Sécurité du professionnel libéral

A partir du moment ou tu respectes la loi et/ou les directives, tu n’as pas a te soucier des éventuels manquements du prestataire. Je parle niveau sécuritaire. Après oui, si le cloud est toujours en panne comme certains - It Which Must Not Be Named - c’est galère a l’utilisation.

Je parlais du cas général. Effectivement, il y a un moment ou on doit mettre des données sensibles sur un serveur de l’internet 2.0 et il faut essayer de les sécuriser au mieux. Mais la sécurité 100% n’existant pas, c’est pour ça que j’insiste sur la nécessité d’utiliser un cloud certifié, car tu es couvert en cas de problème.

C’est une problématique qui dépasse ma vision technique de la chose: Quelle est la limite de « desecurisation » quand une vie est en jeu? C’est plus un problème technique, c’est un problème éthique et la, j’ai pas vraiment d’avis tranché car chaque cas est unique.

Oui, c’est juste une question d’assurance: Je parle pas de l’éthique ou de la praticité du truc.

Be my guest
Plus sérieusement, la techno évoluant tellement plus vite que les normes et/ou les lois, c’est compliqué d’utiliser un outil top moderne et qu’il soit certifié ou validité par une autorité quelconque…

Hahahaha ca serait tellement bien si les « décideurs » écoutaient un peu plus la technique.
Sauf que c’est pas le cas:
« Bon, on a décidé en réunion que vous deviez faire ce bidule »
« On pourra pas respecter les règles de sécurité, a cause de cette fonctionnalité »
« tu te démerdes »
Et c’est ca le truc: on fait au mieux, sachant que c’est pas forcement idéal. C’est le moins pire, disons.

Perso, quand je mets en place un système de sécurité, je ne considère pas ce cas là, car ça devient ingérable. Se protéger de soi même, c’est l’enfer. Un jour, on aura des CPU qui seront capable de déchiffrer des fichiers de 10Go en temps réel, mais c’est pas le cas actuellement.

Le cloud, c’est un vrai métier et pour plein de petites boites, c’est impossible de faire un truc relativement sécurisé dans un budget acceptable, donc l’utilisation de solutions toutes faites est compréhensible. Mais je comprends qu’une grosse boite puisse faire son cloud perso si elle en a les moyens.

Ah mais tellement.
Exemple concret: je bosse dans un grand groupe et les responsables de la sécurité savent que les mots de passe de 8 caractères qu’on force à changer régulièrement ne participent pas au renforcement de la sécurité.
Sauf que ca fait partie d’une norme ISO (ISO 27001 je crois) et que si on décide de mettre en place une autre politique (des mots de passe supers longs composés de mots par exemple) on n’est plus dans la norme… du coup on n’est plus certifié, et du coup c’est plus compliqué avec les assureurs.

Je comprends le reste de tes arguments mais là il y a une faille. À moins que j’ai mal compris, pour toi si le niveau des assurances et certifications de sécurité est au top on n’a pas à s’en faire. Ben si un petit peu quand même non ? Un A380 est certifié à fond mais je peux être inquiet pour ses passagers lors d’un orage violent, non ? … idem pour une prestation informatique d’hébergement.

Non non, je dis juste que tu es couvert juridiquement puisque tu as respecté la loi. On ne pourra pas te reprocher que les données des patients ont été piratés puisque tu as utilisé une solution certifiée.
Ca change rien au fait que les données ont été piratées…

Ce qui m’embête avec les clouds " souverain " ou pas c’est que du coup pour plein de gens la porte d’entrée est unique : le serveur cloud . Et là je vais faire mon oldschool mais les chiffrage à watmille bits, les brutforces , les cles symetrique , pas symétrique (plein de trucs auquel j’entends rien) etc etc … en fait on s’en fout… si il y a une personne qui sait avoir les infos , tu contrains cette personne et c’est tout. Et si c’est dans un cloud , ben c’est la meme personne pour plein plein plein de choses. C’est encore plus simple .

Alors contraindre Jeep, bon pas trop de risque . c’est un doc , quelques client et c’est marre . On ne risque de s’en prendre à lui que si il a un client particulier et que pour ce client .
Par contre contraindre un administrateur de server cloud , si c’est un bon gros cloud souverain…euh oui meme si tu ne sais pas ce que tu cherches , tu peux estimer que ca vaut le coup. Et du coup plein d’autres tombent avec .

