Présentation

  • : Le blog de Décideur Public - Univers Numérique
  • Le blog de Décideur Public - Univers Numérique
  • : Blog d’informations gratuit et indépendant dédié à l'univers numérique et au secteur public. Rédacteur en chef : Rita Audi rita.audi@decideur-public.info
  • Contact

20 juillet 2017 4 20 /07 /juillet /2017 16:06

Christophe Auberger, Directeur Technique France, Fortinet

Nous voilà déjà en été, une période propice à la famille, à la détente et aux voyages.  Que vous choisissiez de faire le tour de votre région ou un tour du monde, il est probable que votre fidèle PC portable vous accompagne (on ne sait jamais…), tout comme votre smartphone bien sûr. Vous aurez peut-être envie de vérifier vos emails via le Wi-Fi public de votre hôtel. Ou vos enfants auront peut-être envie de s’adonner à des jeux vidéo sur votre portable. Cependant, si votre cybersécurité est défaillante, vous pourriez bien subir quelques mauvaises surprises …

Car c’est une réalité : si vous n’avez pas pris le temps de sécuriser vos dispositifs connectés, vous risquez d’en pâtir. Les malwares comme WannaCry se propagent rapidement. Ils exploitent des vulnérabilités logicielles connues, que les entreprises ou individus ne prennent pas toujours le temps de patcher. Le botnet Mirai a ainsi utilisé environ 100 000 équipements connectés non–sécurisés, à l’instar de caméras de sécurité, pour submerger le fournisseur de services Dyn, entraînant une panne gigantesque qui a mis hors ligne nombre de sites Web.

Il faut faire le parallèle entre les cyberattaques et, d’autre part, les virus ou bactéries. Ce n’est que lorsque l’origine des maladies a été identifié que les bonnes mesures d’hygiène personnelle se sont imposées auprès du grand public. Auparavant, les chirurgiens ne se lavaient pas forcément les mains avant d’opérer. Même constat chez les cuisiniers avant de se mettre aux fourneaux. Les maladies se propageaient alors rapidement d’une personne à l’autre. Lorsque les recherches médicales ont pu établir le rôle d’organismes microscopiques dans les maladies, et l’importance d’une bonne hygiène pour s’en débarrasser, se laver les mains est devenu une habitude  et donc un frein aux épidémies.

En clair, WannaCry et  Mirai ont pu se propager grâce à une hygiène technologique défaillante de la part des utilisateurs. 

D’autre part, n’oublions pas les équipements mobiles : si les malwares s’en prennent principalement aux ordinateurs de bureau et portables, les cybercriminels ne se sont pas pour autant désintéressés du mobile, ce qui invite les utilisateurs à en faire de même. Pour le grand public, la cybersecurité est, pour l’essentiel, liée à leur PC et le puissant concentré de technologie qui tient dans la paume de la main est souvent négligé. Pourtant, les smartphones connaissent des vulnérabilités et les bonnes pratiques s’imposent pour pouvoir les neutraliser.

Soyez en charge de votre sécurité

Les dispositifs connectés ne sont pas tenus légalement d’être protégés contre les cybercriminels. Il est donc de la responsabilité des consommateurs, en tant que citoyens responsables, de sécuriser leurs équipements.

Voici quatre bonnes pratiques de cybersécurité à adopter pour garder la main sur vos équipements et sécuriser les applications et données qui y sont hébergées.

1. Sachez éviter les pièges du Wi-Fi 

Les hotspots WiFi publics sont sources de risques. Vos connexions en ligne sont susceptibles d’être interceptées de différentes façons, par une attaque de type man-in-the-middle notamment. Imaginons un individu malveillant présent dans un lieu public, à la terrasse d’un café par exemple et qu’il ait nommé  son équipement « Café-WiFi gratuit ». Lorsque vous vous y connectez, il vous connecte à Internet via son équipement mais il est aussi capable de détourner l’ensemble du trafic entre vous et votre site de shopping par exemple. Il obtient ainsi le détail de vos paiements, votre adresse, vos identifiants de connexion, etc.

Pour éviter que vos données sensibles ne soient interceptées, vous devez utiliser un service de VPN de confiance lorsque vous accédez à un réseau WiFi public. Si vous avez l’habitude de vous connecter à des hotspots publics, sachez qu’il existe de nombreux services de VPN économiques, peu onéreux ou gratuit, qui sauront sécuriser vos transactions. Une des règles d’or est d’éviter de se connecter aux réseaux Wi-Fi inconnus, par exemple dans un café où vous n’avez pas vos habitudes. Un WiFi gratuit dans un hôtel où vous séjournez a plus de chance d’être sécurisé. Vous pouvez également utiliser les hotspots mobiles de votre fournisseur d’accès à Internet pour y connecter votre smartphone. 

Une autre bonne pratique consiste à s’assurer que votre connexion est sécurisée ou chiffrée lorsque vous vous connectez en ligne à partir d’un lieu public, ou que vous réalisez une transaction bancaire ou commerciale. Vérifiez dans la barre d’adresse de votre navigateur que l’adresse débute par https:// plutôt que http://, pour valider qu’un chiffrement par SSL protège vos transactions. L’activation de SSL est essentielle, mais ce protocole ne sécurise que les flux de communication et non vos données, ces dernières étant vulnérables en cas de connexion à un point d’accès malveillant. Ainsi, si vous vous connectez à un réseau Wi-Fi, assurez-vous de sa légitimité.

Enfin, ce petit conseil en bonus : désactivez les connexions Wi-Fi automatiques sur votre dispositif. Dans le cas contraire, si vous vous connectez à un point d’accès malveillant, votre équipement pourrait bien s’en souvenir et s’y reconnecter automatiquement lorsque ce point d’accès sera de nouveau à portée de connexion.

2. Renforcez vos mots de passe

Une des principales raisons pour laquelle il est souvent simple de pirater les comptes personnels est que nombre d’utilisateurs se contentent d’un même mot de passe pour différents comptes : une telle pratique est évidemment dangereuse ! Certes, il n’est pas forcément simple de se souvenir de 50 mots de passe différents, si ce n’est plus. Et pourtant, différencier ses mots de passe est un gage de sécurité. Il existe des services de gestion de mots de passe en ligne, comme LastPass, qui peuvent vous aider, car il vous suffit de ne vous souvenir que d’un seul mot de passe principal. De tels services peuvent également créer des mots de passe forts et aléatoires pour chaque application à laquelle vous accéder, pour ensuite les stocker dans un format chiffré.  

