Discussion :

[Stéphane le calme]

Une patiente atteinte d'un cancer poursuit un hôpital
après qu'un gang de rançongiciels a divulgué ses photos de visites médicales nues

Une patiente atteinte d'un cancer dont les photos nues et les dossiers médicaux ont été publiés en ligne après avoir été volés par un gang de rançongiciels, a poursuivi son fournisseur de soins de santé pour avoir permis cette fuite « évitable » et « gravement dommageable ».

Le recours collectif proposé découle d'une intrusion en février au cours de laquelle l'équipe de logiciels malveillants BlackCat (également connu sous le nom d'ALPHV) a fait irruption dans l'un des réseaux de médecins du Lehigh Valley Health Network (LVHN), a volé des images de patients subissant un traitement de radio-oncologie ainsi que d'autres dossiers de soins de santé sensibles appartenant à plus de 75 000 personnes, puis a exigé le paiement d'une rançon pour déchiffrer les fichiers et l'empêcher de publier les données de santé en ligne. LVHN a refusé de payer la rançon, et plus tôt ce mois-ci, BlackCat a commencé à divulguer des informations sur les patients, y compris des images d'au moins deux patientes atteintes d'un cancer du sein, nues à partir de la taille.

Dans ce que l'on pense être une première, le gang de rançongiciels BlackCat a publié des images nues de patients qui ont été volés lors de l'une de ses attaques contre un organisme de santé dans le but de faire pression sur la victime pour contraindre l'organisme à payer la rançon. Lehigh Valley Health Network (LVHN) avait alors annoncé qu'il faisait face à une attaque de ransomware qui a été détectée le 6 février 2023. Le groupe de soins de santé de Pennsylvanie, l'un des plus importants de l'État américain, supervise 13 hôpitaux, 28 centres de santé et des dizaines d'autres cliniques médicales, pharmacies, centres de réadaptation, services d'imagerie et de laboratoire.

LVHN a confirmé que le groupe de ransomware BlackCat était derrière l'attaque et avait émis une demande de rançon, dont le paiement verrait les clés de déchiffrement fournies et empêcherait la divulgation des données volées lors de l'attaque. Brian A. Nester, président et chef de la direction de LVHN, a confirmé que LVHN avait refusé de payer la rançon et que les opérations n'avaient pas été affectées.

Nester a déclaré que l'attaque concernait le réseau soutenant un cabinet médical dans le comté de Lackawanna et que le système informatique impliqué stockait des images de patients cliniquement appropriées pour le traitement par radio-oncologie et d'autres informations sensibles sur les patients. « Des attaques comme celle-ci sont répréhensibles et nous consacrons les ressources appropriées pour répondre à cet incident », a déclaré Nester.

Dans une tentative de faire pression sur LVHN pour qu'il paie la rançon, BlackCat a commencé à divulguer certaines des données volées sur son site de fuite de données. Alors que les fuites de données sont désormais courantes lorsque les victimes d'attaques de rançongiciels refusent de payer la rançon, BlackCat est allé plus loin et a publié des images de patients volées lors de l'attaque. Des images de trois patientes atteintes d'un cancer du sein, nues à partir de la taille, ont été publiées sur le site de fuite de données, ainsi que des captures d'écran des données des patientes montrant les diagnostics. « Cet acte criminel inadmissible profite des patients recevant un traitement contre le cancer, et LVHN condamne ce comportement méprisable », a déclaré le porte-parole de LVHN, Brian Downs.

« Cet acte criminel inadmissible tire profit des patients recevant un traitement contre le cancer, et LVHN condamne ce comportement méprisable », a déclaré à l'époque le porte-parole de LVHN, Brian Downs.

La plainte

Selon la plainte déposée cette semaine, voici comment l'une des patientes, identifiée comme « Jane Doe » (Madame X en français), a découvert la violation de données (mais aussi que LVHN avait stocké des images nues d'elle sur son réseau en premier lieu).

Le 6 mars, la vice-présidente de la conformité de LVHN, Mary Ann LaRock, a appelé Doe et lui a dit que ses photos nues avaient été publiées sur le site de fuite des pirates. « Mme LaRock a présenté au plaignant des excuses et, avec un petit rire, deux ans de surveillance du crédit », indiquent les documents judiciaires.

En plus de récupérer les photos très sensibles, les escrocs ont également emporté tout le nécessaire pour une usurpation d'identité.

Selon la plainte, LaRock a également déclaré à Doe que ses adresses physique et électronique, ainsi que sa date de naissance, son numéro de sécurité sociale, son fournisseur d'assurance maladie, ses diagnostics médicaux et ses informations sur le traitement, ainsi que les résultats de laboratoire, avaient également probablement été volés lors de la violation.

