Cybersécurité : ouverture des 2 premiers guichets (66,4 M€) dans le cadre du programme CaRE
Publié le mardi 26 mars 2024 à 16h29
Publié le mardi 26 mars 2024 à 16h29
Publié le vendredi 08 mars 2024 à 17h22
Le métavers est un monde virtuel tridimensionnel (3D) basé sur internet, où les individus mènent leurs activités quotidiennes à l'aide d'avatars représentant leur personnalité "réelle" ou imaginaire. Si cette définition fait davantage penser à l’univers du jeu, la santé représente pourtant un terrain intéressant pour cette technologie émergente.
« Ce n'est pas seulement un endroit où l'on peut s'éloigner de la vie trépidante et profiter d'une vie de loisirs, mais selon nous, c'est un endroit où les individus vont vivre une partie de leur vie en utilisant des services et des installations », estiment des chercheurs italiens de l’université de Catane, à l'origine d'une revue de la littérature sur le métavers dans le secteur de la santé.
Des applications de la technologie dans le champ sanitaire commencent à émerger : le potentiel de ce monde virtuel pour la prévention et le traitement des maladies, l'éducation, la formation et la recherche pourrait même être sans limite. Preuve de cet intérêt : un premier diplôme universitaire sur le « Métavers en santé » figure depuis cette année au programme des formations délivrées par l’Université Paris-Cité.
Afin de mesurer scientifiquement la maturité du sujet, ces chercheurs italiens ont décidé de passer en revue la littérature. Quelque 976 études portant sur le métavers et la santé ont été détectées après le filtrage des 3 bases de données (Pubmed : 67 ; Web of Science : 380 ; Scopus : 529). Au final, seules 21 études ont été jugées recevables.
Cette revue de la littérature montre que le sujet est nouveau et innovant, et qu'il nécessite des investigations futures. Cependant, des pistes se dessinent. Dans le domaine des soins, les auteurs de cette revue de la littérature suggèrent que "dans le métavers, les médecins pourraient rendre visite à leurs patients dans une clinique virtuelle en 3D en utilisant des services de télémédecine et des dispositifs à domicile tels que des capteurs portables et des applications pour smartphone afin de surveiller leur état de santé".
En outre, les avatars devraient pouvoir jouer un rôle non négligeable dans le système de santé. Basé sur l'intelligence artificielle, ils pourraient fournir un retour d'informations et des motivations personnalisés, et, de cette façon, rendre l'intervention médicale plus efficace. « Les avatars, grâce à la nouvelle technologie, réagissent de manière réaliste dans leur discours, leurs expressions faciales et leur langage corporel », comme une "infirmière virtuelle", relèvent les auteurs de la publication.
Le métavers devrait par ailleurs progressivement investir le domaine de la formation, et notamment via la réalité virtuelle. Cette dernière présente l’avantage d’être accessible de n'importe où, indépendamment de la distance ou de l'espace. Pour les chercheurs italiens, ces atouts liés à la réalité virtuelle et à la réalité augmentée pourraient permettre de "standardiser l'éducation des gens" : "cela pourrait réduire les disparités dans l'éducation des futurs étudiants en médecine", soulignent-ils.
Enfin, dans cette revue de la littérature, les chercheurs se sont penchés sur les opportunités en termes de recherche.
Le métavers apparaît comme un outil facilitant la collecte d’une vaste quantité d'informations personnelles sur la santé, permettant la création de systèmes de big data et d'apprentissage automatique (machine learning) qui pourraient aider le système de soins de santé et la recherche.
En conséquence, les dangers possibles liés à la gestion des données et au respect de la vie privée émergent. Les chercheurs estiment que "le métavers pourrait être un endroit dangereux où de nouveaux crimes vicieux et sophistiqués pourraient être commis, notamment en ce qui concerne le vol de données personnelles".
Les études futures devront donc examiner en profondeur la faisabilité d'un métavers de la santé dans lequel les utilisateurs peuvent apprendre et être guidés vers des comportements sains. L'enjeu est de trouver le chemin pour passer de la théorie à la pratique.
Publié le mercredi 18 janvier 2023 à 08h00
Contrairement au Web 2, où les utilisateurs créent et les plateformes contrôlent tout, le Web 3 permet aux utilisateurs, via la blockchain, de contrôler leurs données et leur identité et de décider qui y a accès.
Cette décentralisation des données, qui va devenir la norme, permet aussi de faciliter l’immersion, déjà présente à travers la réalité virtuelle/augmentée (VR/AR) et le gaming, et l’activation de communautés avec le metaverse et le NFT.
Ces innovations apportent une nouvelle stratégie marketing, celle du marketing de la rencontre.