3. Privilégiez une authentification à deux facteurs

Les applications sont de plus en plus nombreuses à imposer deux ou plusieurs étapes pour authentifier leurs utilisateurs. Cette approche est pertinente, même si certains la considèrent comme fastidieuse : elle lutte efficacement contre le détournement d’identité ou les ransomwares. Il ne vous en prendra que quelques secondes supplémentaires avant que votre code de sécurité ne s’affiche sur votre smartphone et que vous puissiez le saisir pour vous authentifier. Ces quelques secondes d’attente vous aideront à vous protéger, ainsi que vos comptes en ligne et vos données. Rappelons que la sécurité est une fonctionnalité et non un bug…

4. Identifiez les virus et les malwares

Installez les antivirus et antimalwares, tenez-les à jour et exécutez-les régulièrement. Mais assurez-vous de choisir le bon outil. Il existe en effet nombre de produits qui affirment être des outils de sécurité, mais qui sont, en réalité et quelque peu ironiquement, des malwares. Aucun antimalware ne peut être efficace à 100% et il est important de programmer l’exécution régulière – une fois par mois à minima – d’un second ou troisième outil de sécurité pour analyser votre équipement ou votre réseau. Nombre d’éditeurs proposent des versions en ligne gratuites de leurs outils ou vous les offrent pendant une période d’essai. La majorité des antimalwares dispose d’un pare-feu et vous devez donc vous activer cette protection supplémentaire.

Planifiez et soyez vigilant !

Ne vous laissez pas piéger pendant cet été. Vous êtes seul en charge de votre sécurité. Prenez les mesures nécessaires avant de partir en vacances et restez vigilants tout au long. En prenant quelques mesures de bon sens et d’hygiène, vous aurez bien plus de chances de vous tenir à l’écart de toute catastrophe digitale.

 

Repost 0
Published by Décideur Public - Systèmes d'Information - dans Avis d'Expert
commenter cet article
14 juillet 2017 5 14 /07 /juillet /2017 20:04
Théodore-Michel Vrangos, cofondateur et président d’I-TRACING, entreprise de conseil et ingénierie dédiée à la traçabilité de l’information et à la gestion de la preuve.

Théodore-Michel Vrangos, cofondateur et président d’I-TRACING, entreprise de conseil et ingénierie dédiée à la traçabilité de l’information et à la gestion de la preuve.

L’usage du cloud progresse à grande vitesse en entreprise.
La sécurité des clouds est multiple. Garantir un bon niveau de protection des informations est difficile, d’autant qu’il y a peu de spécialistes en sécurité du cloud.
Alors, quels critères retenir ? Comment s’assurer de faire les bons choix ?

Le mot cloud recouvre plusieurs notions, très différentes et très terre-à-terre. Tout d’abord, le cloud est une appellation, entrée dans le langage courant, désignant l’envoi des données vers l’extérieur, dans un espace partagé ou non, plus professionnel et dont c’est le métier. Le cloud c’est aussi le monde de plus en plus vaste des applications en mode SaaS, hébergées à l’extérieur, utilisées par les collaborateurs d’une entreprise en mode abonnement et sans les contraintes de la production informatique et de l’acquisition des licences. C’est la mode de l’usage partagé face aux anciens usages de la propriété absolue.

Le cloud recouvre aussi, notamment pour les ingénieurs réseaux et systèmes, les technologies de virtualisation, de partage sécurisé, de sauvegarde centralisée, les portails permettant le provisionning rapide des VM, la facturation efficace à la consommation, en interne pour les métiers (les clouds privés) et en externe (les clouds publics). Bien d’autres clouds existent, comme ceux dédiés aux mobiles, au traitement externe des données marketing, à la bureautique, à la messagerie, etc. Le cloud ou plus exactement les clouds sont donc polymorphes et s’adaptent à ce que nous souhaitons réellement externaliser et partager.

Il est évident et inéluctable que l’usage du cloud en entreprise va continuer à progresser à grande vitesse, entraîné d’un côté par la réduction des coûts et d’un autre côté par les usages des utilisateurs, attirés par la richesse fonctionnelle et la rapidité de mise en œuvre. Difficile dans ce contexte d’assurer un niveau satisfaisant de sécurité et de protection des informations pour une entreprise. Interdire l’usage du cloud y est impossible, contre-productif, voire même destructeur de valeur et de progrès pour les métiers de l’entreprise. Il faut donc s’adapter, bâtir des sécurités en fonction des pratiques. La sécurité des clouds est ainsi multiple. Elle se décline sur les différentes typologies d’usages, ceux qui sont connus mais aussi ceux qui sont inconnus (on parle alors de risque du shadow cloud).

Le problème chronique et central dans ce domaine est la rareté des spécialistes expérimentés en sécurité du cloud, déficit encore supérieur à celui des Analystes Data Security et des Ingénieurs Sécurité Réseaux.

Mener une démarche cohérente

Pour répondre aux risques du cloud, il faut tout d’abord connaître et avoir une visibilité des usages du cloud existants. Les RSSI commencent souvent par ce point. C’est un point-clé car très souvent les équipes métiers (marketing, finance, communication, R&D, etc.) ne savent pas si et dans quelle mesure (quelles informations, quels processus, etc.) les applications utilisent, exfiltrent, partagent, stockent, des données à l’extérieur. Les RSSI doivent le savoir pour ensuite former et informer les utilisateurs internes sur les dangers et mettre en place des mesures de protection et une couverture des risques. Il existe des outils et des démarches d’analyse, d’audit et de cartographie des pratiques cloud en place. Quelques éditeurs spécialisés – on les compte sur les doigts d’une main - proposent ce type d’outils.

Les résultats des audits peuvent être ponctuels ou permanents, intégrés et interfacés dans le SIEM en place. L’objectif est d’avoir le même niveau de connaissance des usages du cloud par l’entreprise que de ce qui se passe au sein du data center interne.

Le deuxième point-clé de la prise en compte du cyber risque cloud est la mise en œuvre de contrôles renforcés au niveau du réseau à travers des firewalls de nouvelle génération, à travers des solutions de IAM (Identity and Access Management) communes aux solutions de sécurisation des informations sensibles dans le cloud (chiffrement notamment). La protection de l’information, donnée partageable en partie ou en totalité, est par définition un élément-clé ; c’est là-dessus que des solutions de type WAF (Web Application Firewall) apportent une réponse concertée.

Le troisième volet de la couverture des risques cloud porte sur la traçabilité des utilisateurs à privilèges, population étendue, interne (les admin), mais surtout extérieure avec les mainteneurs externes, les admin de centres d’appels externalisés, etc. Ce domaine, appelé PAM (Privileged Accounts Monitoring) est devenu en moins de deux ans un autre point stratégique pour le RSSI. C’est un domaine complexe sur le plan technologique mais aussi sur le plan organisationnel car il impacte les administrateurs et leurs habitudes concrètes de travail. La formation et la sensibilisation aux risques, solutions et processus de sécurisation des pratiques du cloud est un volet souvent négligé. Pourtant dans ce contexte de pénurie en experts de la sécurité cloud, il serait tellement logique de former des ingénieurs à ce domaine... La Cloud Security Alliance propose à cet effet des démarches à suivre.

