votre avatar Abonné

Alfatek

est avec nous depuis le 29 juin 2017 ❤️

Bio

Oups.
On dirait que quelqu'un ici aime garder ses petits secrets, comme si de par hasard il y avait quelque chose à cacher...
Désolé, ô lectrice de passage, cher lecteur égaré, pas de révélation sensationnelle pour le moment sur ce profil.
Repassez plus tard ?

10 commentaires

des petits lapins face à de multiples pièges et dangers sournois

Le 14/02/2024 à 21h 57

* Il y a une énorme surévaluation de la "preuve papier"
* Il y a une énorme méconnaissance de la valeur de chaque élément "numérisé" par rapport au papier
* Il y a une énorme envie de "se couvrir" de la part de tout le monde

Exemple:
* Un responsable met au point avec une équipe et de façon très pro une procédure aux petits oignons
* La procédure descend, elle doit être expliquée aux chefs de services
-> Les chefs de services se font déjà une idée différente: "ça c'est inutile" "ça je ferai autrement" et en fin de réunion, leur mot de conclusion c'est "on verra bien en le faisant" pour tout ceux qui n'ont rien écouté
* Les chefs de services doivent faire appliquer la procédure. Certains font une réunion pour passer le message, d'autre envoient un email récapitulatif très simplifié et adapté à leur sauce
-> Les personnes au bout de la chaîne, reçoivent une info très partielle, déformée, mal rédigée... Ils trouvent que c'est nul, on va donc osciller entre le "on va faire comme avant et si ils râlent on verra" et le "moi il y a 20 ans heureusement que j'avais la carte d'identité du monsieur alors je continue à les canner" et le "ils n'ont certainement pas pensé à tout, je vais prendre un maximum comme ça quand ils complèteront leur demande je serai prêt"

J'exagère, mais ce genre de dérives existe et est difficile à combattre. La numérisation des procédures et services, l'application du RGPD (en faisant comprendre que ça s'applique AUSSI au papier et AUSSI à l'armoire avec 10 ans de document derrière), c'est long, c'est fatiguant et on a l'impression de travailler parfois avec des sales gosses.

Je trouve votre intervention très intéressante (comme toutes les interventions d'ailleurs !! ) et malheureusement vraie (même si je n'ai pas constaté cela dans mon travail mais j'ai pu le voir ailleurs). C'est une dimension que je n'ai pas pris en compte dans ma réflexion mais qui existe à savoir la déclinaison mal gérée de procédures qui pourtant étaient bien pensées au départ.

Le 12/02/2024 à 22h 17

Le jour de naissance n'est pas dans le numéro (NIR).

C'est vrai mais d'une part avec de précédentes fuites, en croisant les données il est possible de tout relier pour certaines personnes (pas toutes je suis d'accord).
Cela fait la 3e fuite de données dont je suis victime, donc là les pirates ont toutes les données me concernant et ils peuvent les croiser sans problème.
Je dois dire que je "rigole" quand je lis et quand j'entends "choississez des mots de passe forts, changez vos mots de passe, etc...".
Côté mots de passe, j'ai un gestionnaire de mots de passe, aucun mot de passe identique, tous mes mots de passe sont longs et bien entendu ma gestion de la sécurité ne s'arrête pas à cela.
MAIS ça ne sert à rien si derrière les données sont gérées n'importe comment : il suffit juste d'informaticiens qui ne font pas correctement leur job pour des raisons variées que je ne juge pas mais que j'imagine (manque de personnel, sécurité pas au top de la priorité de la société, pas d'audit, ou alors pas de mise en oeuvre des mesures suggérées etc... ) et je constate au travers des interventions que c'est un laxisme presque généralisé.

Le 12/02/2024 à 21h 59

Scan de CNI ou photocopie??

Au boulot (pharmacie d'officine), je peux exiger la CNI que dans un cas: pour la délivrance des stupéfiants.
En dehors, je demande actuellement la CNI, pour rattaché le patient à son Identifiant Nationale de Santé
Cela nous est utile pour envoyer les vaccinations que nous réalisons vers mon espace santé, en rattachant le dossier du patient à son INS puis en le "qualifiant". J'ai été amenés à faire une photocopie de la CNI, 1 ou 2 fois car le rattachement était récalcitrant. Je l'ai repris dans la journée et la photocopie est partie dans la broyeuse.

Je sais que les hôpitaux du coin demande la CNI mais j'ignore pourquoi. À priori, pas pour l'INS car sur les ordonannces de sortie, celui n'est pas qualifié.

Il est regrettable que la personne de l'accueil ne soit pas en mesure de dire pourquoi elle a besoin d'un document, encore plus quand c'est une pièce d'identité.

Pour information voici le référentiel "Fiche pratique Gestion des copies de pièces d’identité dans le système d’information" expliquant que les conditions de conservation de scan ou photocopie de la CNI.