Du coup je ne sais pas trop …

Mais pourquoi tu rajoutes “souverain” ? Le souci que tu pointes avec raison est autant valable en souverain qu’en cloud étranger.

Pour l’anecdote et revenir sur un point plus haut,

Mon retour d’XP, a l’échelle établissement de santé par contre, l’hébergement “par le cloud” c’est de la m### a éviter. Je pense que c’est encore trop tôt…
Je préfère largement en local… ya peut être un surcoût (mais négligeable vu qu’un établissement a déjà une structure serveur)…
Ya moins de latence (parce que pas de fibre), ya pas multiplication des interlocuteurs (l’éditeur, l’hébergeur, orange, …) qui se renvoient la balle au moindre pépin. En local, ya qu’un interlocuteur : ton infogérant ou ton équipe informatique… et tu décide/maîtrise tes systèmes de protection et de sauvegarde, ainsi que les autorisations d’accès.
Quand c’est de l’administratif et du € , ce n’est pas trop grave de ne pas pouvoir accéder temporairement aux données…mais pour les données de santé et de dossier patient… Les systèmes “a tiroirs” pour revenir au “papier” durant la panne : ya pas meilleur terreau pour un incident derrière…

Sinon je n’ai pas compris cet histoire de cloud souverain…je pensais que l’Etat avait juste mis en place une sorte de certification/agrément pour autoriser une boîte à stocker des données de santé

Le fait est que quand tu montes une MSP on t’oblige à utiliser le cloud

Je parlais d’une autre échelle (quand tu n’as plus accès a 230 prescriptions de patients un jour férié… Et que tu es obligé à faire imprimer un pdf par patient pour obtenir les prescriptions du jour d’avant… Et que cela t’arrive 4 fois de suite… Disons que tu (et tes équipes…) voient rouge)

Pour les MSP (Maison de santé pluridisciplinaire), faut que j’en parle à quelqu’un plus au courant pour être sûr mais tu peux parfaitement mettre en place une MSP avec ton infrastructure en local… Mais tu risques (je comprend que c’est la que ça coince) de ne pas obtenir les brouzoufs de ta CPAM ni te faire rembourser ton infrastructure par l’ARS (oui… certains se sont fait payer leur mac neufs par la tutelle sans problème…)
De mémoire ce n’est pas le cloud qui est imposé mais d’avoir un logiciel labellisé par l’asip (asip-santé 2 ? … je ne sais plus) qui n’impose pas le cloud si je ne m’abuse… par contre ya une grande majorité d’éditeurs qui ne fonctionnent qu’en cloud qui se sont fait labelliser (je suis quasi sûr qu’il ya au moins un logiciel qui fonctionne en local dans la liste… Après ce dernier n’est peut être pas terrible d’utilisation… Ça j’en sais rien ^^ )

Non, ca marche pas comme ca. Il y a pas d’administrateur comme tu décris. Ca n’existe pas. Il y a personne chez les fournisseurs de cloud qui a accès a quoi que ce soit au niveau de tes clefs, etc. Et oui, c’est vérifié, audité et régulièrement. Et de meme manière, il y a pas de données qui peuvent être compromise globalement, genre magie je chope la clef pour un client, du coup je décrypte tout le monde. C’est bien pour ca que fournisseur de cloud, ca s’invente pas sur un coup de tete étatique (ou autre), c’est beaucoup beaucoup plus complique que ce que quelqu’un de naif, genre qqn qui comprend le mode de fonctionnement de base d’un data center avec des machines pour chaque client, s’imagine… Le cloud c’est pas du tout un datacenter a grande échelle ou tu loues des machines, ca n’a absolument rien a voir.

Vous mélangez tout les mecs. « Le cloud » ca veut pas dire que t’as aucune donee en local, ou que ca marche plus si tu perds ta connection avec internet. Ca c’est des logiciels mal faits et mal désignés qui sont pas adaptées aux réalités des besoin sur le terrain. Ca fait des décennies qu’on sait construire des caches locaux hein… et c’est quand meme grave independent de la ou sont stockées les données in fine.

Je parle d’une douzaine d’éditeurs sur le marché des “dossiers patient” ya a peu près 5 ans…
Après les tech. évoluent vite et certains se sont peut être mis a la page depuis (mais j’ai un doute)

… Mais je dévie du sujet initial : les libéraux ^^