« Étant donné que LVHN stocke et stockait les informations sensibles du demandeur et du recours, y compris des photographies nues du demandeur recevant un traitement sensible contre le cancer, LVHN savait ou aurait dû savoir du risque grave et des dommages pouvant résulter d'une violation de données », indique la plainte. Elle affirme que LVHN a fait preuve de négligence dans son devoir de protéger les informations sensibles des patients et demande le statut de recours collectif pour tous ceux dont les données ont été exposées avec des dommages-intérêts à déterminer.

L'avocat de Pennsylvanie Patrick Howard, qui représente Doe et le reste des plaignants dans le recours collectif proposé, a déclaré qu'il s'attend à ce que le nombre de patients touchés par la violation se situe dans les « centaines, voire des milliers ».

« L'hôpital invite les patients dans son établissement et prend possession de ces données », a déclaré Howard. « L'hôpital doit s'assurer que les données qu'il prend sont correctement sauvegardées, y compris ces photographies très sensibles. Vous attendez la sûreté et la sécurité, si vous agissez par négligence en assurant cette sûreté/sécurité, vous pouvez être tenu responsable quelle que soit la conduite d'une tierce partie ».

Selon les avocats, il s'agit de la deuxième violation de données affectant les patients du groupe de soins de santé de Pennsylvanie au cours des dernières années. En 2021, LVHN a admis que les informations personnelles des patients avaient été volées à l'un de ses fournisseurs.

Les organisations du secteur de la santé et de la santé publique activement ciblées

Le Département de la Santé et des Services sociaux des États-Unis a publié un avis de sécurité concernant le groupe de rançongiciels Blackcat qui cible activement les organisations du secteur de la santé et de la santé publique et a averti que le groupe se livrait à des tactiques agressives de triple extorsion. Alors que de nombreux groupes de rançongiciels utilisent une double extorsion impliquant le vol de données et des menaces pour divulguer des données volées en plus du chiffrement de fichiers, BlackCat utilise une troisième tactique : menacer de mener des attaques par déni de service distribué (DDoS) sur les victimes jusqu'à ce qu'elles paient.

BlackCat n'est pas le seul gang de rançongiciels à essayer de nouvelles tactiques pour faire payer les victimes. Le gang de rançongiciels Medusa a récemment attaqué le district des écoles publiques de Minneapolis (MPS), a volé des données sensibles, puis a chiffré les fichiers. Lorsque le paiement n'a pas été effectué, MPS a été ajouté au site de fuite de données du groupe et une menace a été émise pour publier l'ensemble des données volées lors de l'attaque. Le groupe a émis une demande de rançon de 1 million de dollars, le site de fuite de données offrant également les données volées à toute personne disposée à payer le même montant. Dans une nouvelle tournure, le groupe a également publié une vidéo montrant les données volées lors de l'attaque. La vidéo, d'une durée de 51 minutes, a été ajoutée comme preuve de l'étendue des données exfiltrées des systèmes de MPS.

Les gangs de rançongiciels ont dû adopter des tactiques plus agressives, car moins de victimes paient des demandes de rançon. Selon Coveware, au quatrième trimestre 2022, seulement 37 % des victimes ont payé une rançon suite à une attaque de ransomware, contre 76 % des victimes en 2019. Coveware affirme que plusieurs facteurs entraînent la réduction de la rentabilité des attaques de ransomware. Un investissement accru dans la planification de la sécurité et de la réponse aux incidents signifie que les organisations sont mieux préparées aux attaques et sont moins susceptibles de subir un impact matériel d'une attaque réussie. Le FBI et d'autres organismes chargés de l'application de la loi poursuivent toujours les auteurs de ces attaques, mais ils consacrent également davantage de ressources à aider les victimes à se rétablir. Coveware souligne également qu'à mesure que les revenus baissent, les coûts d'exploitation pour mener des attaques augmentent, ce qui signifie que moins d'acteurs de ransomwares peuvent vivre de la distribution de ransomwares et même les grands groupes de ransomwares en ressentent les effets, d'où la nécessité d'adopter de nouvelles tactiques pour faire pression sur les victimes et les contraindre à payer, améliorant ainsi la rentabilité des attaques.

Source : plainte

Et vous ?

