Présentation

  • : Le blog de Décideur Public - Univers Numérique
  • Le blog de Décideur Public - Univers Numérique
  • : Blog d’informations gratuit et indépendant dédié à l'univers numérique et au secteur public. Rédacteur en chef : Rita Audi rita.audi@decideur-public.info
  • Contact

22 mai 2017 1 22 /05 /mai /2017 08:45

Philippe Delahaye
Directeur Commercial & Marketing
CDC Arkhineo

Voici une question qui revient fréquemment. En termes d’engagements et de responsabilités vis-à-vis des documents confiés, qu’est-ce qui fait la différence entre un Tiers-Archiveur et un logiciel de gestion d’archives accessible chez un hébergeur ? 

Sur le papier, un hébergeur met à disposition de ses clients une infrastructure informatique sécurisée, constituée d’un ensemble de serveurs, de baies de stockage, de switchs et d’autres équipements informatiques, ainsi que de l’alimentation électrique et des moyens de climatisation. Son engagement porte donc essentiellement sur la qualité du service proposé, notamment en matière de disponibilité (délai de rétablissement en cas de pannes correspondant à des niveaux de service, etc.), mais aussi de performances (temps de réponse lié à la capacité réseau et à la bande passante, etc.) et de sécurité du service et des accès aux serveurs (et éventuellement le chiffrement des données sensibles). L’éditeur, quant à lui, que son modèle soit basé sur un coût « one shot » ou sur un abonnement, vend une licence d’utilisation du logiciel et fournit la maintenance corrective et évolutive du logiciel (et le support téléphonique).

Une obligation de moyens
L’hébergeur s’engage à mettre en place les mesures techniques et organisationnelles de nature à empêcher tout accès non autorisé aux serveurs et logiciels ou utilisation frauduleuses des données. Comme dans la plupart des contrats de service, l’obligation pesant sur l’hébergeur est une obligation de moyens, la charge de la preuve du manquement incombant au client. Le client pourra certes réclamer le paiement des pénalités prévues dans la SLA (engagements de qualité de service) au cas où le niveau de service promis ne serait pas conforme, mais s’il souhaite être indemnisé d’un quelconque préjudice (ce qui, en droit, est différent des pénalités qui compensent une mauvaise qualité de service) c’est lui qui devra prouver le comportement fautif de l’hébergeur et le rechercher en responsabilité (et éventuellement vis à vis de l’éditeur).

Éditeur chez un hébergeur : une responsabilité floue 
Il conviendra également d’être vigilant dans le cas où un éditeur installe son logiciel pour son client chez un hébergeur et laisse supposer qu’il est ainsi “Tiers-Archiveur”, mais sans aucun engagement sur les données, ni sur le respect des contraintes normatives en matière de conservation des données numériques. Par ailleurs, dans le cas où les documents ainsi archivés sont susceptibles de contenir des données personnelles, il convient d’être attentif à la localisation des données et la nationalité de l’hébergeur (dans le cas où celui-ci hébergerait les données hors du territoire de l’UE et/ou s’il n’est pas de « nationalité » européenne, il sera indispensable d’obtenir une dérogation de la CNIL). L’éditeur n’est ainsi responsable que du support, de la maintenance corrective et évolutive de son logiciel, et l’hébergeur de la mise à disposition de moyens techniques. Ce qui peut être à l’origine de grosses déconvenues pour le client qui, d’une part, pourrait perdre des données (avec toutes les conséquences qui en découlent) et d’autre part, ne disposerait d’aucun recours en responsabilité ni contre l’éditeur, ni contre l’hébergeur.

Le “Tiers-Archiveur” doit montrer “patte blanche”
En matière d'archivage électronique, tout l’enjeu réside dans la fourniture d’un service destiné à garantir le maintien de la valeur probante des documents et leur conservation dans le temps. Le Tiers-Archiveur doit donc offrir des garanties supplémentaires par rapport à un simple hébergeur. Peu importe les temps de réponse ou la nature des supports de stockage, l’important ici c’est bel et bien la pérennité des documents, à laquelle s'ajoutent d'autres notions comme l'intégrité, l'intelligibilité, la traçabilité, la confidentialité, l'identification et la localisation des données. La faute sera donc présumée du seul fait de la non réalisation de l’objectif fixé, principe même de l’obligation de résultat. Cette dernière obligation naît du rôle de tiers dans son sens légal.

Une confiance renforcée avec eIDAS ?
Ainsi, quel que soit le service offert (authentification, signature, horodatage, archivage, preuve...), la notion de tiers impose une véritable reconnaissance. Et de ce côté-là, le principe de la certification constitue un bon moyen de consolider l’environnement de confiance dont l’économie numérique a besoin. La certification NF461 (basée sur un audit réalisé par des auditeurs agréés utilisant un même référentiel agréé à cette fin) permet au client de s’assurer que le Tiers-Archiveur réalise sa prestation selon les « bonnes pratiques » définies dans les normes AFNOR NF Z42-013 et ISO 14641-1. Le règlement eIDAS de juillet 2016 tient compte de ce principe et introduit un certain nombre de nouvelles règles, parmi lesquelles la reconnaissance du document électronique en tant que preuve devant la justice, mais aussi la création d’une « qualification » des prestataires. Afin d’aider à la transparence, chaque Etat membre se voit dans l’obligation d’établir des listes des prestataires de services de confiance qualifiés (PSCO) et des services de confiance offerts, qui pourront dès lors se prévaloir du « label de confiance de l’Union » et pourront être repérés grâce à son logo.

