En direct de l’Apssis 2020

 

Conférence Forecomm

Très intéressant REX client de Forecomm, éditeur de la solution de messagerie sécurisée BlueFiles.

Pour ceux qui ne connaîtraient pas (encore) BlueFiles, sachez juste qu’il s’agit d’une solution de messagerie sécurisée qui adresse, entre autres, tous les usagers qui ne sont pas candidats à la MSSanté dans un établissement de santé (ce qui représente pas mal de monde) et qui souhaitent envoyer des données sensibles (médicales, financières, etc.) à des correspondants extérieurs. Par exemple, comment les personnels de la facturation peuvent-ils envoyer des éléments d’actes médicaux aux caisses d’assurance maladie ou aux mutuelles ? BlueFiles est là pour ça.

Forecomm est présent dans le monde de la santé depuis au moins quatre ans : lors d’une intervention mémorable dans une précédente édition du Congrès de l’Apssis, des utilisateurs étaient montés sur la scène pour réaliser en live une démonstration du produit devant une salle ébahie par le potentiel du produit.

Depuis, la solution a énormément évolué : envoi par canal direct dans l’explorateur, envoi avec ou sans authentification du destinataire, déploiement d’une solution client-less, hébergement HDS de la solution par Orange (lui donnant la possibilité légale d’envoyer des données de santé). Bref, Forecomm avance vite et dans le bon sens, et à titre personnel j’aime quand l’écosystème français est capable de proposer des solutions de ce niveau fonctionnel.

Avec le REX de Jean-Luc Belet (RSSI et DPO du GHT des Vosges), nous avons un exemple concret de déploiement interne de la solution (très intelligent d’être passé par les secrétariats médicaux comme « ambassadeurs », et très intelligent le déploiement de la page de dépôt).

Bref, on aime.

Conférence institutionnelle

Impossible de décrire en une page tout ce qui a été évoqué pendant la conférence institutionnelle, qui ouvre traditionnellement le congrès annuel de l’Apssis.

On retiendra les annonces de Jean-François Parguet (ANS, anciennement Asip Santé) concernant la cellule de cyberveille. Pour l’utiliser moi-même, j’affirme que cette cellule fournit un excellent travail, et que le type de veille SSI qu’elle réalise relève très exactement de ce qui se mutualise à l’échelle du territoire et traduit une remarquable maîtrise interne à l’actif du secteur de la santé.

On retiendra une vision très intéressante concernant la sempiternelle question de savoir si l’établissement support est – ou pas – soumis à l’agrément HDS pour les données de son propre GHT. Michel Raux (DGOS) fait en effet référence au fait que l’établissement support est « sous-traitant » au sens du RGPD dans le traitement des DPI des établissements périphériques (sous-traitant au sens de l’hébergement technique s’entend).

On retiendra surtout l’annonce du départ de Philippe Loudenot de son poste de FSSI. Disons-le tout net : Philippe Loudenot et son équipe ont posé le mètre-étalon de la fonction, avec une présence forte auprès des établissements, l’animation de groupes de travail formels ou informels, une veille constante, un professionnalisme et un niveau technique à toute épreuve. Une page se tourne.

Conférence Armis

Le terrain de jeu de la solution concerne principalement les détections de risques et de vulnérabilités des IoT et autres objets connectés de toute sorte (pompes à insuline, équipements biomédicaux, etc.) connectés au LAN.

Ce n’est pas le premier outil de ce genre (Trend Micro propose des solutions comparables depuis plusieurs années), mais là, clairement, il adresse tout ce qui se connecte au LAN et a pour ambition de s’interfacer avec les outils de sécurité existants (NAC, pare-feu, etc.) pour non seulement détecter, mais aussi apporter une réponse aux incidents ou aux vulnérabilités.

Je serais curieux de voir l’outil déployé en réel : quelle charge d’intégration, quelle charge RH d’administration, quel taux de faux positifs ? Le REX (très intéressant d’ailleurs) auquel nous avons eu droit n’a pas permis de répondre à ces questions.

Une chose est sûre : avec la connexion massive au LAN d’équipements qui depuis des années disposaient de réseaux propriétaires, la SSI de santé ne pourra pas faire longtemps l’économie de ce type d’outils.

Conférence « L’arme fatale »

Les conférences de Charles Blanc-Rolin sont toujours un temps fort du Congrès : on n’est jamais déçu.

Là, il s’agit d’analyser le fonctionnement de moniteurs de surveillance patient avec des outils classiques accessibles à tout un chacun sur le Net : scan de réseau, analyse de vulnérabilités ouvertes, analyse des ports ouverts, etc. Charles s’est visiblement bien amusé à trouver des trous de sécurité dans les matériels qu’il a utilisés en test, à tripatouiller dans Metasploit les informations remontées par les scans, à monter un serveur FTP « pot de miel » – croyez-moi, dans la profession, quand on tombe sur des systèmes tels que ceux qui ont été présentés dans la conférence, c’est la fête.

Bon, je vous fais la version courte sur le résultat des analyses techniques de Charles : c’est la chienlit. Mot de passe admin par défaut, adresses IP publiques, informations patient en clair dans la mémoire et j’en passe. On voudrait concevoir un matos biomed encore plus pourri que ce serait difficile.

Non mais c’était juste une démo : je suis certain qu’en vrai tous nos équipements biomed sont nickel chrome.