Cette nouvelle enveloppe budgétaire a pour but d’accélérer le déploiement du plan de sécurisation des hôpitaux débuté en 2021.
Totalement. C’est là qu’on voit que les réalités sont bien éloignées de ce que le gouvernement peut dire et faire. Cela dit, rien de nouveau.
Pour avoir bossé dans le public, notamment dans des hôpitaux, la situation est catastrophique tant le matériel est obsolète de manière générale. Aussi que la configurations des équipements, même ceux de la sécurité, sont soit mal faits, soit absents, avec simplement des configurations de base/par défaut appliqué.
Je suis même surpris que cela n’arrive pas plus souvent, tant les manquements sont nombreux et généralisés partout.
Et je ne parle pas des contrats de prestations que certains passent, qui sont souvent hors de prix, avec une efficacité très relative …
2 « J'aime »
C’était une « prévision », tu as les vrais chiffres?
D’un autre coté, dans les 2 hopitaux que je connais, il ne vérifie plus grand chose depuis le début de l’été, et du coup 20% du personnel est malade, alors que ça tournait entre 5 et 10% au pire de l’épidémie. Je ne sais pas si c’est lié mais ça pose question…
Comme « presta », j’aimerai bien comparer les salaires et les horaires avec un « non presta » pour voir! 
Je n’ai jamais compris cette guerre entre les 2 façons de travailler, et ça vaut pour les intérimaires aussi. Je suis payé à peu près pareil (j’ai surtout plus de contraintes avec mes 50000km par an non pris en charge en temps, dont 30000km non pris en charge en frais, et quand c’est le cas à 0.2€ du km, ce n’est pas Bizance!), c’est juste un choix, je me casse si le client abuse: si c’est vraiment trop dur (quelques fois), les gens sont infernaux (souvent) ou juste si ça ne me plait pas (quelques fois), un luxe dont je ne pourrai me passer!
Ben tu en as toi de la chance…parce que généralement c’est plutôt le client qui veut le beurre, l’argent du beurre, et le sourire de la crémière…
Et bien sûr a des prix défiants toute concurrence.
Après si le public ne suis pas malgré l’argent qu’on y investi peut être qu’il faut se poser les bonnes questions…Et très souvent les problèmes de sécurité commencent déjà par une attitude a avoir. Déjà qu’en connaissant on arrive à se faire avoir alors si on rajoute un peu de social engineering dessus et des gens qui cliquent partout sans savoir… c’est le début des ennuis 
Bonjour, travaillant depuis plus de 20 ans dans un centre hospitalier, je peux vous dire que chez nous, nous avons des gens très compétents en matière d’informatique et nous avons cette chance. Malheureusement, les moyens nous manquent, les budgets diminuent d’année en année et nous manquons de personnel. Un chiffre pour vous donner une idée, nous ne sommes que trois pour administrer et maintenir environ 1200 serveurs (je ne parle que de l’exploitation courante) ce qui est bien évidement très insuffisant. Nous avons une équipe sécurité efficace mais sans moyen, même un bon pilote, dans une 2 chevaux, il ne fera pas de miracle. Je suis d’accord sur ce qui est dit des prestations, elles coûtent cher et sont pourtant largement utilisées au détriment de vraies embauches, j’avoue ne pas comprendre.
1 « J'aime »
1200 serveurs… est ce que ce ne serait pas comme à la SNCF où, encore récemment, il fallait autant de serveurs que d’applications car ils n’avaient jamais entendu parler de virtualisation ?
Le jour où il y aura de l’OpenSource à la place de Windows et de SQL Server, l’argent économisé sur les licences permettra de payer correctement des prestataires et de libérer du budget pour la sécurité…
20 000 000€, les hackers en rient et se frottent davantage les mains.
Qu’ils auditent les hôpitaux en 1er lieu afin d’identifier les lacunes qui permettent de mettre en rade tout un établissement et les postes. Toutes les fois où j’ai dû me rendre dans un hôpital, j’ai été sidéré de constater que le personnel peut laisser un poste et sa session ouverte à la merci de tous, branche ta clé USB vérolée et roule ma poule, le poste est déverrouillé et avec un peu de chance c’est un compte admin…
Il faut impérativement mettre l’accent sur la sensibilisation du personnel, encore et toujours, c’est là la porte d’entrée des principaux piratages.