En effet, il est possible de faciliter la rencontre patient et acteur de santé, réduisant ainsi les problématiques de distance, de temps et d’offrir une relation gamifiée à forte plus-value et très individualisée.
Depuis plusieurs années, la formation a recours à la réalité virtuelle en permettant de gamifier l’apprentissage des compétences comme le propose Simango avec son hôpital virtuel. C’est le premier hôpital reconstitué de façon virtuelle où les médecins, les infirmières, les aides-soignants peuvent se former aux gestes techniques ou d’hygiène.
Le metaverse, quant à lui, permettra une "immersivité" et une interactivité encore plus grande.
L’offre de soins souvent anxiogène va gagner en acceptabilité par les patients pour «vivre» avant le soin l’intervention virtuellement pour mieux en comprendre le parcours de soins.
C’est aussi la capacité d’échanger avec d’autres patients.
Tous les acteurs sont concernés ; chercheurs, médecins, infirmières, laboratoires, pharmacies…
D’ailleurs, les premiers usages sont déjà apparus :
En premier lieu, les principes du marketing stratégique ne changent pas. Ce n'est pas le support numérique qui doit être la finalité mais l'objectif recherché. Il ne faut pas se lancer sur le metaverse ou sur les NFT dans le seul but d'agir comme les concurrents : cette décision doit être l'aboutissement d'une stratégie pour toucher une audience et diffuser un message avec une éventuelle conversion d'achat.
Ce nouveau monde repose sur des codes culturels très spécifiques :
La télémédecine a été une première étape en ce sens dans le secteur de la santé dans la relation patient/médecin. Le conseil et la délivrance de soins seront augmentés dans un univers immersif à forte interactivité, préfigurant la deuxième étape.
Les premiers retours en termes de ROI sont très limités. Toutes les marques présentes dans les NFT et dans le metaverse ne communiquent pas leurs données. À l'exception de quelques-unes :
Cependant, les actions entreprises initialement avaient pour principal objectif de simplement habituer les clients ou les patients à interagir avec la marque dans les nouveaux environnements Web 3.
Le récit client et les expériences de parcours immersifs tendent à personnaliser davantage l'offre et à faciliter son expression vis-à-vis de la marque :
Seuls l’utilité et le sens permettront une appropriation facile et un usage récurrent.
Publié le mardi 05 juillet 2022 à 08h00
Le 17 mars 2022, la Cnam rapportait dans un communiqué avoir constaté plusieurs piratages ayant conduit à la fuite de diverses informations confidentielles, comme les noms, prénoms et numéros de Sécurité sociale des patients. Le droit européen, et en premier lieu le RGPD, contraint depuis plusieurs années toutes les organisations à mettre en place les mesures les plus sérieuses quant à la protection des données.
Mais une protection contre une cyberattaque – qu’elle soit pirate du fait d’organisation criminelle ou corsaire du fait d’organisation étatique – ne tient qu’un temps : il est vivement recommandé de mettre en place des défenses dans la profondeur de manière à dissuader des agresseurs plutôt que d'espérer s’en prémunir éternellement.
Faut-il pour autant refuser tout service qui contiendrait des données ? C’est irréaliste. Des bonnes pratiques sont cependant réalisables à tous niveaux pour que chacun puisse évoluer dans un monde cyber un peu plus sûr.
Que la motivation des hackers soit vénale, ludique, ou liée à une cause supérieure, la manière de procéder est souvent semblable :
Il est de la responsabilité de tout professionnel en cybersécurité de se tenir à jour sur les types d’attaques réalisées et les modes de défenses les plus efficaces afin de conseiller efficacement les utilisateurs et de proposer les plans de protection adéquats.
Il est aussi de la responsabilité de toutes les organisations de dégager les moyens – financiers et humains – pour que les protections soient mises en œuvre et que la sensibilisation des personnes soit suffisante.
On évoque cependant peut-être insuffisamment notre responsabilité individuelle :
Des petites choses du quotidien, aussi évidentes que le fait de ne pas laisser son porte-monnaie sur un banc publique ou de ne pas écrire son code de carte bancaire sur sa carte bancaire…
Publié le vendredi 01 juillet 2022 à 08h00
Publié le vendredi 24 juin 2022 à 08h00
L'offre de marché en matière de solutions de cybersécurité est déclarée satisfaisante par les 30 DSI/RSSI sondés. Cependant, ces derniers déclarent aussi que les solutions pourraient mieux répondre aux besoins des DSI/RSSI, estimant ces solutions de protection des données plutôt adaptées (9 sondés sur 10). Seulement 6% des DSI/RSSI déclarent qu’elles sont tout à fait adaptées.
[vue=150373]
Pour répondre à l’augmentation des incidents et des risques cyber, près de la moitié des établissements déploient conjointement une solution EDR (Endpoint Detection and Response) et une solution SIEM (Security Information and Event Management) pour la gestion des événements de cybersécurité.