Sécurité renforcée
Pour être qualifiés PSCO, ils devront s’appuyer sur les standards décrivant les mesures à mettre en place : analyse de risques, plan de cessation d’activité, notifications en cas d’atteinte à la sécurité, contrôles, responsabilités, respect des normes de référence (NF Z 42-013, ISO 14641-1 et ISO 27001) etc. L’interopérabilité technique des systèmes passe donc par la coopération des pays membres. Précisons enfin que pour obtenir cette fameuse « qualification », les prestataires de services de confiance devront se soumettre à des audits attestant du respect des mesures définies dans les standards adossés au règlement. 

Moralité : avant de se lancer dans l’archivage électronique, les organisations ne doivent pas regarder uniquement la face émergée de l’iceberg, mais aussi tenir compte de tout le reste et plus particulièrement des certifications/qualifications, engagements et responsabilités du prestataire choisi. 

 

Repost 0
Published by Décideur Public - Systèmes d'Information - dans Avis d'Expert
commenter cet article
11 mai 2017 4 11 /05 /mai /2017 18:13

Simon OSTERMANN
Responsable Pôle Santé
PRO ARCHIVES SYSTEMES

 

En permettant la destruction des originaux papiers et en façonnant un cadre légal pour la copie numérique, le législateur impose définitivement la dématérialisation dans le paysage médical. Or, pour l’instant, la majorité des établissements de santé ne fait qu’effleurer le sujet. En effet, quelle voie choisir entre le tout numérique et la survivance d’un format papier qui n’a pas fini d’être utile … et utilisé ?

La nature du dossier médical, rend la problématique de sa traçabilité extrêmement sensible. D’autant que les archivistes et les secrétaires médicales qui en ont la charge doivent non seulement composer avec des classements anciens et hétérogènes, tout en veillant au respect des durées de conservation, mais aussi gérer l’identitovigilance (système garantissant au patient une parfaite identification durant son parcours de soins) et permettre au patient d’accéder à son dossier médical dans les meilleurs délais. Un véritable challenge. 

L’accélération législative et normative
Heureusement, des textes essentiels ont vu récemment le jour pour les aider à accélérer cette transition digitale. Ainsi, le décret du 5 décembre 2016 et les ordonnances de janvier 2017 fixent des règles précises sur la dématérialisation fiable, la destruction et l’hébergement qui en découlent. La force probante est désormais indifférente au support, que le dossier soit sous format papier ou numérique. Pour conférer le caractère de fiabilité, la reproduction doit se faire à l'identique de la forme et du contenu de l'original, que soit utilisés un horodatage et une signature électronique qualifiés ; et que l'intégrité soit garantie dans le temps (conservation des traces et des empreintes électroniques). Partant de ce principe, la destruction de l’original papier est autorisée avant la fin de la durée légale de conservation. Ce nouveau cadre réglementaire est par ailleurs concomitant de la norme NF Z42-026 dont le respect des spécifications aboutira à la suppression de l’original papier. Tout cela crée donc un équilibre nouveau permettant aux professionnels de santé de redéfinir leur politique d’archivage.

Le déclin du papier face à la réalité du terrain
La fin du papier permettra notamment de résoudre les problèmes liés à l’intégrité des données médicales confrontée à l’usure du temps, mais aussi à leur confidentialité dans des salles d’archives mal sécurisées, et à la pénurie d’espace dans des locaux inadaptés. Si le déclin du papier est désormais une réalité, la migration vers le digital sera malgré tout progressive pour les établissements de santé. Certains ont déjà fait un premier pas grâce au DPI (dossier patient informatisé) pour les dossiers de MCO notamment ; mais cette informatisation ne concerne pas 100% des dossiers médicaux.

Des obstacles et des doutes à lever
Les obstacles à une digitalisation complète du dossier médical restent, en effet, nombreux. Á l’attachement psychologique au papier s’ajoutent son utilisation fréquente pour les besoins liés à la prise en charge médicale des patients (entraînant l’impression d’éléments pourtant informatisés), la formation des agents sur les nouveaux logiciels (dans un contexte de surcharge de travail) ou encore la gestion des temps de réponses de plus en plus longs des applications. Autant de contraintes qui freinent cette digitalisation. 

Vers une gestion mixte et maîtrisée
Pour répondre de manière pragmatique aux véritables besoins des établissements de santé, la solution réside dans l’immédiat dans une gestion mixte, mêlant papier (de moins en moins) et digitalisation (de plus en plus). La plupart des services l’ont d’ailleurs déjà apprivoisé. Il faut maintenant les aider à y voir plus clair dans les choix qui s’offrent à eux et élaborer des stratégies pertinentes de numérisation, conservation ou destruction, en fonction de la nature des archives et du rythme des flux. Les personnels doivent donc aujourd’hui être formés, aussi bien à la gestion de documents nativement numériques que de documents papier (qu’il convient de mieux classer pour optimiser le temps et l’espace). 

La quête du SIH convergent 
Les réponses sont également techniques, tournées vers un système d’information efficace et homogène afin d’éviter les lourdeurs de gestion de SI bâtis sur des infrastructures hétérogènes. C’est le sens notamment du système d’information hospitalier convergent mis en place actuellement au sein des GHT (groupements hospitaliers de territoire) voulus par la loi du 26 janvier 2016 de modernisation de notre système de santé.

In fine, au lieu de vouloir tout numériser, n’est-il pas préférable de numériser les dossiers les plus mouvementés afin de diminuer la circulation du papier, éviter les problèmes de traçabilité et de surcoûts, et rendre ainsi l’accès des dossiers plus facile et rapide ?