Merci beaucoup pour ces informations ! Le lien de la fiche pratique contient des informations que je recherchais !

Le 11/02/2024 à 18h 46

Le tiers-payant qui passe par le système SESAM-Vitale et les retours NOÉMIE n'est pas impacté. Je pense que mon patron aurait ralé très fort si les mutuelles arrêtent de rembourser aux officines le tiers qu'elles avancent aux patients sur leur ordonnances.

Ce qui doit être bloqué c'est la visualisation/synthèse de ces flux par les assurés et les professionnels de santé.

Merci pour votre réponse.
A vrai dire je ne sais pas, le problème n'est pas pour des produits en pharmacie.

Le 11/02/2024 à 18h 45

Tout ce que vous dites, je le constate dans les forums...
Je suis toujours surpris car, au moins pour ce que j'en ai vu chez nous, pas de mots de passe en clair, interdiction d'installer des logiciels tiers sur le matériel pro (de toute façon on a pas le compte admin des micros), des campagnes de sensibilisations aux problèmes des liens inconnus dans les e-mails plutôt bien réalisés.
Je m'arrête là mais je comprends mieux toutes ces fuites de données quand la sécurité n'est ni pensée ni gérée...

Le 11/02/2024 à 17h 29

La composition du numéro de Sécurité Social est publique et ses éléments aussi (5mins de recherches) : il ne manque que le jour du mois.

En ce qui concerne l’usurpation d’identité et aux dernières nouvelles, en cas de demande avec présentation de ces données (qui peuvent se retrouver ailleurs, la vie est longue) les mairies sont tenues de ne diffuser que des extraits partiels sans filiation (ne permettant pas de s’inscrire dans une banque ou de générer une CNI par exemple).

Donc quand il y a usurpation c’est soit un travail d’investigation assez complet (ciblant plusieurs membres de la famille), soit quelqu’un qui a merdé (pensant rendre service ou pas, le résultat est le même).

> - un non respect qui me semble abyssal de procédures de sécurité (je pense qu'un audit aurait pointé ce problème). Chaque société qui détient des informations sensibles devrait respecter des normes et justifier d'audits réguliers. En cas de pépin une énorme amende permettrait d'envoyer un signal à tous les acteurs qui feraient mal leur travail.

Et si le rapport de l’audit signal qu’en plus de brèche il y a eu exploitation et que le client dit "on verra ça plus tard" ou "je gère ça avec notre prestataire, merci et au revoir" ?

On est dans le même cas que le médecin qui signal a son patient qu’il est séropositif et dont ce dernier ne montre aucune motivation pour se soigner ou a le signaler a son/sa/ses partenaires.

A ton avis il y en a combien des entreprises qui réagissent comme ça?

Merci beaucoup pour cette réponse très éclairante !
Concernant les audits on a déjà eu où je travaille et nous en avons tenu compte, donc je m'étonne toujours que ce ne soit pas le cas. Ce que je peux comprendre c'est le décalage de mise en oeuvre suivant les priorités (par exemple des failles difficiles à mettre en oeuvre pour des pirates, donc pas prioritaires à combler versus nouvelles versions applicatives à mettre rapidement en production par exemple, sans compter qu'il faut aussi évaluer si un patch ne va pas mettre provoquer des dégâts et donc le tester avant la production). Donc oui je comprends tout cela, ce que j'ai du mal à comprendre est la non prise en compte d'un rapport.
Je ne travaille pas en SSII donc je n'ai pas une vision très complète du paysage informatique contrairement à d'autres intervenants et effectivement ce que je lis fait peur et milite pour une réduction des données détenues par des tiers (ce qui n'est pas la tendance).

Concernant la carte d'identité vous avez raison : la mienne est ancienne mais j'ai un vague souvenir de cela.
Maintenant avec les fuites massives des données des réseaux sociaux de ces dernières années, il n'est plus improbable qu'une personne obtienne ces données de filiation (avec l'IA je pense que le recoupement de données risque d'être plus simple). En tout cas c'est arrivé à un patient d'un professionnel de santé que je connais bien et qui m'a raconté l'histoire (pas en détails) et qui montre que malheureusement cela est possible.
Enfin toujours sur l'usurpation d'identité je me souviens d'un reportage télé sur une personne dont l'identité avait été usurpée à plusieurs reprises par un individu qui allait régulièrement en prison et donnait une fausse identité. Cela a duré plus de 15 ans... Je ne sais pas comment à été possible mais visiblement cela l'est.

Le 10/02/2024 à 22h 33

Pour la plainte, ça se passe ici

Procédure d'envoi à la dernière page de la lettre.

Merci beaucoup pour le lien !