En général, êtes-vous pour ou contre le paiement des rançons pour récupérer les fichiers et empêcher la divulgation des données sensibles ?
Qu'en est-il de ce cas particulier ?
Que pensez-vous de la plainte qui cible le fournisseur des soins de santé ?
À la lumière du fait qu' il s'agit de la deuxième violation de données affectant les patients du groupe de soins de santé de Pennsylvanie au cours des dernières années et du fait que la patiente n'avait même pas idée du fait que ses photos étaient conservées sur le réseau du groupe, que pensez-vous ?
La stratégie de la triple extorsion est-elle susceptible de porter plus des fruits selon vous ? Pourquoi ?

[Waikiki]

La plainte se base sur quelles données techniques et quelles expertises pour affirmer que la fuite était "évitable" ? (Question sérieuse, je ne cherche pas la polémique mais quelqu'un qui aurait eu le courage de lire la plainte au complet)

[TotoParis]

Visiblement, les données "sensibles", soit TOUTES, étaient en plus stockées en clair.
Tiens ça te ferait les pieds que ça t'arrive...

[Mathis Lucas]

Après avoir infecté un hôpital de cancérologie avec un ransomware, les pirates menacent de s'en prendre aux patients
afin de forcer l'hôpital à payer la rançon

Des hôpitaux américains ont été victimes de cyberattaques ces derniers mois et les pirates ont volé des dossiers médicaux comportant les données sensibles des patients, dont des numéros de sécurité sociale, des diagnostics et des résultats de laboratoire. Les responsables de ces hôpitaux ont refusé de payer les rançons, mais les pirates auraient commencé à s'en prendre directement aux patients eux-mêmes. Selon les témoignages, ils menaceraient de lancer des alertes à la bombe ou d'autres fausses alertes à la police pour que des agents lourdement armés se présentent au domicile des patients si les centres médicaux ne paient pas les rançons qu'ils ont demandées.

Les pirates informatiques s'adonnent de plus en plus à des méthodes extrêmes et semblent prêts à tout pour toucher une rançon. De nombreux centres de santés sont confrontés depuis quelques mois à une série de cyberattaques au cours desquelles les cybercriminels exfiltrent les données sensibles des patients. Bien que ce type de cyberattaque ne soit pas nouveau, les pirates menacent désormais de s'en prendre directement aux patients après que les hôpitaux concernés ont refusé de payer les rançons demandées. Non seulement les hôpitaux sont devenus une cible de choix pour les pirates, mais les patients sont aussi exposés à des risques importants.

En novembre, des pirates se sont introduits dans le réseau informatique du Fred Hutchinson Cancer Center de Seattle, dans l'État de Washington, et ont volé des dossiers médicaux. Ces dossiers comprennent des informations telles que des numéros de sécurité sociale, des diagnostics et des résultats de laboratoire. Le centre de cancérologie gère plus de 10 cliniques dans la région du Puget Sound, dans l'État de Washington. Integris Health, un autre réseau de centres de santé de l'Oklahoma, qui gère 15 hôpitaux et 43 cliniques, a également informé ses patients qu'il a subi une cyberattaque et que les données personnelles ont peut-être été violées.

Dans les deux cas, Fred Hutchinson Cancer Center et Integris Health ont refusé de payer les rançons demandées par les pirates. Mais ces derniers menacent désormais de s'en prendre directement aux patients eux-mêmes. L'idée est, semble-t-il, qu'en assaillant les patients, ces derniers et la couverture médiatique de l'opération feront pression sur les hôpitaux pour qu'ils paient et mettent fin à l'extorsion. D'autres cybercriminels agissent de la même manière lorsqu'ils s'attaquent à des fournisseurs de services informatiques : ils ne se contentent pas d'extorquer les fournisseurs, ils menacent aussi les clients de ces fournisseurs ou les extorquent encore plus.

Fin décembre, le site DataBreaches affirmait avoir contacté l'une des personnes impliquées dans le piratage d'Integris Health. Cette personne aurait affirmé qu'Integris Health n'avait pas entamé de discussions ou de négociations avec les pirates, bien que le centre médical savait que les pirates avaient acquis les informations de santé des patients. « Ils savent exactement ce que nous avons pris pendant des mois », a déclaré le pirate, ajoutant qu'avant que les acteurs de la menace ne commencent à contacter les patients, Integris Health ne disait pas aux patients ce qui avait été exfiltré. Il aurait reconnu le piratage après les premières plaintes des patients.

« Ce n'est qu'après avoir commencé à contacter directement les patients qu'Integris Health a admis que des données de patients avaient été acquises. L'équipe a été un peu négligente, nous avons laissé des CSV pour qu'ils sachent, et nous leur avons dit dans de nombreux courriels exactement ce que nous avions acquis », affirme la personne. Cette dernière a reconnu que les pirates d'Integris Health collaborent avec le groupe de pirates Hunters International qui serait à l'origine du piratage du Fred Hutchinson Cancer Center en novembre. Lors de sa correspondance avec le pirate, DataBreaches lui a demandé : « vous êtes donc Hunters International ? ».