Une réglementation toujours plus exigeante

Les RSSI ont un chemin glissant devant eux. Ils vont se trouver face à des utilisateurs finaux et des utilisateurs métiers virulents s’ils tentent de ralentir la progression de l’usage du cloud. Par ailleurs, ils vont avoir de plus en plus de contraintes et de lois à respecter, de régulateurs sectoriels ou légaux (GDPR, CNIL, ANSSI, PCI, ARCEP, ARJEL…), sans parler de la pression des directions générales des entreprises si des incidents de sécurité surviennent….

Le cloud en tant qu’hébergement externalisé revêt un aspect spécifique. Pour le cloud de l’hébergement et des data centers, la deuxième appellation comprenant l’externalisation de l’hébergement des applications, le sujet de la sécurité se déclinera très rapidement en termes de certification.

Après le Règlement général sur la protection des données (GDPR), adopté en avril 2016 et qui doit entrer en vigueur en 2018, l’ANSSI réfléchit à une nouvelle certification de sécurité des prestataires du cloud qui obligerait les OIV (Organisme d’Importance Vitale) à utiliser exclusivement des prestataires cloud certifiés. Comment les 250 entreprises les plus sensibles du pays (les OIV) peuvent-elles limiter l’export aveugle de leurs données informatiques - ‘’le pétrole du XXIème’’ - vers des hébergeurs dont on maîtrise peu la probité, notamment quand il s’agit d’espionnage économique ? La réponse est naturelle : définir et appliquer une nouvelle certification. A l’instar de la qualification PASSI pour les acteurs de l’audit de sécurité, l’ANSSI est sur le point de lancer une certification sécurité à deux niveaux à destination des hébergeurs et opérateurs de cloud. La réflexion date de 2014 et va sûrement aboutir car ces deux dernières années, nombre de grandes entreprises nationales ont externalisé des services (notamment bureautiques) et des apps, s’appuyant largement sur le cloud, lui-même hébergé aux quatre coins du globe. Et assez souvent, à l’insu des utilisateurs métiers - d’où l’utilité des RSSI, mais cela est un autre sujet.

Fortement inspirés par la norme ISO 27001, deux niveaux de qualification seraient applicables aux différents acteurs français, européens mais aussi américains : un premier niveau Cloud Secure et un deuxième niveau Cloud Secure +. Le 1er niveau couvrirait les bonnes pratiques de la SSI : contrôles d’accès physiques, authentification forte, chiffrement des données, hébergement des données en Europe. Le 2ème niveau imposerait une authentification multi-facteurs, une gestion et une conservation ciblées des logs, un chiffrement physique, un hébergement en France, une politique de gestion et la traçabilité des administrateurs, etc. Peu de mystère : les OIV seront probablement obligés de faire appel aux prestataires Cloud Secure +, qu’ils soient français ou non. D’ailleurs, stoppant dans l’œuf toute volonté protectionniste, l’ANSSI a appelé les grands acteurs américains du cloud à participer à la réflexion et au mouvement. Et très récemment, certains majeurs ont annoncé des data centers cloud en France ! Comme quoi…

En complément, une vingtaine de prestataires du cloud menés par OVH ont bâti une charte de bonne conduite, présentée fin septembre à Bruxelles. Associée à un label de certification délivré par un organisme indépendant, cette charte engage ses signataires à traiter, entre autres, les données de leurs clients en Europe en indiquant notamment la localisation géographique des data centers utilisés. L’objectif à terme est que cette charte serve de base juridique pour le législateur, car le G29 des CNIL européennes est censé lui aussi réglementer.

Avec autant d’enjeux, de contraintes et de composantes à respecter, les RSSI risquent de se perdre dans les nuages ! Mieux vaut qu’ils soient bien accompagnés.

Repost 0
Published by Décideur Public - Systèmes d'Information - dans Avis d'Expert
commenter cet article
14 juillet 2017 5 14 /07 /juillet /2017 19:58

Keith Bromley, Senior Solutions Marketing Manager, Ixia

Keith est un expert en matière de surveillance des réseaux, de systèmes de gestion, des communications unifiées, de la téléphonie IP, de SIP, d'infrastructure sans fil et filaire. Il est l’auteur de plusieurs articles sur ces sujets et le ROI.

Depuis plusieurs années, le secteur de la santé fait face à des défis aussi nombreux que variés. Réduction des coûts, obligations légales et réglementaires, modernisation des technologies et des processus, cybersécurité... tous ces défis entrent, à des degrés plus ou moins élevés, dans le champ de responsabilité des départements IT. Dans cet article, nous parlerons des cinq principaux défis IT du secteur de la santé :

· Réduire les violations de sécurité tout en améliorant la confidentialité des dossiers des patients

· Éliminer les angles morts ou « blind spots » du réseau consécutifs à des opérations de fusions-acquisitions

· Soutenir le développement de nouveaux business models, en phase avec la consumérisation de la médecine

· Transformer les technologies en levier de compétitivité

· Miser sur les technologies pour améliorer les performances globales du réseau

L'essor des nouvelles technologies a entraîné dans son sillage une recrudescence des risques de sécurité. Depuis plusieurs années, on observe en effet une hausse sensible des cas de violations de sécurité et vols de données personnelles. En témoigne le cas d'Anthem/Blue Cross. En 2015, ce spécialiste américain de l’assurance maladie a subi une attaque qui s’est soldée par la compromission de 78,8 millions dossiers d'assurés. Pour Anthem, l'incident a non seulement entraîné de lourdes répercussions financières, mais aussi fortement écorné son image de marque. Loin d'être isolé, ce cas fait écho aux nombreuses autres violations de sécurité survenues ces dernières années

· Banner Health (3,62 millions d'individus touchés)

· NewKirk Products (3,47 millions)

· 21st Century Oncology Holdings (2,21 millions)

· Valley Anesthesiology and Pain Consultants (882 000)

Fait nouveau : les établissements de santé sont désormais la proie d’attaques aux rançongiciels (ou ransomwares). En février 2016 par exemple, l'Hollywood Presbyterian Medical Center était pris sous le feu. Plus récemment, en mai 2017, c'est le NHS (système de santé publique britannique) qui a subi de plein fouet l’attaque WannaCry. Pour la seule année 2016, on estime qu'au moins 13 hôpitaux ont été victimes d’une attaque par ransomware. Dans la grande majorité des cas, les établissements ont dû couper leur réseau informatique pour pouvoir engager la procédure d'intervention et de remédiation.

Au-delà de la cybersécurité, d'autres défis se dressent sur le chemin des équipes IT. Un autre grand problème tourne autour des opérations de fusions-acquisitions et des difficultés d'intégration des réseaux qui en découlent. Dans une étude datée du 25 juillet 2016, le cabinet Kaufman, Hall & Associates, LLC écrit : « Au premier semestre 2016, Kaufman Hall a recensé 52 opérations de rachat dans le secteur de la santé, soit une hausse de 6,1 % par rapport aux 49 opérations enregistrées sur la même période en 2015 ». D'autres rachats et rapprochements étaient également dans les tuyaux pour le second semestre 2016. Au niveau des réseaux informatiques, les fusions-acquisitions se traduisent généralement par l’apparition d'angles morts, résultat direct de l’incapacité de réseaux disparates à communiquer correctement les uns avec les autres.