 
Repost 0
Published by Décideur Public - Systèmes d'Information - dans Avis d'Expert
commenter cet article
20 avril 2017 4 20 /04 /avril /2017 12:33
Xavier GODARD, Directeur Marché Secteur Public chez Foliateam

Xavier GODARD, Directeur Marché Secteur Public chez Foliateam

Le numérique transforme nos modes de vie dans tous les domaines. Le secteur marchand multiplie les nouveaux services digitaux pour faciliter la vie des consommateurs. Les solutions de messagerie et les réseaux sociaux bouleversent notre manière de communiquer. Le digital est aujourd’hui une opportunité pour les collectivités de simplifier certains services au public et de gagner en efficience dans un contexte très contraint financièrement.

Selon les résultats d'une enquête menée par la société d'études indépendante Markess auprès de cinquante décideurs de collectivités locales, les collectivités peuvent articuler leurs actions autour de plusieurs axes de développement prioritaires : l’amélioration de la relation avec les citoyens, la maîtrise des dépenses, l’augmentation de l’efficacité des agents, les synergies avec d’autres collectivités et l’avènement des Smart Cities. Pour atteindre ces objectifs, les collectivités doivent donc s'engager dans la transformation digitale. Le numérique permettra une Gestion de la relation citoyen (GRC) plus efficace et facilitera la relation de l’individu à l’administration par le transfert de données à tout moment ou encore la mise en œuvre de procédures comme la demande d’état civil en ligne.

Les enjeux de la transformation digitale vont plus loin que les simples améliorations techniques. L’apport de la digitalisation doit se traduire, entre autres, par l’aide aux personnes morales et physiques, et une meilleure intervention sur l’espace public et ses équipements. Parmi les moyens que fournira la transformation digitale, la communication unifiée offre une panoplie d’outils qui permettront notamment aux agents des collectivités la mise en œuvre de processus plus pertinents et plus efficaces pour répondre aux besoins des citoyens toujours plus exigeants, cette amélioration des modes de travail des agents restant la préoccupation principale des collectivités avec la maîtrise des dépenses (Étude Markess 2013-2016).

Aujourd’hui, c’est une nécessité tant organisationnelle que règlementaire, les municipalités doivent se moderniser pour optimiser leurs services et réduire leurs coûts. Pour ce faire, leur première priorité est d’améliorer les communications internes via ces nouveaux outils numériques. Ils doivent, dans un second temps, faciliter la vie des citoyens en simplifiant les démarches administratives, réclamations, action sociale, enfance. Les citoyens souhaitent être renseignés rapidement, sans se déplacer.

Au-delà de ces priorités à court et moyen termes, se dessine en perspective une réalité dans l’évolution de notre rapport à notre ville : l’avènement des villes intelligentes. Or, cette transformation déjà en cours commence par cette première étape indispensable de refonte de leur communication, tant voix que données. 

 

Repost 0
Published by Décideur Public - Systèmes d'Information - dans Avis d'Expert
commenter cet article
30 mars 2017 4 30 /03 /mars /2017 16:32
Christophe Auberger, Directeur Technique France, Fortinet

Christophe Auberger, Directeur Technique France, Fortinet

Les grandes entreprises ont rapidement adopté le cloud computing au cours des 10 dernières années, et cette tendance, loin de fléchir, devrait même s’accélérer. Les infrastructures cloud privées, et notamment la virtualisation et les réseaux SDN, contribuent à transformer les centres de données qui hébergent la majorité des charges serveur corporate dans le monde. Les entreprises adoptent également les clouds publics à un rythme effréné, souvent associés à un rétro-lien vers un environnement sur site pour définir, in fine, un cloud hybride. S’ils présentent des avantages tangibles, ces changements rapides d’infrastructures sont néanmoins source d’inquiétudes en matière de sécurité et pèsent sur la capacité à protéger les utilisateurs finaux et les données, face à des menaces en perpétuelle évolution.

Les centres de données d’entreprise actuels évoluent d’environnements statiques internes vers un mix de cloud privés, publics et hybrides, et les organisations sont tenues de renforcer leurs pare-feux et autres appliances de sécurité (déployés en périphérie de réseau) pour inspecter le trafic entrant et sortant. Le trafic interne, qui transite latéralement, sur les réseaux internes et entre environnements cloud, doit également être protégé.

Pour une sécurité optimale au sein des clouds privés, publics et hybrides, les organisations doivent renforcer, voire redéployer leur sécurité, pour mieux s’adapter à des environnements temps-réel multisites et rapides. Voici quelques éléments à prendre en compte pour atteindre un tel objectif :

Évolutivité

Le cloud computing permet de déployer et de fournir rapidement des applications particulièrement évolutives. La sécurité doit être élastique pour se dimensionner à l’infrastructure en elle-même, et offrir une protection transparente et ce, sans ralentir les opérations.

Les environnements cloud actuels nécessitent des pare-feux ultra-rapides qui assurent la protection des flux entrants et sortants des centres de données, ainsi que la sécurité des réseaux en périphérie des clouds privés. Des pare-feux virtualisés sont également nécessaires pour protéger les flux entrants et sortants des clouds publics. Enfin, ce sont des pare-feux virtualisés qui sont requis pour sécuriser le trafic interne et latéral, à savoir les données et transactions entre équipements constitutifs d’un cloud. Les pare-feux et appliances de sécurité réseau hautes-performances doivent assurer une évolutivité verticale, pour répondre aux besoins en volume et performances, mais aussi latérale pour identifier et sécuriser les données issues des objets connectés et des terminaux, sur l’ensemble du réseau / des centres de données multisites, et ce, jusqu’au cloud.