La réponse du contact serait : « nous travaillons avec eux », et il a été plus direct en disant : « je ne fais pas partie des Hunters ». Le pirate aurait ensuite ajouté que, contrairement à Integris Health, Fred Hutchinson Cancer Center a discuté avec eux depuis longtemps et qu'il ne s'agissait pas d'une simple manœuvre dilatoire. « Ils ont parlé », a répété le contact, ajoutant qu'ils "s'énervent quand nous menaçons d'envoyer la police chez les patients". La suite de la conversation a été comme suit :

« Des patients du Swat ? », répète DataBreaches.

« Swat », a répété le contact.

« Envisagez-vous sérieusement le swat ? », demande DataBreaches.

Leur réponse fut immédiate et quelque peu glaçante : « pourquoi pas ? »

« C'est un niveau supérieur de mal… swatting cancer patients », a répondu DataBreaches.

« Nous ne l'avons pas fait », ont-ils répondu.

Le swatting est l'action ou la pratique consistant à lancer un canular auprès des services d'urgence dans le but de provoquer l'envoi d'un grand nombre d'officiers de police armés à une adresse donnée. Les auteurs de ces fausses alertes pensent faire un canular, mais cela peut avoir des conséquences graves. Le swatting occupe les équipes d'intervention des forces de l'ordre, les rendant indisponibles pour répondre aux vraies urgences. Il y a même eu des incidents de swatting au cours desquels des agents des forces de l'ordre ont été abattus et, dans un cas, la victime du swatting a été abattue par les forces de l'ordre.

À l'époque, DataBreaches a déclaré qu'il ignorait si la menace des pirates d'envoyer des policiers armés chez les patients a effectivement été proférée. DataBreaches a contacté Fred Hutchinson Cancer Center pour savoir s'ils avaient négocié avec les acteurs de la menace et si la menace avait été proférée ou mentionnée, mais n'avait obtenu aucune réponse. Mais de nouveaux rapports sur le sujet suggèrent que les acteurs de la menace aient mis leurs menaces à exécution. Selon ces rapports, et les déclarations de certains patients et de personnes liées aux centres médicaux qui ont été victimes de piratage, les pirates ont commencé à contacter les patients.

« Le Fred Hutchinson Cancer Center a été informé que des cybercriminels avaient proféré des menaces de swatting et a immédiatement prévenu le FBI et la police de Seattle, qui a prévenu la police locale. Le FBI, dans le cadre de son enquête sur l'incident de cybersécurité, a également enquêté sur ces menaces », explique un porte-parole du centre médical. Certains patients d'Integris Health auraient déclaré avoir reçu des courriels de malfaiteurs menaçant de vendre leurs informations sur le dark Web. Certains experts craignent que la tentative d'extorsion directe des patients après une violation de données dans les hôpitaux devienne la "nouvelle norme".

Well sure as shit I got my email confirming what I already suspected with Integris. pic.twitter.com/3m9blkl5Hi

— Jonathan (@hackdba) December 26, 2023

« Alors que nous travaillons avec des spécialistes tiers pour enquêter sur cette affaire et déterminer l'étendue des données affectées et à qui elles se rapportent, nous fournissons ici les dernières informations aux patients et au public. Au fur et à mesure que nous confirmons les personnes concernées, nous les contactons pour les informer et les aider, notamment en leur donnant accès pendant 24 mois à des services gratuits de surveillance du crédit et de protection de l'identité. Notre enquête étant en cours, nous ne sommes pas en mesure de fournir des informations supplémentaires pour l'instant », a déclaré un porte-parole d'Integris Health à The Register.

Ce type de réponses passe-partout n'est peut-être pas aussi rassurant que le pensent certaines entreprises. Cette dernière menace de swatting soulève des questions inquiétantes quant à la frontière que les criminels sont prêts à franchir dans leur quête de butin. « Les rançons ont été autorisées à atteindre les niveaux du jackpot de la loterie, et le résultat prévisible est que les gens sont prêts à utiliser des mesures de plus en plus extrêmes pour obtenir un paiement », affirme Brett Callow, analyste des menaces chez l'entreprise de sécurité néo-zélandaise Emsisoft. La semaine dernière, l'entreprise a appelé à une interdiction totale des paiements de rançons.