Pour les équipes IT, ces « blind spots » posent problème dans la mesure où ils obscurcissent la vue sur le réseau et les performances des applications. Si, par nature, l'intégration d'environnements IT hétérogènes est un processus de longue haleine, c'est encore plus vrai dans la santé où les établissements tournent en flux tendu et requièrent un accès non-stop aux dossiers médicaux électroniques (DME).

La consumérisation de la médecine constitue une autre grande tendance du moment. Alors où la frontière entre patient et consommateur s’estompe, tout l'enjeu consiste à lui fournir des informations personnalisées sur son mobile ou d'autres terminaux. C'est ainsi qu'un nombre croissant d'hôpitaux adoptent des politiques BYOD pour leur praticiens et déploient des points d'accès Wi-Fi pour leurs patients. Mais attention : la consommation de bande passante est loin d'être constante ou linéaire et doit, par conséquent, faire l'objet d'une gestion continue.

Ces dernières années, l'Internet des objets (IoT) et les appareils connectés ont pris d’assaut le monde de la santé. De plus en plus, ces nouveaux objets permettent de traiter le patient sans l'intervention du personnel soignant. C'est notamment le cas des « smart pumps », ces pompes intelligentes qui dispensent des traitements de manière automatisée, ou encore des nouveaux moniteurs de santé connectés. Ces équipements assurent bien plus que la simple transmission de données vers les bureaux des infirmiers. Ainsi, les pompes à perfusion téléchargent des bibliothèques de médicaments tandis que les capteurs de télémétrie (connectés en WLAN) envoient des alertes et données oscillographiques à la station centrale. Enfin, les appareils et applications critiques doivent pouvoir transmettre des alertes en temps réel.

Le secteur de la santé se transforme actuellement sous l'impulsion de deux grands moteurs : la compétitivité des marchés et la consumérisation de la médecine. Au cœur de cette transformation, on retrouve bien sûr le cloud computing et l'IoT, mais aussi le BYOD, la télémédecine et d'autres tendances de fond. À terme, la différence se fera au niveau de la capacité des départements IT à s'approprier le changement et en concrétiser tout le potentiel. Ils devront notamment disposer d'une meilleure visibilité sur leurs applications et réseaux, mais aussi être capables d'en améliorer les performances.

Ceci étant posé, la grande question est de savoir comment relever tous ces défis de front ? Quelle que soit la structure en question (hôpital, clinique, compagnie d'assurance, etc.), les équipes IT doivent d'abord se concentrer sur la visibilité du réseau. Vos équipes doivent pouvoir compter sur une architecture sans angle mort. Cela passe notamment par la mise en place d’une « architecture de visibilité », terme quelque peu sophistiqué pour décrire un concept très simple : créer une vue holistique sur leur réseau, identifier les données de monitoring nécessaires, mais aussi savoir où les collecter et comment les transférer aux outils de monitoring et de sécurité. Généralement, la création d'une telle architecture repose sur l'ajout de TAP et négociateurs de paquets réseau, « Network Packet Brokers » (NPB), éléments clés dans la capture et le filtrage des données de monitoring. Vous disposerez alors de toutes les données nécessaires à la réduction et l'élimination de vos problèmes de sécurité et de performances.

Pour conclure, nous ne saurions trop insister sur l'importance des diagnostics réseau, notamment par la conduite de tests de sécurité, du Wi-FI et des performances des réseaux filaires et sans fil. Pour vos équipes, ces tests faciliteront grandement l'identification et la résolution des problèmes. Dans ce domaine, une bonne pratique à abandonner vos anciens processus manuels au profit de nouvelles technologies plus adaptées. Certes, vous ne voulez pas passer votre vie à faire des tests. Pourtant, faire l’impasse reviendrait à laisser de petits problèmes dégénérer en gros incidents. Ici, le meilleur remède reste sans doute de déployer des solutions de tests automatisées, à la demande ou à intervalles réguliers.

 

Repost 0
Published by Décideur Public - Systèmes d'Information - dans Avis d'Expert
commenter cet article
22 mai 2017 1 22 /05 /mai /2017 08:45

Philippe Delahaye
Directeur Commercial & Marketing
CDC Arkhineo

Voici une question qui revient fréquemment. En termes d’engagements et de responsabilités vis-à-vis des documents confiés, qu’est-ce qui fait la différence entre un Tiers-Archiveur et un logiciel de gestion d’archives accessible chez un hébergeur ? 

Sur le papier, un hébergeur met à disposition de ses clients une infrastructure informatique sécurisée, constituée d’un ensemble de serveurs, de baies de stockage, de switchs et d’autres équipements informatiques, ainsi que de l’alimentation électrique et des moyens de climatisation. Son engagement porte donc essentiellement sur la qualité du service proposé, notamment en matière de disponibilité (délai de rétablissement en cas de pannes correspondant à des niveaux de service, etc.), mais aussi de performances (temps de réponse lié à la capacité réseau et à la bande passante, etc.) et de sécurité du service et des accès aux serveurs (et éventuellement le chiffrement des données sensibles). L’éditeur, quant à lui, que son modèle soit basé sur un coût « one shot » ou sur un abonnement, vend une licence d’utilisation du logiciel et fournit la maintenance corrective et évolutive du logiciel (et le support téléphonique).

Une obligation de moyens
L’hébergeur s’engage à mettre en place les mesures techniques et organisationnelles de nature à empêcher tout accès non autorisé aux serveurs et logiciels ou utilisation frauduleuses des données. Comme dans la plupart des contrats de service, l’obligation pesant sur l’hébergeur est une obligation de moyens, la charge de la preuve du manquement incombant au client. Le client pourra certes réclamer le paiement des pénalités prévues dans la SLA (engagements de qualité de service) au cas où le niveau de service promis ne serait pas conforme, mais s’il souhaite être indemnisé d’un quelconque préjudice (ce qui, en droit, est différent des pénalités qui compensent une mauvaise qualité de service) c’est lui qui devra prouver le comportement fautif de l’hébergeur et le rechercher en responsabilité (et éventuellement vis à vis de l’éditeur).

