas par jour, ce qui permet de diminuer le risque d’accidents cardio-vasculaires. Autre exemple plutôt le bienvenu, un pilulier qui donne le renseignement « médicament pris ou pas pris » peut rendre de grands services. Ainsi le monde connecté, s’il est porteur de risques est aussi porteur d’avantages, si on ne néglige pas les risques. C’est un vrai sujet qui nécessite un débat public.
Les interventionsdu congrès au Carré Plantagenêt se terminent sous les applaudissements mais la journée est loin d’être terminée. Des cars nous ramènent à nos hôtels pour une courte pause, et une trentaine de minutes plus tard, nous réembarquons dans les cars pour vivre une grande aventure.
Le car roulait paisiblement sur le circuit des 24 heures du Mans, ouvert ce soir-làau public, emportant les congressistes vers ce territoire inconnu. Peu ont eu l’occasion de rouler là où roulent les bolides, toutes les vingt-quatrièmes semaines de l’année. Un guide nous expliquait les grandes et les petites histoires du circuit et de la course d’endurance. Je discutais tranquillement sur l’utilité et les limites des blockchains (bitcoins et ethereum) avec une dame assise à côté de moi, Sandra, qui a aidé Vincent Trély à faire de cet évènement, un succès. A 50 km/heure, le bus évoluaitprudemment sur la route. Parvenus au début de la grande ligne droite,la routesoudain s’emballa. Le lacet de l’asphalte se mis à défiler devant moi à une vitesse prodigieuse. Quasiment allongé dans l’étroit cockpit qui m’entourait, et plaqué sur mon siège par l’accélération, soumis aux multiples secousses, je distinguai sur mes cadrans, derrière mon petit volant de course, le tachymètrequi affichait 350 km/h !!! Dans un vrombissement mécanique équivalent à mille coups de tonnerre, j’étais passé dans un espace quantique. Par le principe d’intrication, j’étais dans le bus paisible, et en même tempsdans le monstre de course tonitruant dont les pneus avalaient la piste en hurlant. Le temps de rétrograder pour négocier un virage serré dans un crissement de pneus qui devait s’entendre au-delà de mes songes, et au bout d’un temps trop court après avoir parcouru une distance trop longue, le principe de décohérence s’opéra et je me retrouvais seulement dans le bus, discutant paisiblement avec Sandra de bitcoins et de contrats intelligents. Mais que d’émotions j’avais ressenties, quelle griserie de la vitesse j’avais éprouvée, de quelle dextérité j’avais fait preuve, dans cet espace quantique,quelle compétence déployée dans ma maîtrise de la mécanique et la précision de ma conduite !!! Le car s’était arrêté devant le bâtiment où se trouve le PC de la course des 24 heures du Mans.
Les postes de contrôles de ce PC n’ont rien à envier à un SOC (Security Operating Center). De multiples écrans sur le mur du fond couvrent l’ensemble du parcours et renseignent les commissaires de la course, répartis sur le circuit. Des zooms permettent de déceler sur la route le moindre clou, le moindre boulon, la moindre tâche d’huile laissés sur la chaussée, menaces potentielles graves pour les pilotes. De multiples évènements peuvent être remontés vers le PC course, et suivant leur gravité, des voitures balais peuvent être envoyées sur le circuit pour ralentir la course, ou la course peut être interrompue. Le guide nous narra l’histoire de JackyIckx, à l’esprit très contestataire et fort en gueule, qui étant opposéau départ des pilotes,en courant vers leurs bolides garés en épis de l’autre côté de la chaussée, a tranquillement gagné en marchant son bolide, alors que les autres pilotes courraient tête baissée et casquée, s’est harnaché en prenant son temps, puis a démarré évidemment en bon dernier. Il est arrivé premier.
Le dîner, tout près du circuit fut excellent. La table où j’étais, avec des ARCSIstes, fut des plus animée. Ce qu’on a pu rigoler !Nous étions pliés de rire par les histoires des uns et des autres. On croit bien se connaître mais après un repas comme celui-là, croyez-moi, on se connait encore mieux. La nuit fut courte et déjà l’aube du troisième jour se levait, sur cette ville d’art et de culture.