Elle a déclaré que les tactiques d'extorsion devenaient de plus en plus extrêmes et incluaient désormais des menaces de swatting. « Malheureusement, je pense que ce n'est qu'une question de temps avant que les cybercriminels ne commencent à utiliser la violence du monde réel pour soutenir la cyberextorsion. En supposant qu'ils ne l'aient pas déjà fait », affirme Callow. D'un autre côté, Sam Rubin, vice-président de l'unité 42 Consulting chez Palo Alto Networks, a déclaré que son équipe n'avait pas vu de tentatives de swatting par des équipes d'extorsion en 2023, mais il a déclaré qu'il n'est pas surpris et que le changement de tactique semble probable.

« Je ne suis pas du tout surpris. Au cours des deux dernières années, nous avons assisté à une évolution constante des tactiques d'extorsion dans le cyberespace. Si l'on remonte dans le temps, il ne s'agissait que de chiffrement », a-t-il ajouté, à propos des rapports sur les patients cancéreux de Seattle susceptibles de recevoir ce type de menaces. Dans le même temps, les analystes affirment que les attaques de ransomware contre les infrastructures critiques, y compris les hôpitaux, sont de plus en plus fréquentes. Emsisoft a signalé 46 infections contre des réseaux hospitaliers américains rien que l'année dernière, contre 25 en 2022.

Au total, au moins 141 hôpitaux ont été infectés et au moins 32 des 46 réseaux se sont fait voler des données, y compris des informations de santé protégées. Il est déjà assez grave que ces attaques aient détourné des ambulances et reporté des soins critiques pour des patients, et maintenant les criminels infligent encore plus de souffrance aux gens. L'année dernière, ils ont notamment divulgué des nus de patientes atteintes d'un cancer du sein. Le swatting semble être la prochaine étape, bien que détestable. Selon les analystes, il s'agit d'une attaque critique dirigée contre des patients sans défense et qui comprend des risques pour le système médical.

Sources : Fred Hutchinson Cancer Center, Integris Health, DataBreaches

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous de l'augmentation du nombre de cyberattaques contre les hôpitaux ?
Selon vous, qu'est-ce qui pourrait expliquer cela ? Ces réseaux critiques sont-ils mal protégés ?
Que pensez-vous de la tactique qui consiste à menacer les patients pour faire pression sur les hôpitaux ?
Comment peut-on lutter contre ce phénomène qui tend à devenir une norme dans l'univers des cybercriminels ?

Voir aussi

Nouvelle loi américaine : les cyberattaques doivent être signalées dans les 72 heures, et tout paiement après une attaque de ransomware devra être signalé dans les 24 heures

Les cyberattaques mondiales ont augmenté de 38 % en 2022, celles en Europe ont augmenté de 26 %, la France a connu une augmentation de 19 % des cyberattaques, selon Checkpoint

L'un des programmes d'espionnage américains les plus controversés vient d'être renouvelé discrètement, malgré les abus documentés du FBI et une tentative pour y mettre un terme

[JP CASSOU]

Peine de mort obligatoire contre les auteurs de ransomwares. On ne discute plus.
On me dira qu'il est très difficile de les débusquer. OK, mais dès qu'on en chope un, il paiera pour les autres. Lui et sa famille (notion de 'responsabilité collective: S**T)

[AoCannaille]

Peine de mort obligatoire contre les auteurs de ransomwares. On ne discute plus.
On me dira qu'il est très difficile de les débusquer. OK, mais dès qu'on en chope un, il paiera pour les autres. Lui et sa famille (notion de 'responsabilité collective: S**T)

La peine de mort n'est pas dissuasive. On sait ça depuis des décennies, et c'est entre autre pour ça qu'elle a été abolie. La seule chose dissuasive, c'est la probabilité de se faire attraper.

être certain à 100% de choper une amende de 90€ est plus dissuasif qu'une menace de 1000 ans de prison. Et c'est pour ça que les radars automatiques fonctionnent.

Et comme tu le dis, c'est difficile de débusquer. En attendant si tu veux éviter que ça se reproduise, il vaut mieux augmenter les moyens de la police et de la justice plutôt qu'augmenter les peines encourues. Autrement ce n'est que du vent.

[Anselme45]

Peine de mort obligatoire contre les auteurs de ransomwares. On ne discute plus.
On me dira qu'il est très difficile de les débusquer. OK, mais dès qu'on en chope un, il paiera pour les autres. Lui et sa famille (notion de 'responsabilité collective: S**T)

Ne serait-ce pas plus simple de ne pas connecter le réseau interne de l’hôpital à internet???


Pas de connexion internet, pas de ransomware, personne à débusquer, personne à condamner...