Éditeur chez un hébergeur : une responsabilité floue 
Il conviendra également d’être vigilant dans le cas où un éditeur installe son logiciel pour son client chez un hébergeur et laisse supposer qu’il est ainsi “Tiers-Archiveur”, mais sans aucun engagement sur les données, ni sur le respect des contraintes normatives en matière de conservation des données numériques. Par ailleurs, dans le cas où les documents ainsi archivés sont susceptibles de contenir des données personnelles, il convient d’être attentif à la localisation des données et la nationalité de l’hébergeur (dans le cas où celui-ci hébergerait les données hors du territoire de l’UE et/ou s’il n’est pas de « nationalité » européenne, il sera indispensable d’obtenir une dérogation de la CNIL). L’éditeur n’est ainsi responsable que du support, de la maintenance corrective et évolutive de son logiciel, et l’hébergeur de la mise à disposition de moyens techniques. Ce qui peut être à l’origine de grosses déconvenues pour le client qui, d’une part, pourrait perdre des données (avec toutes les conséquences qui en découlent) et d’autre part, ne disposerait d’aucun recours en responsabilité ni contre l’éditeur, ni contre l’hébergeur.

Le “Tiers-Archiveur” doit montrer “patte blanche”
En matière d'archivage électronique, tout l’enjeu réside dans la fourniture d’un service destiné à garantir le maintien de la valeur probante des documents et leur conservation dans le temps. Le Tiers-Archiveur doit donc offrir des garanties supplémentaires par rapport à un simple hébergeur. Peu importe les temps de réponse ou la nature des supports de stockage, l’important ici c’est bel et bien la pérennité des documents, à laquelle s'ajoutent d'autres notions comme l'intégrité, l'intelligibilité, la traçabilité, la confidentialité, l'identification et la localisation des données. La faute sera donc présumée du seul fait de la non réalisation de l’objectif fixé, principe même de l’obligation de résultat. Cette dernière obligation naît du rôle de tiers dans son sens légal.

Une confiance renforcée avec eIDAS ?
Ainsi, quel que soit le service offert (authentification, signature, horodatage, archivage, preuve...), la notion de tiers impose une véritable reconnaissance. Et de ce côté-là, le principe de la certification constitue un bon moyen de consolider l’environnement de confiance dont l’économie numérique a besoin. La certification NF461 (basée sur un audit réalisé par des auditeurs agréés utilisant un même référentiel agréé à cette fin) permet au client de s’assurer que le Tiers-Archiveur réalise sa prestation selon les « bonnes pratiques » définies dans les normes AFNOR NF Z42-013 et ISO 14641-1. Le règlement eIDAS de juillet 2016 tient compte de ce principe et introduit un certain nombre de nouvelles règles, parmi lesquelles la reconnaissance du document électronique en tant que preuve devant la justice, mais aussi la création d’une « qualification » des prestataires. Afin d’aider à la transparence, chaque Etat membre se voit dans l’obligation d’établir des listes des prestataires de services de confiance qualifiés (PSCO) et des services de confiance offerts, qui pourront dès lors se prévaloir du « label de confiance de l’Union » et pourront être repérés grâce à son logo.

Sécurité renforcée
Pour être qualifiés PSCO, ils devront s’appuyer sur les standards décrivant les mesures à mettre en place : analyse de risques, plan de cessation d’activité, notifications en cas d’atteinte à la sécurité, contrôles, responsabilités, respect des normes de référence (NF Z 42-013, ISO 14641-1 et ISO 27001) etc. L’interopérabilité technique des systèmes passe donc par la coopération des pays membres. Précisons enfin que pour obtenir cette fameuse « qualification », les prestataires de services de confiance devront se soumettre à des audits attestant du respect des mesures définies dans les standards adossés au règlement. 

Moralité : avant de se lancer dans l’archivage électronique, les organisations ne doivent pas regarder uniquement la face émergée de l’iceberg, mais aussi tenir compte de tout le reste et plus particulièrement des certifications/qualifications, engagements et responsabilités du prestataire choisi. 

 

Repost 0
Published by Décideur Public - Systèmes d'Information - dans Avis d'Expert
commenter cet article
11 mai 2017 4 11 /05 /mai /2017 18:13

Simon OSTERMANN
Responsable Pôle Santé
PRO ARCHIVES SYSTEMES

 

En permettant la destruction des originaux papiers et en façonnant un cadre légal pour la copie numérique, le législateur impose définitivement la dématérialisation dans le paysage médical. Or, pour l’instant, la majorité des établissements de santé ne fait qu’effleurer le sujet. En effet, quelle voie choisir entre le tout numérique et la survivance d’un format papier qui n’a pas fini d’être utile … et utilisé ?

La nature du dossier médical, rend la problématique de sa traçabilité extrêmement sensible. D’autant que les archivistes et les secrétaires médicales qui en ont la charge doivent non seulement composer avec des classements anciens et hétérogènes, tout en veillant au respect des durées de conservation, mais aussi gérer l’identitovigilance (système garantissant au patient une parfaite identification durant son parcours de soins) et permettre au patient d’accéder à son dossier médical dans les meilleurs délais. Un véritable challenge. 

L’accélération législative et normative
Heureusement, des textes essentiels ont vu récemment le jour pour les aider à accélérer cette transition digitale. Ainsi, le décret du 5 décembre 2016 et les ordonnances de janvier 2017 fixent des règles précises sur la dématérialisation fiable, la destruction et l’hébergement qui en découlent. La force probante est désormais indifférente au support, que le dossier soit sous format papier ou numérique. Pour conférer le caractère de fiabilité, la reproduction doit se faire à l'identique de la forme et du contenu de l'original, que soit utilisés un horodatage et une signature électronique qualifiés ; et que l'intégrité soit garantie dans le temps (conservation des traces et des empreintes électroniques). Partant de ce principe, la destruction de l’original papier est autorisée avant la fin de la durée légale de conservation. Ce nouveau cadre réglementaire est par ailleurs concomitant de la norme NF Z42-026 dont le respect des spécifications aboutira à la suppression de l’original papier. Tout cela crée donc un équilibre nouveau permettant aux professionnels de santé de redéfinir leur politique d’archivage.

Le déclin du papier face à la réalité du terrain
La fin du papier permettra notamment de résoudre les problèmes liés à l’intégrité des données médicales confrontée à l’usure du temps, mais aussi à leur confidentialité dans des salles d’archives mal sécurisées, et à la pénurie d’espace dans des locaux inadaptés. Si le déclin du papier est désormais une réalité, la migration vers le digital sera malgré tout progressive pour les établissements de santé. Certains ont déjà fait un premier pas grâce au DPI (dossier patient informatisé) pour les dossiers de MCO notamment ; mais cette informatisation ne concerne pas 100% des dossiers médicaux.

Des obstacles et des doutes à lever
Les obstacles à une digitalisation complète du dossier médical restent, en effet, nombreux. Á l’attachement psychologique au papier s’ajoutent son utilisation fréquente pour les besoins liés à la prise en charge médicale des patients (entraînant l’impression d’éléments pourtant informatisés), la formation des agents sur les nouveaux logiciels (dans un contexte de surcharge de travail) ou encore la gestion des temps de réponses de plus en plus longs des applications. Autant de contraintes qui freinent cette digitalisation. 