Le 10/02/2024 à 18h 01

Je suis d'accord avec tout ce qui a été dit et j'ajouterai que l'on vit dans un pays où nous demande à mon sens de stocker trop souvent des données personnelles non modifiables.
Un exemple personnel :
- dans une clinique aux urgences, après avoir demandé mon nom, prénom, adresse, carte de mutuelle, numéro de téléphone, la personne a l'accueil allait scanner ma carte d'identité. Je lui demande pourquoi, elle me dit je n'en sais rien c'est la procédure.
La clinique avait déjà toutes les informations nécessaires sans stocker un scan de ma carte d'identité...
J'ai pu refuser mais combien de personnes pensent à cette démarche ? Probablement personne.
Donc quand cette clinique sera victime d'un vol de données (ce que je ne souhaite pas bien entendu mais les pirates ciblent ce qui leur rapporte le plus de données), les pirates mettront la main sur une mine d'or de données.

A mon sens pour justifier son identité on devrait pouvoir donner uniquement un numéro (révocable) ne contenant pas toutes les données d'identité (lieu de naissance).
Ce numéro permettrait d'interroger un site gouvernemental permettant de voir s'il s'agit d'une identité valide.
D'après ce que j'ai compris c'est un système comme cela qui existe en Estonie.
En cas de vol de ce numéro on peut le révoquer et en attribuer un autre.

Je vois les médias généralistes qui disent que le vol des numéros de sécurité sociale de 33M de personnes est sans impact alors qu'un article de votre démontre le contraire car ce numéro permet de s'inscrire sur d'autres sites gouvernementaux, je me dit que tous les journalistes traitant de numériques devaient s'abonner à votre site ;-)

Par ailleurs en croisant le numéro de Sécurité Sociale avec des données issues de fuites précédentes, je crains qu'il ne soit possible pour des pirates de pouvoir déduire la date et le lieu de naissance et là les usurpations deviendront massives et terribles.
Actuellement c'est 200,0000 usurpations d'identité par an, si on continue sur cette trajectoire combien dans un futur proche 500,000 par an ? 1 million ?
On parle toujours de finances publiques aussi je me demande combien coutent ces 200.000 usurpations (enquêtes difficiles à mener, coût pour la justice pour instruire) ? Et je ne parle pas du préjudice moral et financier pour les victimes !

Enfin ce vol massif révèle aussi à la fois à mon sens beaucoup d'autres choses.
- la méconnaissance du numérique pas seulement dans le grand public mais aussi d'une partie de nos responsables (je note que l'on entend parler plus de vol de données depuis que le gouvernement a demandé un audit informatique de tous les hôpitaux, mais pourquoi cela doit-il venir du gouvernement, que font les directeurs d'hôpitaux qui sont pourtant là pour gérer la partie administrative ?) ;
- d'un "amateurisme" de grosses sociétés informatiques (au cas présent pourquoi aucun mécanisme de blocage n'a été prévu en ças de consultation massif de comptes car si j'ai bien compris c'est via des comptes piratés de professionnels de santé que le piratage a eu lieu. Un pharmacien pouvait donc - par exemple - consulter en quelques heures / minutes les comptes de millions de patients sans blocage ?).
Je crains (à tort à raison) que ce soit avant tout une question financière et comme toujours les conséquences financières seront beaucoup plus importantes que le coût d'une bonne sécurité informatique.
Quand on lit sur des forums qu'il y a parfois des stagiaires à qui l'on confie des tâches importantes sans supervision ou encore des sociétés de service qui envoient des personnes débutantes en faisant croire qu'elles ont x années d'expérience, alors on ne doit s'étonner de rien...
- un non respect qui me semble abyssal de procédures de sécurité (je pense qu'un audit aurait pointé ce problème). Chaque société qui détient des informations sensibles devrait respecter des normes et justifier d'audits réguliers. En cas de pépin une énorme amende permettrait d'envoyer un signal à tous les acteurs qui feraient mal leur travail.

On verra ce que décidera la CNIL (je serai curieux de savoir combien de personnes vont porter plainte, je pense le faire car je fais partie de la fuite de données, je n'ai plus de tiers payant alors que j'en avais besoin et d'après ce que je vois sur le net cela va durer au moins une semaine).



Next INpact vit ses dernières semaines… sauf miracle 

Le 08/06/2023 à 19h 05

Que dire de plus que les commentaires des personnes qui vous soutiennent.
J’espère que vous pourrez passer le cap. Tenez-nous au courant de la collecte SVP, j’ai moi même participé.
Je suis de tout coeur avec l’équipe.
PS : je n’ai jamais mis de commentaire concernant les dessins de Flock aussi j’en profite pour dire que j’attends toujours avec impatience le samedi, pour les dessins de Flock vous l’aurez compris.


Magazine #4 de Next INpact : la campagne de financement est terminée, nous ajouterons les (auto)portraits

Le 07/07/2022 à 11h 40

J’espère que le prochain pallier sera atteint (idéalement le pallier le plus élevé mais déjà si celui à 60.000 euros était atteint ça serait déjà une bonne chose).