Segmentation

Avec les gains d’efficacité résultant de la mutualisation des ressources informatiques, de stockage et réseau, rendue possible grâce aux technologies de virtualisation et de réseau SDN, les environnements cloud sont de plus en plus agrégés jusqu’à permettre une consolidation des centres de données dans leur globalité. Le niveau de protection des ressources critiques et du réseau interne reste faible, face à un hacker ou une menace de type ATP qui franchit la périphérie du cloud via une seule application vulnérable. Pour maîtriser ce risque, les organisations doivent cloisonner les départements métiers et les applications. Les réseaux doivent être segmentés de manière intelligente en des zones de sécurité fonctionnelles qui permettent le contrôle du trafic interne.

Une segmentation de bout en bout offre une visibilité précise sur le trafic du réseau multisite. Cette visibilité identifie et permet de mettre en quarantaine les dispositifs infectés, pour ainsi maîtriser la prolifération des logiciels malveillants. Une segmentation de bout en bout utilise des pare-feux de segmentation interne sur l’ensemble des centres de données, sites principaux et succursales, et sécurise la micro-segmentation pour les SDN et les environnements cloud.

“Awareness”

Au-delà de l’évolutivité et de la segmentation, l’infrastructure de sécurité doit automatiquement prendre en compte les changements en temps-réel (principe d’awareness) au sein de l’environnement cloud et s’y adapter, ce qui garantit une protection transparente. Il ne suffit pas de détecter le trafic malveillant ou de neutraliser les logiciels malveillants à l’aide des dispositifs de sécurité. Les événements de sécurité doivent également être intégrés dans un SIEM ou tout autre outil analytique, pour recueillir et corréler les données, mais aussi orchestrer automatiquement toute modification des règles et niveaux de sécurité, dès la détection d’un incident ou d’un événement de sécurité. Chaque composante de sécurité doit pouvoir fonctionner de manière intégrée et synchronisée, avec une visibilité et un contrôle optimisés.

Extensibilité

Les solutions doivent s’adosser à une plateforme extensible, dotée d’API configurables (REST et JSON par exemple) et autres interfaces, pour une intégration dynamique avec les multiples hyperviseurs, contrôleurs SDN, console d’administration cloud, outils d’orchestration, centres de données de type software-defined et environnements clouds. La sécurité s’adapte ainsi automatiquement à une architecture réseau et à des menaces qui évoluent.

Quels sont les critères d’une solution de sécurité cloud pertinente ?

Lors de l’évaluation d’une solution de sécurité cloud, voici quelques questions à se poser pour éclairer son choix.

La solution est-elle évolutive ? Une stratégie exhaustive de sécurité doit être élastique, en matière de « profondeur » (performances et deep inspection) et de périmètre (couverture de bout en bout).

La solution est-elle “aware” ? Vous devez pouvoir suivre les flux de données sur et en dehors du réseau, les mouvements au sein du périmètre réseau et les accès aux données.

La solution est-elle réellement sécurisée ? Les différents outils qui protègent votre réseau doivent collaborer pour définir un système intégré qui fournit une visibilité et un contrôle unifiés.

La solution favorise-t-elle la prise de décision ? Vous devez disposer de données de veille sur les menaces et d’une plateforme d’orchestration centralisée : la sécurité s’adapte ainsi dynamiquement aux nouvelles menaces identifiées et fournit de manière synchronisée des éléments décisionnels, sur l’ensemble du réseau multisite.

La solution est –elle ouverte ? Des API pertinentes et ouvertes permettent aux partenaires technologiques de s’intégrer avec l’infrastructure de sécurité, ce qui pérennise les investissements et favorise une adaptation dynamique aux changements.

Parmi les autres fonctionnalités intéressantes :

Une sécurité de type Software-defined : privilégiez une plateforme unifiée de sécurité, avec un système d’exploitation unique qui assure l’orchestration et l’automatisation de la sécurité sur les environnements physiques, virtualisés et cloud.

Intégration : les solutions de sécurité doivent pouvoir s’intégrer avec les environnements vSphere et NSX de VMware, ainsi qu’avec les clouds publics comme AWS et Azure, pour assurer un provisioning à la demande, une tarification à l’utilisation, une élasticité automatique et un traitement analytique unifié qui améliore la protection et la visibilité.

Visibilité et contrôle à partir d’une interface unique : votre plateforme de sécurité doit bénéficier d’une administration centralisée avec visibilité unifiée sur les politiques et événements de sécurité liés aux environnements physiques, virtualisés et cloud.

Conclusion

L’évolution des réseaux et la digitalisation progressive des processus métiers sont sources de défis complexes qui pèsent sur la sécurité réseau traditionnelle. Parallèlement, l’adoption rapide des clouds privés, publics et hybrides invite à repenser la sécurité du Cloud.

La nouvelle génération des solutions de sécurité cloud fait preuve d’élasticité et d’agilité. Ces solutions doivent aller au-delà de leur nature statique en étoffant leurs fonctions de sécurité et en segmentant les environnements cloud. C’est à ce titre que les organisations tireront parti d’une infrastructure évolutive et sauront anticiper les vecteurs d’attaques utilisés par les menaces connues et émergentes.

 

Repost 0
Published by Décideur Public - Systèmes d'Information - dans Avis d'Expert
commenter cet article
17 mars 2017 5 17 /03 /mars /2017 16:14
Cyril Dufresne, Ascom

Cyril Dufresne, Ascom

Pour gagner en sécurité et en efficacité dans la prise en charge des patients, les hôpitaux doivent repenser leurs processus de surveillance et de traçabilité des personnes, en privilégiant des outils technologiques en adéquation avec les problématiques actuelles.