Vers une gestion mixte et maîtrisée
Pour répondre de manière pragmatique aux véritables besoins des établissements de santé, la solution réside dans l’immédiat dans une gestion mixte, mêlant papier (de moins en moins) et digitalisation (de plus en plus). La plupart des services l’ont d’ailleurs déjà apprivoisé. Il faut maintenant les aider à y voir plus clair dans les choix qui s’offrent à eux et élaborer des stratégies pertinentes de numérisation, conservation ou destruction, en fonction de la nature des archives et du rythme des flux. Les personnels doivent donc aujourd’hui être formés, aussi bien à la gestion de documents nativement numériques que de documents papier (qu’il convient de mieux classer pour optimiser le temps et l’espace). 

La quête du SIH convergent 
Les réponses sont également techniques, tournées vers un système d’information efficace et homogène afin d’éviter les lourdeurs de gestion de SI bâtis sur des infrastructures hétérogènes. C’est le sens notamment du système d’information hospitalier convergent mis en place actuellement au sein des GHT (groupements hospitaliers de territoire) voulus par la loi du 26 janvier 2016 de modernisation de notre système de santé.

In fine, au lieu de vouloir tout numériser, n’est-il pas préférable de numériser les dossiers les plus mouvementés afin de diminuer la circulation du papier, éviter les problèmes de traçabilité et de surcoûts, et rendre ainsi l’accès des dossiers plus facile et rapide ?

 
Repost 0
Published by Décideur Public - Systèmes d'Information - dans Avis d'Expert
commenter cet article
20 avril 2017 4 20 /04 /avril /2017 12:33
Xavier GODARD, Directeur Marché Secteur Public chez Foliateam

Xavier GODARD, Directeur Marché Secteur Public chez Foliateam

Le numérique transforme nos modes de vie dans tous les domaines. Le secteur marchand multiplie les nouveaux services digitaux pour faciliter la vie des consommateurs. Les solutions de messagerie et les réseaux sociaux bouleversent notre manière de communiquer. Le digital est aujourd’hui une opportunité pour les collectivités de simplifier certains services au public et de gagner en efficience dans un contexte très contraint financièrement.

Selon les résultats d'une enquête menée par la société d'études indépendante Markess auprès de cinquante décideurs de collectivités locales, les collectivités peuvent articuler leurs actions autour de plusieurs axes de développement prioritaires : l’amélioration de la relation avec les citoyens, la maîtrise des dépenses, l’augmentation de l’efficacité des agents, les synergies avec d’autres collectivités et l’avènement des Smart Cities. Pour atteindre ces objectifs, les collectivités doivent donc s'engager dans la transformation digitale. Le numérique permettra une Gestion de la relation citoyen (GRC) plus efficace et facilitera la relation de l’individu à l’administration par le transfert de données à tout moment ou encore la mise en œuvre de procédures comme la demande d’état civil en ligne.

Les enjeux de la transformation digitale vont plus loin que les simples améliorations techniques. L’apport de la digitalisation doit se traduire, entre autres, par l’aide aux personnes morales et physiques, et une meilleure intervention sur l’espace public et ses équipements. Parmi les moyens que fournira la transformation digitale, la communication unifiée offre une panoplie d’outils qui permettront notamment aux agents des collectivités la mise en œuvre de processus plus pertinents et plus efficaces pour répondre aux besoins des citoyens toujours plus exigeants, cette amélioration des modes de travail des agents restant la préoccupation principale des collectivités avec la maîtrise des dépenses (Étude Markess 2013-2016).

Aujourd’hui, c’est une nécessité tant organisationnelle que règlementaire, les municipalités doivent se moderniser pour optimiser leurs services et réduire leurs coûts. Pour ce faire, leur première priorité est d’améliorer les communications internes via ces nouveaux outils numériques. Ils doivent, dans un second temps, faciliter la vie des citoyens en simplifiant les démarches administratives, réclamations, action sociale, enfance. Les citoyens souhaitent être renseignés rapidement, sans se déplacer.

Au-delà de ces priorités à court et moyen termes, se dessine en perspective une réalité dans l’évolution de notre rapport à notre ville : l’avènement des villes intelligentes. Or, cette transformation déjà en cours commence par cette première étape indispensable de refonte de leur communication, tant voix que données. 

 

Repost 0
Published by Décideur Public - Systèmes d'Information - dans Avis d'Expert
commenter cet article
30 mars 2017 4 30 /03 /mars /2017 16:32
Christophe Auberger, Directeur Technique France, Fortinet

Christophe Auberger, Directeur Technique France, Fortinet

Les grandes entreprises ont rapidement adopté le cloud computing au cours des 10 dernières années, et cette tendance, loin de fléchir, devrait même s’accélérer. Les infrastructures cloud privées, et notamment la virtualisation et les réseaux SDN, contribuent à transformer les centres de données qui hébergent la majorité des charges serveur corporate dans le monde. Les entreprises adoptent également les clouds publics à un rythme effréné, souvent associés à un rétro-lien vers un environnement sur site pour définir, in fine, un cloud hybride. S’ils présentent des avantages tangibles, ces changements rapides d’infrastructures sont néanmoins source d’inquiétudes en matière de sécurité et pèsent sur la capacité à protéger les utilisateurs finaux et les données, face à des menaces en perpétuelle évolution.

Les centres de données d’entreprise actuels évoluent d’environnements statiques internes vers un mix de cloud privés, publics et hybrides, et les organisations sont tenues de renforcer leurs pare-feux et autres appliances de sécurité (déployés en périphérie de réseau) pour inspecter le trafic entrant et sortant. Le trafic interne, qui transite latéralement, sur les réseaux internes et entre environnements cloud, doit également être protégé.

Pour une sécurité optimale au sein des clouds privés, publics et hybrides, les organisations doivent renforcer, voire redéployer leur sécurité, pour mieux s’adapter à des environnements temps-réel multisites et rapides. Voici quelques éléments à prendre en compte pour atteindre un tel objectif :

Évolutivité

Le cloud computing permet de déployer et de fournir rapidement des applications particulièrement évolutives. La sécurité doit être élastique pour se dimensionner à l’infrastructure en elle-même, et offrir une protection transparente et ce, sans ralentir les opérations.

Les environnements cloud actuels nécessitent des pare-feux ultra-rapides qui assurent la protection des flux entrants et sortants des centres de données, ainsi que la sécurité des réseaux en périphérie des clouds privés. Des pare-feux virtualisés sont également nécessaires pour protéger les flux entrants et sortants des clouds publics. Enfin, ce sont des pare-feux virtualisés qui sont requis pour sécuriser le trafic interne et latéral, à savoir les données et transactions entre équipements constitutifs d’un cloud. Les pare-feux et appliances de sécurité réseau hautes-performances doivent assurer une évolutivité verticale, pour répondre aux besoins en volume et performances, mais aussi latérale pour identifier et sécuriser les données issues des objets connectés et des terminaux, sur l’ensemble du réseau / des centres de données multisites, et ce, jusqu’au cloud.