[Fagus]

Ne serait-ce pas plus simple de ne pas connecter le réseau interne de l’hôpital à internet???


Pas de connexion internet, pas de ransomware, personne à débusquer, personne à condamner...

Plus possible. Plein de fournisseurs externes de matériel médical (depuis le dictaphone jusqu'à la machine IRM) fournissent du matériel qui ne marche qu'en ligne.
Le tout en ligne ça arrange la DSI : plus de serveur ni de logiciels à gérer, tu délègues tout au cloud souverain de microsoft...

En plus je vous dis pas la passoire que sont les dispositifs médicaux. Os plutôt jamais à jour plutôt que le contraire. Appareils qui tournent parfois en mode admin. Accès privilégié à travers le réseau avec authentification par IP (ou simple nom) sans chiffrage. Appareils là parfois depuis tellement longtemps que plus personne ne sait qu'ils existent. Fournisseurs extérieurs qui utilisent le même mot de passe admin de contrôle à distance sur toute la France (mot de passe style Pegase2021!, qu'on incrémente tous les ans au passage). Réemploi de mots de passe à gogo... Dans nos jeunes années, un pote et moi on a bien rigolé de tout ça, mais ça change pas vite...

Comme les hôpitaux ont pour mission 1ère d'économiser, autant dire que la sécurité informatique (ou même l'existence de sauvegardes), c'est tout désigné...

Pourtant, c'est pas comme si c'était la France qui avait inventé l'authentification et la sécurisation des communications par carte à puce... Quand on veut, on peut. Par ex, les cartes "vitales" patient et pro, c'est de la crypto asymétrique avec une autorité de certification, bien avant le https... J'ai entendu dire que ce genre de techno avait été proposé pour sécuriser les hôpitaux dans les temps préhistoriques, puis refus de financement et fin des boîtes qui s'étaient lancées.

[Nb]

@fagus effectivement quand on veut on peut, mais peu d organismes realisent vraiment à quel point leur SI est vital et qu investir dans la sécurité devrait être une depense non discutable, sinon ils arreteraient le saas, le cloud et autres joyeusetés à la mode etc...
En revanche je doute tres fortement que les cartes vitales soient sorties avant le https

[Anselme45]

Plus possible.

Rien n'est impossible!!!

D'autant plus dans un domaine tel que les équipements médicaux qui sont soumis à des normes et des standards très stricts.

Il suffit que certains fonctionnaires se mettent à travailler et modifient quelques paragraphes de leur oeuvres et en moins d'un an la totalité des équipements médicaux ne sont plus connectés à internet.

Mais encore faut-il être compétents dans les domaines dont on a la charge...

[Prox_13]

Rien n'est impossible!!!

D'autant plus dans un domaine tel que les équipements médicaux qui sont soumis à des normes et des standards très stricts.

Il suffit que certains fonctionnaires se mettent à travailler et modifient quelques paragraphes de leur œuvres et en moins d'un an la totalité des équipements médicaux ne sont plus connectés à internet.

Mais encore faut-il être compétents dans les domaines dont on a la charge...

Le souci étant que le budget des hôpitaux n'est pas indéfiniment extensible, et avoir des restrictions budgétaires alors que l'activité ne fait qu'augmenter, cela rend impossible d'avoir des projets de refonte du réseau interne sans faire des compromis.

[Fagus]

@fagus effectivement quand on veut on peut, mais peu d organismes realisent vraiment à quel point leur SI est vital et qu investir dans la sécurité devrait être une depense non discutable, sinon ils arreteraient le saas, le cloud et autres joyeusetés à la mode etc...
En revanche je doute tres fortement que les cartes vitales soient sorties avant le https

Oui, on peut en effet, rien n’empêche de créer plusieurs réseaux physiques séparés, un pour l'intranet, et un autre pour les équipements qui doivent nécessairement communiquer parce que le fabriquant a décidé de garder son logiciel sur leurs serveurs et de ne plus rien laisser tourner en local.
Le problème c'est que ces équipements envoient aussi leurs données sur l'intranet de manière obligatoire (parce que c'est leur raison d'être que d'abonder au dossier médical), ce qui remet en cause le concept du double réseau... Donc il faut ouvrir un accès à ces équipements dans l'intranet...


Les cartes vitales c'est 1998. C'est après https, mais avant qu'https soit devenu omniprésent.