Régulièrement, l'actualité est marquée par des faits divers plus ou moins tragiques ayant lieu au sein d'établissements hospitaliers. Une réalité qui n'est pas une fatalité, puisque certaines solutions technologiques sont aujourd'hui en capacité de prévenir des situations critiques

Aujourd'hui, le personnel hospitalier perdrait en moyenne 15 % de son temps à chercher ses propres patients! Un chiffre résultant des difficultés organisationnelles rencontrées par les établissements en raison des baisses de financement du système de santé en général, et de la baisse des effectifs en particulier.

Pourtant il existe des solutions technologiques permettant d'optimiser la notion de traçabilité des patients et du personnel, notamment pour faire face au risque de fugue, souvent sous-estimé et aux différentes défaillances dans le processus de gestion de la disparition des patients.

Elles peuvent être utilisées en complément de la vidéo-surveillance qui ne répond pas complètement à la problématique de sécurisation, car encore trop dépendante de l'humain qui visionne (ou pas !) les images.

Ces solutions transversales de gestion des risques permettent d'identifier des alertes en cas d'accident grave, de les localiser et d'y apporter une réponse rapide et adaptée. La mise en place préalable de scénarios d'alerte préventifs permet un gain de temps considérable et une réponse rapide et prédéterminée lorsqu'un véritable incident survient. Par exemple, équiper un patient d'un petit bracelet géo localisé permet une traçabilité et une localisation en temps réel. Le personnel peut même être alerté si l'un des patients tente de retirer ce bracelet...

Une indispensable prévention des risques à l'hôpital

La gestion des risques à l'hôpital est une problématique émergente. Après de trop nombreux actes d'incivilités et de violence au sein des services d'urgences, la sécurité hospitalière est au centre des préoccupations. Les établissements hospitaliers sont tenus d'assurer une surveillance adaptée à l'état de santé des patients, et au risque que ces derniers représentent pour eux-mêmes ou pour autrui. Mais ils doivent aussi permettent au personnel soignant de travailler dans de meilleures conditions !

La baisse des effectifs dans la fonction hospitalière doit s'accompagner de la mise en place de solutions capables d'apporter une protection efficace au personnel soignant, immédiatement utilisables et ayant déjà prouvé leur efficacité. Dans cet environnement, les dispositifs d'appel pour travailleurs isolés (DATI) s'avèrent être parfaitement adaptés aux situations de danger, quelles qu'elles soient.

Concrètement, ces solutions permettent aux médecins et infirmières isolés, en situation de danger, de déclencher une alarme qui s'accompagne d'un système de localisation intégré, afin de permettre une intervention rapide. Ces solutions possèdent également la capacité de prendre en compte l'ensemble des alarmes des établissements (incendie, intrusions...) tout en les hiérarchisant et les priorisant selon leur degré d'importance, afin d'optimiser la gestion des nombreuses informations d'un établissement de santé.

Réorganiser et sécuriser la prise en charge des patients

Point fort de la transformation digitale des hôpitaux, les nouvelles technologies disponibles engendrent une réorganisation complète du personnel et des processus de surveillance, qui se traduit par une hausse de l'efficacité quotidienne des équipes. Ces solutions aident les hôpitaux à affecter les bonnes ressources au bon endroit, tout en permettant au personnel soignant d'être désormais joignable et géo localisé à tout moment.

Ces nouvelles technologies peuvent également faciliter des tâches comme l'activité de brancardage et la gestion des lits, puisqu'elles identifient les points de départ et d'arrivée, d'entrée et de sortie des patients. Ces solutions de suivi de déplacement permettent aux médecins de ne plus perdre de temps à identifier un patient, son profil, son historique et ses besoins.

En effet, le transfert d'un service à un autre peut parfois se conclure par une perte d'informations. Ainsi, les solutions de brancardage intelligentes combinées à une planification fluide des interventions chirurgicales et une gestion des lits, peuvent apporter une meilleure organisation. Car un lit inoccupé ou un bloc non utilisé se traduisent par des pertes financières importantes pour un hôpital, aujourd'hui soumis à des objectifs de rentabilité.
 

Repost 0
Published by Décideur Public - Systèmes d'Information - dans Avis d'Expert
commenter cet article
10 mars 2017 5 10 /03 /mars /2017 16:36

Laurent Ausset-Delon, Directeur Général Exécutif de CADIC Services

 

Information, documentation, archives, bibliothèque, photos, fonds audiovisuels ou muséographiques, tous ces fonds sont gérés par des professionnels expérimentés avec, pour chacun d’eux, des expertises, des méthodes et des outils différents. Il n’y a généralement pas de passerelle entre tous ces fonds et peu de possibilités d’accès transversal ni de gestion globale. Il est temps que ça change. Aussi, en référence à l’anneau unique imaginé par Tolkien dans ses romans sur la Terre du Milieu qui serait capable de “tout lier”, j’ai décidé de partir en croisade pour cela.

La situation est d’autant plus urgente que la digitalisation des fonds d'archives et des fonds documentaires enclenchée depuis plusieurs années déjà a rendu les utilisateurs beaucoup plus exigeants. Aujourd’hui, ils ne veulent plus se rendre aux archives, au centre de documentation ou à la bibliothèque, mais souhaitent pouvoir effectuer leurs recherches chez eux, depuis leur poste de travail ou un terminal mobile. L'informatisation, la numérisation et désormais le traitement en temps réel de documents nativement électroniques rend aujourd’hui tout cela possible.