Segmentation

Avec les gains d’efficacité résultant de la mutualisation des ressources informatiques, de stockage et réseau, rendue possible grâce aux technologies de virtualisation et de réseau SDN, les environnements cloud sont de plus en plus agrégés jusqu’à permettre une consolidation des centres de données dans leur globalité. Le niveau de protection des ressources critiques et du réseau interne reste faible, face à un hacker ou une menace de type ATP qui franchit la périphérie du cloud via une seule application vulnérable. Pour maîtriser ce risque, les organisations doivent cloisonner les départements métiers et les applications. Les réseaux doivent être segmentés de manière intelligente en des zones de sécurité fonctionnelles qui permettent le contrôle du trafic interne.

Une segmentation de bout en bout offre une visibilité précise sur le trafic du réseau multisite. Cette visibilité identifie et permet de mettre en quarantaine les dispositifs infectés, pour ainsi maîtriser la prolifération des logiciels malveillants. Une segmentation de bout en bout utilise des pare-feux de segmentation interne sur l’ensemble des centres de données, sites principaux et succursales, et sécurise la micro-segmentation pour les SDN et les environnements cloud.

“Awareness”

Au-delà de l’évolutivité et de la segmentation, l’infrastructure de sécurité doit automatiquement prendre en compte les changements en temps-réel (principe d’awareness) au sein de l’environnement cloud et s’y adapter, ce qui garantit une protection transparente. Il ne suffit pas de détecter le trafic malveillant ou de neutraliser les logiciels malveillants à l’aide des dispositifs de sécurité. Les événements de sécurité doivent également être intégrés dans un SIEM ou tout autre outil analytique, pour recueillir et corréler les données, mais aussi orchestrer automatiquement toute modification des règles et niveaux de sécurité, dès la détection d’un incident ou d’un événement de sécurité. Chaque composante de sécurité doit pouvoir fonctionner de manière intégrée et synchronisée, avec une visibilité et un contrôle optimisés.

Extensibilité

Les solutions doivent s’adosser à une plateforme extensible, dotée d’API configurables (REST et JSON par exemple) et autres interfaces, pour une intégration dynamique avec les multiples hyperviseurs, contrôleurs SDN, console d’administration cloud, outils d’orchestration, centres de données de type software-defined et environnements clouds. La sécurité s’adapte ainsi automatiquement à une architecture réseau et à des menaces qui évoluent.

Quels sont les critères d’une solution de sécurité cloud pertinente ?

Lors de l’évaluation d’une solution de sécurité cloud, voici quelques questions à se poser pour éclairer son choix.

La solution est-elle évolutive ? Une stratégie exhaustive de sécurité doit être élastique, en matière de « profondeur » (performances et deep inspection) et de périmètre (couverture de bout en bout).

La solution est-elle “aware” ? Vous devez pouvoir suivre les flux de données sur et en dehors du réseau, les mouvements au sein du périmètre réseau et les accès aux données.

La solution est-elle réellement sécurisée ? Les différents outils qui protègent votre réseau doivent collaborer pour définir un système intégré qui fournit une visibilité et un contrôle unifiés.

La solution favorise-t-elle la prise de décision ? Vous devez disposer de données de veille sur les menaces et d’une plateforme d’orchestration centralisée : la sécurité s’adapte ainsi dynamiquement aux nouvelles menaces identifiées et fournit de manière synchronisée des éléments décisionnels, sur l’ensemble du réseau multisite.

La solution est –elle ouverte ? Des API pertinentes et ouvertes permettent aux partenaires technologiques de s’intégrer avec l’infrastructure de sécurité, ce qui pérennise les investissements et favorise une adaptation dynamique aux changements.

Parmi les autres fonctionnalités intéressantes :

Une sécurité de type Software-defined : privilégiez une plateforme unifiée de sécurité, avec un système d’exploitation unique qui assure l’orchestration et l’automatisation de la sécurité sur les environnements physiques, virtualisés et cloud.

Intégration : les solutions de sécurité doivent pouvoir s’intégrer avec les environnements vSphere et NSX de VMware, ainsi qu’avec les clouds publics comme AWS et Azure, pour assurer un provisioning à la demande, une tarification à l’utilisation, une élasticité automatique et un traitement analytique unifié qui améliore la protection et la visibilité.

Visibilité et contrôle à partir d’une interface unique : votre plateforme de sécurité doit bénéficier d’une administration centralisée avec visibilité unifiée sur les politiques et événements de sécurité liés aux environnements physiques, virtualisés et cloud.

Conclusion

L’évolution des réseaux et la digitalisation progressive des processus métiers sont sources de défis complexes qui pèsent sur la sécurité réseau traditionnelle. Parallèlement, l’adoption rapide des clouds privés, publics et hybrides invite à repenser la sécurité du Cloud.

La nouvelle génération des solutions de sécurité cloud fait preuve d’élasticité et d’agilité. Ces solutions doivent aller au-delà de leur nature statique en étoffant leurs fonctions de sécurité et en segmentant les environnements cloud. C’est à ce titre que les organisations tireront parti d’une infrastructure évolutive et sauront anticiper les vecteurs d’attaques utilisés par les menaces connues et émergentes.

 

Repost 0
Published by Décideur Public - Systèmes d'Information - dans Avis d'Expert
commenter cet article
17 mars 2017 5 17 /03 /mars /2017 16:14
Cyril Dufresne, Ascom

Cyril Dufresne, Ascom

Pour gagner en sécurité et en efficacité dans la prise en charge des patients, les hôpitaux doivent repenser leurs processus de surveillance et de traçabilité des personnes, en privilégiant des outils technologiques en adéquation avec les problématiques actuelles.

Régulièrement, l'actualité est marquée par des faits divers plus ou moins tragiques ayant lieu au sein d'établissements hospitaliers. Une réalité qui n'est pas une fatalité, puisque certaines solutions technologiques sont aujourd'hui en capacité de prévenir des situations critiques

Aujourd'hui, le personnel hospitalier perdrait en moyenne 15 % de son temps à chercher ses propres patients! Un chiffre résultant des difficultés organisationnelles rencontrées par les établissements en raison des baisses de financement du système de santé en général, et de la baisse des effectifs en particulier.

Pourtant il existe des solutions technologiques permettant d'optimiser la notion de traçabilité des patients et du personnel, notamment pour faire face au risque de fugue, souvent sous-estimé et aux différentes défaillances dans le processus de gestion de la disparition des patients.

Elles peuvent être utilisées en complément de la vidéo-surveillance qui ne répond pas complètement à la problématique de sécurisation, car encore trop dépendante de l'humain qui visionne (ou pas !) les images.

Ces solutions transversales de gestion des risques permettent d'identifier des alertes en cas d'accident grave, de les localiser et d'y apporter une réponse rapide et adaptée. La mise en place préalable de scénarios d'alerte préventifs permet un gain de temps considérable et une réponse rapide et prédéterminée lorsqu'un véritable incident survient. Par exemple, équiper un patient d'un petit bracelet géo localisé permet une traçabilité et une localisation en temps réel. Le personnel peut même être alerté si l'un des patients tente de retirer ce bracelet...