[calvaire]

j'ai l'impression que chaque hopital gere sa popote chacun dans son coin, en france ou a l'étranger.
en france j'ai été surpris d'apprendre que chaque académie choissisiait aussi sont intranet (pronote par exemple)


es ce que chaque base militaire gere sa tambouille dans son coin ? non, alors pourquoi l'informatique des hopitaux et des écoles ne sont pas gérer au niveau national, j'ai pas forcément dit par l'état avec des fonctionnaire, ca peut etre un prestataire privé au service de l'état. En france on a OBS, Atos, par exemple qui peuvent s'en charger.

l'infra telecom d'orange est plus blindé que nos hopitaux, c'est quand même incroyable.
confié ca a ceux a qui c'est le domaine de compétence au lieu de payer au lance pierre 2 pauvres dev junior ayant suivie une formation online de 2 semaines (seul profil qui accepte le job vu le faible salaire proposé et se casse apres 2ans de vrai expérience pour trouver un vrai boulot).
une pote du cnrs a ca , c'est un jeunot qui connait pas grand chose à l'it qui s'occupe de l'infra de leurs labo, c'est le seul qui s'ont pu trouver avec le salaire proposé.
et le pauvre n'y connais pas grand chose mais en plus doit faire avec des budgets ricraq (ils ont encore des pc sous windows 7 connecté à internet, non maintenue évidement car pas de budget pour changer de pc pour acheter une licence, et non acheter une licence à 7€ sur amazon c'est pas possible dans la fonction publique, ca passe par un catalogue hors de prix ou une appelle d'offre, qui doit être contrôlé par 10 contrôleurs et 10 comptables minimum, tu paie une licence windows 10 500€, et ca mets 6mois pour arriver le temps que ta requête soit approuvé, et si par malheurs dans la compta il y'a une erreur de 10 centimes ont lance une enquête pour corruption)

[Anselme45]

parce que le fabriquant a décidé de garder son logiciel sur leurs serveurs...

Le fabriquant ne décide rien! C'est le client qui décide!!!

La France est le pays le plus centralisé du monde! Un seul mec à Paris peut décider de ce qui est acheté ou non dans l'hôpital le plus reculé dans le bled de Virlegeux-sur-Seine!!!


Tu dis aux fabricants "votre matos doit fonctionner en local, on ne veut pas de votre cloud, sinon vous ne vendez plus rien en France, pays de 67 millions d'habitants et le problème est réglé! Le fabricant adapte sa politique pour continuer à s'engraisser (les équipements médicaux sont l'un des domaines où les marges sont astronomique) et qui plus est en disant merci!

[AoCannaille]

es ce que chaque base militaire gere sa tambouille dans son coin ? non,

Tu serais surpris. Chaque base, non, mais entre les différentes armées, oui. Un exemple parlant est l'échec de Louvois qui visait justement à avoir un traitement unique entre lesdites armées. Et là, on ne parle que d'un logiciel de calcul de paie, pas d'infrastructure complète, sur le papier il y a moins de complexité.
Quand on voit la catastrophe budgétaire que ce fût, je comprends qu'ils reste pas mal de frileux à l'homogénéisation dans les administrations. à tort ou à raison je ne sais pas, je ne suis pas dans les secrets des dieux, mais je peux comprendre.

[calvaire]

Tu serais surpris. Chaque base, non, mais entre les différentes armées, oui. Un exemple parlant est l'échec de Louvois qui visait justement à avoir un traitement unique entre lesdites armées. Et là, on ne parle que d'un logiciel de calcul de paie, pas d'infrastructure complète, sur le papier il y a moins de complexité.
Quand on voit la catastrophe budgétaire que ce fût, je comprends qu'ils reste pas mal de frileux à l'homogénéisation dans les administrations. à tort ou à raison je ne sais pas, je ne suis pas dans les secrets des dieux, mais je peux comprendre.

j'ai déjà déployer d'importante maj sur des systèmes avec plusieurs milliers d’utilisateurs.
l'astuce on la connait et toute les boites sérieuse le fait, on expérimente sur une minorité d'utilisateur, on déploie pas sur 100% du parc je jours j.
C'est pas un échec qui doit remettre en cause un minimum de centralisation.

pour les retraites y'a eu trop de laissé allé et faut remettre de l'ordre, c'est pas normal que limite chaque retraité a son propre régime spécial... donc continuer comme avant c'est pas bon non plus a créer toujours plus de règles et d’exception.
Il doit dans les divers logiciels de gestions des retraites des tonnes de conditions if dégeulasse dans du code legacy inchangé depuis 20ans.

un exemple pas mal c'est de comparer le nombre de page du code du travail de la France et de la suisse. 500 pages max contre 3300 pour la France. Le but de mon propos c'est pas de pester contre les droits des salariés mais juste de trouver un bon équilibre et que parfois faut rationaliser.
Malgré le "faible" nombre de page, il me semble pas que en suisse les salariés soient des esclaves.