Des missions transversales, sans outils adaptés

Au même moment, les professionnels du domaine ont vu leurs missions s’élargir sans toutefois disposer de toutes les compétences et des ressources techniques nécessaires pour les mener à bien. Combien de temps, encore, vont-ils continuer d’utiliser des solutions parallèles pour gérer ces différents fonds ? Il faut savoir dire “Stop” à ces méthodes qui cloisonnent l'information et les individus. Aujourd'hui, les entreprises font dans le collaboratif, le cloud, la mobilité et avancent même sur la Digital Workplace qui permet à chaque collaborateur de disposer des applications métiers et de toute l'information nécessaires en quelques clics, à tout moment et sur n’importe quel poste de travail. Or, que fait-on des dossiers courants, de la documentation, des archives numérisées ou papier ? Il existe pourtant des solutions permettant de tout rassembler et de tout gérer dans un ensemble cohérent : la documentation, l'information, les fonds muséographiques, les fonds photos et vidéos, la bibliothèque, les archives, le records management.

Vers une nécessaire convergence

Tout comme dans l’imaginaire de Tolkien où l’univers est composé de neuf mondes physiques liés de façon incertaine, il en est de même dans le monde réel de l’Infodoc. Il existe, en effet, autant de métiers, de fonds, de règles et d’outils, liés les uns aux autres de façon plus ou moins organisée. Il est vrai que la gestion d’un fonds muséal se distingue de celle d’une bibliothèque. Mais alors, comment rassembler tous les professionnels de l’information sinon au sein d’un écosystème fédérateur ? Comment créer une vraie communauté et éviter que chacun ne se retrouve en train de jongler avec des fonds pour lesquels il n’a pas été formé et avec des outils différents ? Comment décloisonner ces fonds et en avoir une vision globale sans les dénaturer ?

L’homogénéisation en marche

Seule une nouvelle approche vers une indexation convergente permet de stocker, publier, trouver les informations et les documents indépendamment des fonds, des domaines et des métiers. Grâce à une solution unique, tous se trouvent rassemblés dans un espace numérique partagé et personnalisable. En effet, chaque utilisateur dispose d’un bureau virtuel, accessible depuis un ordinateur ou un terminal mobile connecté, avec notamment la possibilité de créer des chaînes thématiques transversales aux différents fonds.

In fine, l’idée n’est donc pas de revoir complètement les métiers et les rôles de chacun, mais de rationaliser et mutualiser les outils. Pour une meilleure gestion et plus d’efficacité.

Repost 0
Published by Décideur Public - Systèmes d'Information - dans Avis d'Expert
commenter cet article
7 mars 2017 2 07 /03 /mars /2017 16:06

Hervé Dhelin, EfficientIP

 
 
 
 
 
 

 

Repost 0
Published by Décideur Public - Systèmes d'Information - dans Avis d'Expert
commenter cet article
7 mars 2017 2 07 /03 /mars /2017 15:56
Angélique Lepinay du Groupe MEDIANE

Angélique Lepinay du Groupe MEDIANE

Le digital et plus généralement la dématérialisation impactent l’ensemble des secteurs d’activités et modifient profondément de nombreuses opérations. Dans ce contexte, l’État a fortement investi ces dernières années pour positionner la dématérialisation des échanges comme un axe de modernisation stratégique. Ce constat est valable aussi bien dans la sphère personnelle que professionnelle.

L’une des illustrations les plus visibles dans le monde professionnel est matérialisée par l’entrée en vigueur de Chorus Pro qui impose notamment aux administrations, collectivités et établissements publics de se connecter à ce portail pour émettre et recevoir leurs factures au format électronique. Cette évolution majeure rendue obligatoire depuis le 1er janvier 2017 concerne désormais tous les établissements publics de santé ainsi que certains de leurs fournisseurs selon leurs tailles.

Une gestion totalement dématérialisée des factures

Qu'est-ce que Chorus Pro ?

Il s’agit d’un portail sécurisé créé à l’initiative des pouvoirs publics qui permet de gérer de manière sécurisée les factures dématérialisées entre clients et fournisseurs du secteur public.  Au-delà de ce premier point, Chorus Pro permet également de suivre l'avancement du traitement des factures et donc de mieux piloter les relations des établissements publics de santé avec leurs fournisseurs. On notera également que cette nouvelle plateforme permet de réduire les coûts et les délais de traitement et donc d’accéder à des gains de productivité tant pour les entreprises que pour l'entité publique de santé concernée. 

Un secteur de la santé publique de plus en plus dématérialisé 

L’entrée en application de Chorus Pro constitue donc une nouvelle étape dans la modernisation des processus de gestion des établissements publics de santé. En généralisant l’usage de la facturation électronique, Chorus accélère donc la digitalisation des opérations et  amène les établissements de santé à faire évoluer en profondeur leur système d’information qui va occuper une place centrale dans leur bon fonctionnement, notamment au niveau des aspects liés à la gestion économique et financière.

En ce sens, les sujets qui gravitent autour de la gestion électronique des documents (GED) s’imposent donc comme une extension naturelle des transformations que devront opérer à court terme les établissements publics de santé pour bénéficier de l’ensemble des avantages induits par la dématérialisation de leurs processus d’échanges et de gestion.

Plus qu’un concept, la digitalisation du secteur de la santé est donc une réalité qui va permettre aux acteurs du secteur de gagner en productivité, en sécurité, en confort de travail et plus globalement en performance et en qualité de service.

Repost 0
Published by Décideur Public - Systèmes d'Information - dans Avis d'Expert
commenter cet article
2 mars 2017 4 02 /03 /mars /2017 15:14

Christophe Auberger, Directeur Technique France "FORTINET"


C’est    un    constat    au    quotidien :    la sécurisation    du    réseau    d’une organisation relève de la gageure.
D’autant que la tâche est de plus en plus complexe face à l’émergence de la Génération Y.