[photo=150374]
La solution EDR a pour but de protéger les terminaux (ordinateurs portables, ordinateurs de bureau, téléphones, etc.).
La solution EDR représente la principale solution technologique qui permet de faire face aux menaces avancées et persistantes sur les terminaux, pour lesquelles l’efficacité des antivirus n’est pas suffisante.
Utilisant des fonctionnalités d’intelligence artificielle, elle permet une protection en temps réel et peut faire face à un large panel de menaces malveillantes.
Ses capacités d’apprentissage automatique basées sur l’analyse des comportements des terminaux permettent à la fois de :
Elle est adaptée à différents types d’organisations, ayant des niveaux de maturité différents.
Selon le cabinet Reports & Data, le marché mondial des solutions EDR va connaitre un taux de croissance annuel moyen de 23% sur la période 2019-2027, pour atteindre près de 7 milliards de dollars en 2027 contre 1,4 milliards de dollars en 2019. Ce marché est fragmenté et non mature, composé de petits et gros acteurs tels que Microsoft, Cisco et Symantec. Les experts notamment ceux de Gartner anticipe des fusions par les plus gros dans les prochaines années.
[photo=150375]
Si les apports des solutions EDR semblent faire l’unanimité, la visibilité des marques des solutions reste à construire sur un marché fragmenté et non mature, mêlant petits et gros acteurs.
[vue=150381]
Microsoft et Cisco sont les marques les plus connues du marché, suivies de loin par Symantec, McAfee et Palo Alto. L’équipement des établissements en solutions EDR est très varié.
[photo=150402]
La recommandation des solutions atteint un niveau moyen, et suggère des opportunités de croissance pour l’ensemble des éditeurs de solutions. Seul Microsoft bénéficie d’une recommandation élevée.
[photo=150388]
Le principe des Security Event Information Management (SIEM) est de gérer les événements de sécurité du système d'information.
Les solutions SIEM constituent un outil puissant d’alerte en cas de tentatives d’intrusion ou de faille de sécurité avérée, en permettant de comprendre l’origine des intrusions et en déterminant la stratégie de lutte à mettre en place.
Elles sont adaptées à différents types d’organisations, ayant des niveaux de maturité différents.
[photo=150396]
La notoriété des marques des solutions SIEM reste à construire sur un marché fragmenté et non mature, et seuls Fortinet et Microsoft sont connus par le plus grand nombre.
Le marché des solutions SIEM est également caractérisé par un niveau de notoriété spontanée extrêmement faible. 63% des DSI/RSSI sont incapables de citer spontanément une marque de solution SIEM.
[vue=150410]
Une notoriété pour l’ensemble des acteurs de solutions SIEM encore à asseoir. Seules 2 marques sont connues par 1 DSI/RSSI sur 2.
[photo=150408]
3 solutions SIEM sont largement recommandées par leurs utilisateurs : Splunk, Fortinet et Microsoft. Pour les solutions SIEM concurrentes le niveau de recommandation suggère une déception de leurs utilisateurs.
[photo=150399]
Publié le vendredi 24 juin 2022 à 08h00
Publié le vendredi 24 juin 2022 à 08h00
[photo=150174]
[vue=150168]
Selon l'enquête menée auprès de 30 DSI/RSSI d'établissements issus de 27 GHT (France métropole et Outre-mer), les cyberattaques de type « phishing » (hameçonnage) et « ransomware » (rançongiciel) demeurent prédominantes (48 % des sondés confrontés à un « phishing », 32 % à un « ransomware »), soit 53 % des sondés qui déclarent avoir été confrontés à un « phishing » ou à un « ransomware ».
Dans son « Panorama de la menace informatique » diffusé en mars 2022, l'Anssi précise par ailleurs que la menace des rançongiciels, qui a « explosé » en 2019 et 2020, s’est « stabilisée » en 2021 à un niveau « très élevé » avec 203 attaques traitées contre 192 en 2020 :
Pour les DSI/RSSI sondés, la recrudescence des incidents quotidiens principalement sans gravité et conséquences majeures sur le SI et le fonctionnement des activités de soins est telle que leur recensement n’est pas possible, et qu’ils misent en confiance dans la stratégie de sécurisation des données adoptée par l’établissement.
[encadre=150167]
[vue=150170]
Selon les DSI/RSSI interrogés dans le cadre de l'étude, les établissements de santé publics font face à une variété de vecteurs d’attaques malveillantes et non malveillantes, et ce de manière de plus en plus intensifiée et quotidienne.
Au regard de leur démarche analytique des risques encourus et de leur faible budget (mais en sensible augmentation pour les années à venir - voir plus loin), leurs efforts sont largement concentrés sur les terminaux, les réseaux et les emails, principaux points d’entrée des cybercriminels.