Arnaud le Hung, directeur marketing d’Aruba Networks, ouvre cette journée avec une vidéo sur le futur de la transformation digitale et ses tendances. Il nous parle du Cloud et de ses infrastructures privées, hybrides ou publiques, de la nécessité d’assurer une continuité d’activité et de se confirmer à la réglementation. Il insiste sur l’importance d’avoir des infrastructures « anydevices, anytime, et anywhere ».
Deux employés d’Axians, groupe Vinci, nous parlent ensuite des objets connectés dans le monde de la santé, rendant hélas possible un « assassinat techniquement assisté ». Les objets connectés, dans le domaine de la santé, de plus en plus nombreux, ne sont pas, en général « secure by design ». Les systèmes d’exploitation ne sont pas toujours mis à jour, les mots de passe sont parfois codés en dur dans le matériel. Cela implique des menaces dont le niveau de nuisance n’est pas acceptable. On peut prévoir que cette année, le nombre d’attaques va grandement augmenter, que le nombre de demandes de rançons va exploser, que les « wearables » seront de nouveaux vecteurs d’attaques, et qu’il pourrait y avoir des morts dus à une sécurité insuffisante. Pour diminuer les risques, l’ensemble des utilisateurs doit être sensibilisé et l’établissement d’un code de bonnes pratiques est indispensable. De plus, il faut se conformer aux normes en vigueur. L’ISO 80001, qui établit des normes dans la gestion des risques des systèmes médicaux, et établit les responsabilités en cas de problème grave, est un bon début. Mais la responsabilité des constructeurs doit-elle, pour autant, être transférée vers les établissements hospitaliers ?
Florian Jacquot (Forecomm), appuyé par Cédric Cartau, RSSI de l’hôpital de Nantes, présentent une solution originale de chiffrement de fichiers, Bluefiles, qui permet également d’autoriser un fichier à la lecture pour les uns, et à la lecture et à l’impression pour les autres. Ce logiciel fonctionne comme une imprimante virtuelle. Il est aussi possible de modifier, voire de supprimer les droits d’un utilisateur, même quand celui-ci n’est pas connecté (puisqu’il doit forcément se connecter ensuite pour tenter d’utiliser ces droits qui lui ont été retirés).Notre ami ARCSIste, le commandant Michel Dubois, du service de santé des armées, qui a téléchargé ce logiciel, nous fait une démonstration en live assez bluffante. Ce logicielapporte une solution de sécurité pour les échanges entre médecins et patients. Forecomm, PME française, a obtenu le label France Cybersecurity. Il existe une version gratuite à télécharger, c’est sur https://www.mybluefiles.com/.
Orion Health, société Néo-Zélandaise nous offre un voyage autour du monde pour l’accès aux données de santé numérisées. Les solutions et les directives des Etats Unis, du Canada, de Singapour, des Baléares, du Royaume Uni, de l’Irlande et bien sûr de la Nouvelle Zélande nous sont présentées. Nous comprenons que l’accès aux données de santé est parfois très différent suivant les pays. Le soin apporté pour créer un délicat équilibre entre la protection des données médicales et le besoin de les utiliser pour en faire bon usage est également différent suivant la culture du pays. Les pays anglo saxons semblent être en particulier plutôt plus protecteurs de leurs données médicales que les pays latins.
Départ vers le restaurant « Aux Cocottes Sarthoises », pedibus dans la vieille ville du Mans, en face du Carré Plantagenêt, pour le déjeuner. De vieilles maisons aux façades colorées, des petits chemins qui montent, la place de la mairie toute proche, et nous arrivons à l’auberge où nous est servi un excellent repas.