[smarties]

Le budget des hôpitaux n'est pas le même entre les Etats-Unis et la France quand on voit les frais médicaux (astronomiques) aux USA. En France c'est de l'argent public qui fournit un service public qu'il faut gérer, aux USA l’hôpital ressemble plus à une entreprise.

[Fagus]

Le fabriquant ne décide rien! C'est le client qui décide!!!

...

Oui tout à fait. C'est la raison pour laquelle les hôpitaux public se traînent avec des logiciels mal fichus hérités de windows 98, des serveurs vieillots sous windows 2003, des postes avec des caractéristiques techniques incroyablement en dessous de la configuration minimale demandée par les éditeurs.
Parce que le client, très endetté et en déficit permanent, a décidé de dépenser le moins possible et de choisir les éditeurs pour leurs prix. ça simplifie la question de développer un logiciel sur mesures... On parle d'un client qui ne paie pas ses fournisseurs en temps et en heure, et ne revient payer que lorsque qu'une trop grosse partie du parc est tombé en panne faute de la maintenance externe. C'est ça la triste réalité.

[Anselme45]

Oui tout à fait. C'est la raison pour laquelle les hôpitaux public se traînent avec des logiciels mal fichus hérités de windows 98, des serveurs vieillots sous windows 2003, des postes avec des caractéristiques techniques incroyablement en dessous de la configuration minimale demandée par les éditeurs.
Parce que le client, très endetté et en déficit permanent, a décidé de dépenser le moins possible....

Le fait que la France soit un pays en faillite n'est pas une nouveauté! Un ex-premier ministre, Fillon pour ne pas le nommer, l'avait officiellement annoncé dans un discours.

Les hôpitaux n'ont qu'à virer les administratifs qui ne servent à rien à part alourdir le fonctionnement des hôpitaux et il y aura suffisamment d'argent pour améliorer les conditions des soignants et avoir une informatique de pointe!!!

La France aime tellement se comparer à l'Allemagne alors allons-y : 5,5 millions de fonctionnaires pour 67 millions d'habitants en France, 1,5 millions de fonctionnaires pour 83 millions d'habitants en Allemagne... Cherchez l'erreur! Et je ne parle pas de la Suisse, 300 000 fonctionnaires pour 10 millions d'habitants... Est-ce que la Suisse est un pays mal géré ?

[AoCannaille]

Le fait que la France soit un pays en faillite n'est pas une nouveauté! Un ex-premier ministre, Fillon pour ne pas le nommé, l'avait officiellement annoncé dans un discours.

C'est toujours plus simple pour expliquer qu'on ne fasse rien de projectif de dire que les caisses sont vide.

Les hôpitaux n'ont qu'à virer les administratifs qui ne servent à rien à part alourdir le fonctionnement des hôpitaux et il y aura suffisamment d'argent pour améliorer les conditions des soignants et avoir une informatique de pointe!!!

Supprimer les administratifs certainement pas, ça prendrait du temps aux non administratifs! Il faut réduire drastiquement la paperasse! Mais ceux qui veulent supprimer des fonctionnaires sont en général ceux qui mettent de la paperasse au cul des personnels pour en tirer des saints indicateurs qui créeront une baisse de productivité et légitimeront une saignée dans les personnels...

La France aime tellement se comparer à l'Allemagne alors allons-y: 5,5 millions de fonctionnaires pour 67 millions d'habitants en France, 1,5 millions de fonctionnaires pour 83 millions d'habitants en Allemagne... Cherchez l'erreur!

D'un point de vue rhétorique, on peut se comparer à ceux qui ont moins de fonctionnaire que la France et qui iraient mieux que la France et en déduire qu'il nous faut moins de fonctionnaire, c'est vrai, mais à quel pourcentage ? On ne peux nier que beaucoup de pays qui ont moins de fonctionnaire que nous vont moins bien que nous.
Par contre, dans l'autre sens, ça marche aussi : On peut se comparer aux pays qui ont plus de fonctionnaires que nous et iraient mieux que nous, et là le pourcentage est simple : 100% des pays qui ont plus de fonctionnaires que nous fonctionnent mieux que nous.

Et je ne parle pas de la Suisse, 300 000 fonctionnaires pour 10 millions d'habitants... Est-ce que la Suisse est un pays mal géré???

Je pense que pour la suisse et pour l'allemagne, le diable se cache dans les détails et les chiffres que tu donnes ne concernent que les fonctionnaires fédéraux, et qu'il y a plein d'emplois publics au niveau landers et cantons ;-)