Une indispensable prévention des risques à l'hôpital

La gestion des risques à l'hôpital est une problématique émergente. Après de trop nombreux actes d'incivilités et de violence au sein des services d'urgences, la sécurité hospitalière est au centre des préoccupations. Les établissements hospitaliers sont tenus d'assurer une surveillance adaptée à l'état de santé des patients, et au risque que ces derniers représentent pour eux-mêmes ou pour autrui. Mais ils doivent aussi permettent au personnel soignant de travailler dans de meilleures conditions !

La baisse des effectifs dans la fonction hospitalière doit s'accompagner de la mise en place de solutions capables d'apporter une protection efficace au personnel soignant, immédiatement utilisables et ayant déjà prouvé leur efficacité. Dans cet environnement, les dispositifs d'appel pour travailleurs isolés (DATI) s'avèrent être parfaitement adaptés aux situations de danger, quelles qu'elles soient.

Concrètement, ces solutions permettent aux médecins et infirmières isolés, en situation de danger, de déclencher une alarme qui s'accompagne d'un système de localisation intégré, afin de permettre une intervention rapide. Ces solutions possèdent également la capacité de prendre en compte l'ensemble des alarmes des établissements (incendie, intrusions...) tout en les hiérarchisant et les priorisant selon leur degré d'importance, afin d'optimiser la gestion des nombreuses informations d'un établissement de santé.

Réorganiser et sécuriser la prise en charge des patients

Point fort de la transformation digitale des hôpitaux, les nouvelles technologies disponibles engendrent une réorganisation complète du personnel et des processus de surveillance, qui se traduit par une hausse de l'efficacité quotidienne des équipes. Ces solutions aident les hôpitaux à affecter les bonnes ressources au bon endroit, tout en permettant au personnel soignant d'être désormais joignable et géo localisé à tout moment.

Ces nouvelles technologies peuvent également faciliter des tâches comme l'activité de brancardage et la gestion des lits, puisqu'elles identifient les points de départ et d'arrivée, d'entrée et de sortie des patients. Ces solutions de suivi de déplacement permettent aux médecins de ne plus perdre de temps à identifier un patient, son profil, son historique et ses besoins.

En effet, le transfert d'un service à un autre peut parfois se conclure par une perte d'informations. Ainsi, les solutions de brancardage intelligentes combinées à une planification fluide des interventions chirurgicales et une gestion des lits, peuvent apporter une meilleure organisation. Car un lit inoccupé ou un bloc non utilisé se traduisent par des pertes financières importantes pour un hôpital, aujourd'hui soumis à des objectifs de rentabilité.
 

Repost 0
Published by Décideur Public - Systèmes d'Information - dans Avis d'Expert
commenter cet article
10 mars 2017 5 10 /03 /mars /2017 16:36

Laurent Ausset-Delon, Directeur Général Exécutif de CADIC Services

 

Information, documentation, archives, bibliothèque, photos, fonds audiovisuels ou muséographiques, tous ces fonds sont gérés par des professionnels expérimentés avec, pour chacun d’eux, des expertises, des méthodes et des outils différents. Il n’y a généralement pas de passerelle entre tous ces fonds et peu de possibilités d’accès transversal ni de gestion globale. Il est temps que ça change. Aussi, en référence à l’anneau unique imaginé par Tolkien dans ses romans sur la Terre du Milieu qui serait capable de “tout lier”, j’ai décidé de partir en croisade pour cela.

La situation est d’autant plus urgente que la digitalisation des fonds d'archives et des fonds documentaires enclenchée depuis plusieurs années déjà a rendu les utilisateurs beaucoup plus exigeants. Aujourd’hui, ils ne veulent plus se rendre aux archives, au centre de documentation ou à la bibliothèque, mais souhaitent pouvoir effectuer leurs recherches chez eux, depuis leur poste de travail ou un terminal mobile. L'informatisation, la numérisation et désormais le traitement en temps réel de documents nativement électroniques rend aujourd’hui tout cela possible.

Des missions transversales, sans outils adaptés

Au même moment, les professionnels du domaine ont vu leurs missions s’élargir sans toutefois disposer de toutes les compétences et des ressources techniques nécessaires pour les mener à bien. Combien de temps, encore, vont-ils continuer d’utiliser des solutions parallèles pour gérer ces différents fonds ? Il faut savoir dire “Stop” à ces méthodes qui cloisonnent l'information et les individus. Aujourd'hui, les entreprises font dans le collaboratif, le cloud, la mobilité et avancent même sur la Digital Workplace qui permet à chaque collaborateur de disposer des applications métiers et de toute l'information nécessaires en quelques clics, à tout moment et sur n’importe quel poste de travail. Or, que fait-on des dossiers courants, de la documentation, des archives numérisées ou papier ? Il existe pourtant des solutions permettant de tout rassembler et de tout gérer dans un ensemble cohérent : la documentation, l'information, les fonds muséographiques, les fonds photos et vidéos, la bibliothèque, les archives, le records management.

Vers une nécessaire convergence

Tout comme dans l’imaginaire de Tolkien où l’univers est composé de neuf mondes physiques liés de façon incertaine, il en est de même dans le monde réel de l’Infodoc. Il existe, en effet, autant de métiers, de fonds, de règles et d’outils, liés les uns aux autres de façon plus ou moins organisée. Il est vrai que la gestion d’un fonds muséal se distingue de celle d’une bibliothèque. Mais alors, comment rassembler tous les professionnels de l’information sinon au sein d’un écosystème fédérateur ? Comment créer une vraie communauté et éviter que chacun ne se retrouve en train de jongler avec des fonds pour lesquels il n’a pas été formé et avec des outils différents ? Comment décloisonner ces fonds et en avoir une vision globale sans les dénaturer ?

L’homogénéisation en marche

Seule une nouvelle approche vers une indexation convergente permet de stocker, publier, trouver les informations et les documents indépendamment des fonds, des domaines et des métiers. Grâce à une solution unique, tous se trouvent rassemblés dans un espace numérique partagé et personnalisable. En effet, chaque utilisateur dispose d’un bureau virtuel, accessible depuis un ordinateur ou un terminal mobile connecté, avec notamment la possibilité de créer des chaînes thématiques transversales aux différents fonds.

In fine, l’idée n’est donc pas de revoir complètement les métiers et les rôles de chacun, mais de rationaliser et mutualiser les outils. Pour une meilleure gestion et plus d’efficacité.

Repost 0
Published by Décideur Public - Systèmes d'Information - dans Avis d'Expert
commenter cet article
7 mars 2017 2 07 /03 /mars /2017 16:06

Hervé Dhelin, EfficientIP

 
 
 
 
 
 

 

Repost 0
Published by Décideur Public - Systèmes d'Information - dans Avis d'Expert
commenter cet article