À l'ère de la cybercriminalité, adopter une stratégie de cyber-sécurisation des données est devenu prioritaire pour l'ensemble des GHT mais l’absence d’architecture commune SI effective à tous les GHT semble constituer un frein.
Globalement, le budget de défense est comparable au temps consacré pour l’ensemble des types d’attaque et est prioritairement alloué aux ransomwares et phishing (plus de 50%).
[vue=150228]
Face à la recrudescence des attaques informatiques malveillantes (phishing, ransomware) depuis la pandémie, il devient indispensable d'effectuer une sensibilisation et une formation du personnel des établissements de santé. Un tiers des établissements sondés déclarent pourtant que cette formation n'a pas encore eu lieu alors qu'un quart de ces derniers signalent une compromission sur les attaques internes involontaires.
[photo=150181]
La plupart des établissements de santé publics ont contracté une assurance cyber sans jamais l’avoir utilisé.
Le contexte expliquerait cette décision mais d'autres facteurs pourraient expliquer ce non recours ; notamment les clauses d’applications proposées par les assureurs qui ne seraient pas en phase aux situations de risques à gérer.
[photo=150182]
L’analyse des risques du SI intègre avant tout les terminaux, les réseaux, les e-mails et les systèmes d’information cliniques. En revanche, les données financières et juridiques sont moins intégrées dans une démarche analytique du risque.
L’adoption future d’automatisation des bâtiments par les établissements dans leur démarche innovation par le numérique va certainement doper la croissance des éditeurs de solutions technologiques. Près de 4 DSI/RSSI sur 10 considèrent déjà cet aspect dans sa démarche analytique du risque.
[vue=150183]
Publié le vendredi 24 juin 2022 à 08h00
Dans le cadre de la politique de convergence SI des GHT ayant pour but d’améliorer la prise en charge des patients par un partage de l’information médicale entre tous les établissements du GHT, les GHT devaient finaliser leur architecture SI commune dès le 1er janvier 2018.
Il ressort de l’enquête que pour près de 4 GHT sur 10, l’architecture SI commune est effective, une part comparable à celle communiquée par la Direction générale de l’offre de soins (DGOS) dans son dernier « Atlas SIH des GHT 2021 » publié en 2022.
[photo=150157]
L’absence d’architecture SI commune effective pour 6 GHT sur 10 sondés impacte fortement, selon les DSI/RSSI, la mise en œuvre de la sécurisation des données.
Cette lenteur de mise en œuvre est d’autant plus à considérer que les exigences en matière de sécurité informatique pour l’ensemble des établissements supports des 135 GHT sont renforcées. D’ici mai 2022, les 135 GHT seront en effet intégrés à la liste des « opérateurs de service essentiels ». Ce classement implique des règles de sécurité informatique plus strictes et la contrainte d’appliquer aux systèmes d’information les meilleures pratiques de cybersécurité. L’Anssi sera chargée de contrôler le bon respect de ces règles. Les Agences régionales de santé accompagneront les établissements pour les aider à se conformer à ces nouvelles obligations.
Face à l’augmentation exponentielle des cyber-menaces, il n’est plus possible de faire de la cybersécurité une variable d’ajustement des projets informatiques des établissements de santé et les budgets alloués ont été trop peu élevés pour lutter efficacement. En effet, ces cyberattaques peuvent entrainer la suspension de certaines activités de soins, la paralysie des systèmes d’information et des coûts financiers engendrés très élevés pour les établissements victimes.
Dès février 2021, le gouvernement a acté des mesures phares : aucun projet ne pourra désormais faire l’objet d’un soutien de la part de l’État si une part de 5 à 10 % de son budget informatique n’est pas dédiée à la cybersécurité.
D’après les DSI/RSSI interrogés sur le sujet, la part actuelle moyenne des investissements Cyber représente près de 13 % des dépenses globales IT, avec une augmentation prévisionnelle de plus de 10 % pour 7 établissements sur 10 qui envisagent une augmentation dans les années à venir. [photo=150158]
Si anticiper et gérer les risques cyber contribuent à la fois à une démarche globale de sécurisation des données sensibles (patients, financières, juridiques), à l’image et la réputation des établissements de santé, il n’en demeure pas moins qu’un quart des établissements encore consacrent actuellement moins de 5% des dépenses cyber à leur budget IT.
Les investissements consacrés au Cloud sont en moyenne limités à hauteur de 9% du budget IT total. Le recours au Cloud Public pour certaines applications concerne peu d’établissements, moins d’un cinquième des établissements interrogés. (Voir Image)[photo=150163]
Publié le vendredi 24 juin 2022 à 08h00