Cette génération du millénaire, celle qui regroupe les 20 - 35 ans, est de plus en plus représentée dans le monde. Plus d’un travailleur sur 3 aux États-Unis serait dans cette tranche d’âge, selon une étude de Pew Research Center. Et ce groupe démographique devrait compter pour environ 50% des travailleurs à l’horizon 2020, selon PwC.


La génération Y présente ses propres codes et désirs : elle partage sur les réseaux sociaux. Elle abhorre les expériences utilisateurs médiocres. Elle sollicite davantage de flexibilité dans le travail. Elle est prête à aller voir ailleurs si ses attentes ne sont pas prises en compte. Autant de caractéristiques qui impactent lourdement les cultures d’entreprise, mais qui, au-delà, imposent un réel challenge à la sécurité réseau de nombreuses organisations.

Voici trois points à prendre en compte dans cette transformation qui s’opère :

1. Maîtriser les médias sociaux


Faut-il ou non donner l’accès aux réseaux sociaux à partir du lieu de travail ? De nombreuses organisations se sont sans doute déjà posées la question.
Une étude de l’éditeur de logiciels RH CareerBuilder a interrogé un panel d’employeurs en Amérique du Nord. Pour 37% d’entre eux, les réseaux sociaux constituent un frein de productivité au travail, tout comme les téléphones mobiles et SMS (55%), l’utilisation d’Internet (44%) et les bavardages (39%). 3 employeurs sur 4 estiment que ce sont deux heures de travail qui sont, à minima, perdues chaque jour en terme de productivité, dressant ainsi le bilan des nombreuses distractions des collaborateurs.


Du point de vue de la sécurité réseau, les médias sociaux constituent un vecteur d’infection par les logiciels malveillants et attaques par ingénierie sociale. Combien de liens, partagés de manière innocente, finissent par
réorienter les utilisateurs vers des sites web malveillants? Quant aux collaborateurs qui utilisent les réseaux sociaux de manière professionnelle et avertie, se rendent cependant compte que leurs contacts et amis ne font pas toujours preuve de la même rigueur.


Il est simple, au niveau du réseau, de bannir ou de restreindre l’accès aux réseaux sociaux. Le filtrage statique des URLs permet de surveiller certaines URLs et empêche d’y accéder. La fonction de filtrage par catégorie permet de bloquer tout un ensemble de sites Web.
Mais cela ne veut pas dire pour autant que les DSI doivent bloquer l’accès aux réseaux sociaux dans le cadre du travail. Car une approche plus pertinente consiste à, avant toutes choses, identifier comment la sécurité réseau s’applique de manière globale. La définition de règles pertinentes pour les médias sociaux, ainsi que la formation des collaborateurs, sont des étapes initiales importantes. A titre d’exemple, les équipes commerciales doivent être sensibilisées aux risques de sécurité et métiers qui résulteraient de la consultation des réseaux sociaux comme Facebook, à partir du lieu de travail ou du site d’un client.


La ligne de défense la plus efficace consiste à déployer une infrastructure de sécurité robuste et multicouche. Cette option est plus sure que de faire aveuglement confiance à des collaborateurs qui ne commettraient aucune erreur dans leur activités autour des réseaux sociaux.


2. De l’intérêt d’une sécurité multicouche


La sécurité multicouche est privilégiée par nombre d’organisations aujourd’hui, avec de multiples couches de sécurité qui collaborent pour protéger les données, des dispositifs et les personnes. Cette approche permet de contrer les attaques utilisant différents vecteurs au niveau du réseau, des applications, des dispositifs et des utilisateurs. Ces attaques sont détectées et neutralisées avant de pouvoir proliférer et la protection est active contre différents profils d’attaques.


Face aux changements qu’entraîne la Génération Y sur le lieu de travail, les DSI doivent repenser comment déployer chaque couche de sécurité.
Penchons-nous notamment sur l’utilisation des dispositifs personnels sur le lieu de travail. Selon une étude de McKinsey & Company, environ 80% des entreprises permettent désormais aux collaborateurs d’utiliser leurs dispositifs personnels pour se connecter aux réseaux de l’entreprise. De plus en plus, les collaborateurs s’attendent à ce que les départements informatiques autorisent un accès à partir des dispositifs personnels vers des applications corporate comme l’email et l’agenda. Cette tendance, appelée BYOD (Bring Your Own Device), n’est pas exempte de menaces de sécurité. Plus particulièrement, les DSI doivent renforcer la sécurité des terminaux. La première étape consiste à protéger ces terminaux eux-mêmes, à l’aire de pare-feux, d’anti-malware, d’outils de gestion des flottes mobiles et d’une application régulière des patchs disponibles. En acceptant le BYOD, les entreprises s’exposent par ailleurs au risque de piratage des dispositifs personnels des collaborateurs qui se contentent d’utiliser des mots de passe faibles. L’application de règles pertinente et la sensibilisation des collaborateurs à opter pour des mots de passe forts deviennent ainsi une priorité.


Il est également recommandé de pouvoir identifier le type de dispositif, pour ainsi n’autoriser les dispositifs les moins sécurisés (smartphones par exemple) que sur certains segments du réseau. Les sessions doivent également être sécurisées, pour empêcher les utilisateurs d’accéder à des sites Web peu sécurisés.


De manière similaire, les outils de défense de l’utilisateur doivent être renforcés pour lutter contre le risque, toujours plus important, que représentent les menaces internes. Cette couche est souvent la plus complexe à gérer puisqu’il s’agit de trouver le bon équilibre entre sécurité et utilisation conviviale. Vous pouvez également activer différentes méthodes d’authentification pour identifier les utilisateurs réseau et leur attribuer des niveaux d’accès différents. Enfin, c’est la prise de conscience des utilisateurs face aux risques et leur formation sur le sujet qui sont également des priorités.