Retour au Carré Plantagenêtpour la 15ème conférence de ce congrès, animée par le Professeur Guy Vallancien, membre de l’Académie nationale de chirurgie et de médecine, auteur du livre « La médecine sans médecin ? Le numérique au service du malade »Gallimard 2015. Dans ce congrès, le titre « La médecine sans médecin » avait de quoi choquer, mais la verve et la compétence mêlées d’humour du professeur Vallancien nous ont séduits. Ce fut undes momentstrès fortsdu congrès.
L’homme ose s’aventurer dans des cheminsqu’il ne voit pas et l’intelligence d’un individu ne peut se réduire à son QI. Notre cerveau est un organe très complexe avec plusieurs centaines de milliards de neurones et des connexions multiples. Notre conscience n’occupe qu’une partie de notre activité cérébrale. Face à cette complexité, le médecin de demain, dans un hôpital ultra connecté et modulaire, ne sera pas un simple prescripteur, cela les machines pourront le faire, mais un bio-conseiller au service des malades qui vont s’auto traiter. Les malades deviendront ainsi de plus en plus autonomes, et seront connectés à des associations auxquelles ils s’adresseront pour les auto-traitements. Le médecin sera un interlocuteur attentif à l’écoute de chacun de ses patients qui bénéficiera de bonus et de malus, par ses assurances. Par exemple, pour fumer une cigarette, il sera ajouté un euro à sa prime annuelle d’assurance, pour avoir couru deux kilomètres, il sera ôté deux euros. Les milliards de données et les ingénieurs, parmi eux les data scientists, vont permettre de fournir une vision plus claire sur les états de santé. Nous serons chairs et machines. L’homme augmenté pourra entendre les ultrasons, voir dans l’infrarouge et l’ultraviolet. Une question est posée sur l’espoir de l’immortalité. Pour le Professeur Vallancien, l’immortalité est loin d’être souhaitable, et à son avis n’est pas envisageable. Croire en l’immortalité est un mythe colporté par les bio-progressistes qui ont tort.De plus, une valeur qui devient infinie perd de sa valeur. Dès l’âge moyen de quinze ans où nous sommes en capacité de créer donc de nous reproduire, et c’est ainsi que la nature a réglé le problème de l’immortalité des êtres vivants, on commence à mourir. Par contre, l’être humain qui pourrait vivre jusqu’à 150 ans (mais dans quel état ?) pourrait bien être déjà né aujourd’hui. Voilà une présentation dont personne ne sort indemne !
Damien Bancal, journaliste indépendant et traqueur de pirates, prend la parole, pour la seizième conférence de ces trois jours. Il n’est pas (encore) à l’ARCSI mais il est dans la Réserve Citoyenne de Cyberdéfense etc’est le créateur et le modérateur des web zataz.com et datasecuritybreach.fr, qui répertorient les vulnérabilités, les attaques et lancent des alertes. Il nous présente le web indexé, le web profond et le web noir. Ces deux derniers web ne sont pas illégaux, par contre les marchés noirs de la cybercriminalité, qu’il qualifie de supermarché de la malveillance, du « Vidal des vandales », le sont, bien évidemment. J’ai bien aimé son image qui excite les pirates : « L’homme est un porte-monnaie sur pattes ».
La dernière table ronde réunit diverses personnalités qui nous parlent des cartes multi usages pour sécuriser les accès physiques et logiques dans les établissements hospitaliers. Seule aujourd’hui la carte CPx est reconnue pour permettre de s’authentifier aux services nationaux de santé.
L’évènement se termine avec la remise à chaque congressiste d’un panier Sarthois et l’assurance que les congrès nationaux de la Sécurité des Systèmes d’Information de Santé ont acquis leur vitesse de croisière, et, comme nous sommes dans la ville des 24 heures du Mans, nous pouvons dire aussi que, de par l’excellence des intervenants et des participants, de par l’art de faire de Vincent Trély, et de son équipe, de par la gestion du temps d’une main de fer, mais pourtant toute en gentillesse de Dominique Lehalle et enfin de par l’implication des autorités Mancelles, ce congrès a pris une vitesse de croisière qui décoiffe et qui ravit.
Gérard Peliks
ARCSI (Association des Réservistes du Chiffre et de la Sécurité de l’Information)