3. Garder la main sur le Shadow IT


Le Shadow IT fait référence à ces applications et services, souvent basés dans le Cloud, et non contrôlés par l’organisation, soulignant ainsi un réel défi en matière de sécurité et de gouvernance.
Considérons un utilisateur lambda qui ouvre un fichier corporate sur son smartphone. L’appareil va sans doute copier le fichier vers, par exemple, un espace en ligne non approuvé, simplement lors de l’exécution d’une sauvegarde programmée. Voilà comment vos données corporate sécurisées peuvent être transférées vers un lieu non sécurisé.
De la même façon, les nombreuses applications de collaboration sociale si appréciées par cette Génération Y sont susceptibles de faire migrer des informations corporate vers des espaces peu sécurisés.


Il ne suffit par d’interdire unilatéralement à ces collaborateurs l’utilisation des dispositifs et applications non-validées pour que cette règle soit scrupuleusement appliquée. Face à l’omniprésence des smartphones, les collaborateurs continueront à utiliser leurs réseaux sociaux ou leur cloud personnel, que vous le vouliez ou pas.
En revanche, la sensibilisation des collaborateurs et le déploiement de technologies de sécurité sont des axes plus pertinents pour maîtriser les risques, qu’il s’agisse du chiffrement des données, d’un contrôle d’accès ou du monitoring du trafic.


D’un point de vue plus large, le Shadow IT émerge lorsque vos collaborateurs ne sont pas satisfaits des outils offerts par leur organisation. Alors que les DSI ne peuvent empêcher les collaborateurs de rechercher des applications alternatives, de collaboration par exemple, ils peuvent maîtriser les risques en prenant mieux en compte les besoins et attentes de leurs utilisateurs.

Repost 0
Published by Décideur Public - Systèmes d'Information - dans Avis d'Expert
commenter cet article
11 février 2017 6 11 /02 /février /2017 12:19

Christopher Potter 
Président de CEO-Vision S.A.S

 

Jusqu’à présent, les collectivités et les administrations françaises utilisaient en grande majorité des outils Microsoft, notamment Office et Sharepoint. Aujourd’hui, dans un souci d’économie et d’efficacité, elles sont sont invitées à passer à l’open source.

Le secteur public est-il pieds et poings liés avec Microsoft ? Si certains s’en défendent, rappelons qu’en 2013, le ministère de la Défense a reconduit pour quatre années supplémentaires un contrat signé en 2009 avec le géant américain (il avait d’ailleurs interpellé plusieurs parlementaires, ainsi que les défenseurs du logiciel libre, car passé sans appel d’offres) et qu’en 2014, les ministères du Travail, de la Santé et de la Jeunesse et des sports ont conclu avec Microsoft Irlande un contrat de plus de 11 millions d’euros pour un “maintien en condition opérationnelle des systèmes informatiques exploitant des produits de la société Microsoft”. Á l’époque, François Rebsamen, alors Ministre du Travail, avait pourtant expliqué qu’un “désengagement progressif sur 4 à 6 ans” était prévu.

Abus de position dominante

La mainmise de Microsoft sur l’informatique des administrations françaises est telle qu'il est ensuite difficile pour les services concernés de faire machine arrière (désinstallation des logiciels de tous les postes de travail, habitudes des agents, etc.). Difficile, mais pas impossible comme l'a montré la Gendarmerie nationale, passée avec succès sous Linux. Le législateur s’est donc emparé du problème et dans une volonté de transparence, de flexibilité et de réduction des coûts, le parlement européen -dans une résolution du 29 octobre 2015- a appelé “au remplacement systématique des logiciels propriétaires par des logiciels ouverts contrôlables et vérifiables dans toutes les institutions de l'Union, à l'introduction d'un critère de sélection open-source obligatoire dans toutes les procédures de passation de marchés dans le domaine des TIC à l'avenir, et à la mise à disposition rapide d'outils de cryptage”.

La France “libre”

Même son de cloche en France avec l’amendement CL393 de la loi de 2016 pour une République Numérique stipulant que “les services de l’État, les administrations, les établissements publics et les entreprises du secteur public, les collectivités territoriales et leurs établissements publics encouragent l’utilisation des logiciels libres et des formats ouverts lors du développement, de l’achat ou de l’utilisation d’un système informatique”.

Le meilleur de l’open source ?

D’ailleurs, chaque année depuis 2012, date de la circulaire Ayrault fixant les orientations pour l’usage des logiciels libres dans l’administration, le gouvernement publie une liste des logiciels sur lesquels les pouvoirs publics peuvent s’appuyer. De la bureautique au développement, en passant par le multimédia, la messagerie, la sécurité, l’échange de fichiers et la navigation, la sélection effectuée par les services de l’État tente de couvrir la majorité des besoins. En vain.
L’adoption de technologies open source a pourtant de nombreux avantages, comme une baisse significative des coûts, une auditabilité des sources pour améliorer la sécurité, une diminution du “vendor lock-in” (dépendance à un fournisseur unique) et une qualité globale supérieure, les correctifs arrivant généralement plus vite.

Trouver la bonne solution

Au sein de cette liste de technologies open source recommandées, aucune alternative à Sharepoint (pourtant considéré comme une usine à gaz par de nombreux utilisateurs) n’est pour l’instant proposée. Rien en tout cas qui permettrait d’en finir avec le désordre informatique dans les organisations. Et pourtant, des solutions ouvertes, collaboratives, économiques et capables d’agréger le meilleur de l’open source, il y en a !
 

Repost 0
Published by Décideur Public - Systèmes d'Information - dans Avis d'Expert
commenter cet article