Quand je parle de 1200 serveurs, il s’agit de serveurs virtualisés dont la moitié tournent sous linux. Quant aux serveurs windows, nous n’avons guère le choix puisque tributaires des éditeurs qui ne font pas autre choses. Nous migrons le maximum de bases sous OpenSource et virtualisons toutes les applications que nous pouvons virtualiser, mais une fois encore tributaires des éditeurs. D’autant qu’il est difficile de s’affranchir totalement du rouleau compresseur Microsoft ou Oracle. Quant à payer correctement les prestataires, ça me fait sourire, un prestataire chez nous est payé comme un agent en interne à la différence qu’il coûte 3 fois le prix du même agent (faut bien que la société de services gagne de l’argent) mais on nous dit que ce n’est pas la même ligne budgétaire que le salaire d’un agent en interne. Quoi qu’il en soit, le manque de personnel et de moyens n’arrange pas les choses. L’OpenSource est très bien, je le privilégie au maximum dans mon travail, mais ce n’est malheureusement pas toujours possible. Un exemple flagrant, nous avons tester un logiciel OpenSource pour un domaine assez sensible, l’outil est totalement gratuit mais obligation de passer par une prestation et avoir une maintenance en cas de problème, du coup, le gratuit passe à 270 000 €, cherchez l’erreur.
1 « J'aime »
« Il faut impérativement mettre l’accent sur la sensibilisation du personnel, encore et toujours, c’est là la porte d’entrée des principaux piratages », je suis totalement d’accord. Nos praticiens s’occupent de la santé des malades et n’ont que faire des problématiques liées à l’informatique. Du coup, clé usb vérolée, sessions ouvertes (pas admin heureusement), tentatives d’installation de logiciels pourris et j’en passe. La sensibilisation est la première choses à faire, vous avez raison.
1 « J'aime »
Évidemment que c’est à la portée de tous et non verrouillé… Quand on gère des patients dans un lieu accessible à tous (l’hôpital), on n’a pas le temps de s’occuper des ordis, on n’a déjà pas le temps de s’occuper correctement des patients…
Il ne s’agit pas de « s’occuper des ordis », mais de simplement verrouiller/fermer la session quand tu n’utilises pas un poste, sensible de surcroît. On ne demande pas au personnel hospitalier de s’occuper de la maintenance du parc, mais d’adopter les bons gestes quant à une bonne hygiène informatique.
On accède aux ordinateurs toutes les 5 minutes, et entre les lenteurs, les plantages, les portables qui ne tiennent pas la batterie et qu’on doit brancher dans chaque chambre, les authentifications/réhauthentifications à la pelle dans les nombreuses applications, je pense que tu ne te rends pas compte du travail des soignants pour dire ca…
Tout ce temps perdu chaque jour alors que nous n’en avons pas.
Je m’en rends parfaitement compte, je suis informaticien. Nos utilisateurs, au nombre d’environ 7000 sont confrontés à la même problématique, mais pas dans les mêmes tensions dont fait l’objet le milieu hospitalier.
C’est de toute façon le « prix à payer » pour un minimum de sécurité.
Tout dépend pour quoi. Quand il s’agit de faire des tâches très spécialisées et à court terme, il est très avantageux de prendre des prestataires (ici par exemple la mise en place de formations du personnel et d’un recovery plan), on a des compétences pointues et on est souvent beaucoup plus efficace (pas de formation à faire, spécialistes avec pas mal d’expérience, rapidité d’éxécution), le cout effectif global peut-être divisé par 2 à 4 en général. Il faut bien sûr que les contrats soient bétons des deux cotés, par expérience, un contrat déséquilibré ou flou se finit TOUJOURS mal et coute un max aux 2 parties.
Ca se discute par contre sur des tâches récurrentes ou de fond (principalement en assistance technique): la prestation coute souvent moins cher sur le moment, est plus flexible, est facile et rapide à mettre en place, mais la perte de compétence interne a un coût, et ça, d’expérience, ce n’est jamais calculé et intégré par les clients.
Et pour moi si, c’est quasiment une guerre, on a très souvent des blocages, des rétentions d’information ou juste des animosités qui nous empêche de bien faire notre travail. Les commentaires comme le tien « vous vous goinfrez » et nos « salaires mirobolants », que même une fiche de paie et le cout journaliers ne parviennent pas à faire taire., ressortent en permanence! 
On n’a qu’à tout mettre dans le cloud.
Une bonne connexion internet et des postes de consultation et c’est déjà mieux.
Amazon, Google, vous êtes là ?
C’est effectivement un des premiers moteurs de la ressource extérieure!
C’est aussi pour ça que j’ai parlé de TJ! 
En fait, tu veux un schéma comme les SG2 / Société Général ou Steria / BNP des origines ou chez Thales (le nom de la société de service m’échappe, ce n’est pas beau de vieillir 
)! C’est très probablement le plus efficace et le plus pérenne: un pool de personnes qualifiée et formées pour intervenir sur les besoins ponctuels, mais récurrents, dans des structures qu’ils connaissent bien! Mais au final, ça a un cout d’entrée énorme, je pense que ce n’est pas possible pour un gouvernement de lancer un truc comme ça.
Non non. Je confirme, on peut faire la même chose avec un cout total 2 à 4 fois moins cher. J’ai fait plusieurs études la dessus pour différents clients dans le ferroviaire, l’automobile, la pharmacie et l’aéronautique: des études pour comprendre pourquoi une RAO s’était plantée, soit des réponses à RAO en concurrence avec des services internes et on avait ce genre de ratio. Attention, c’est justement un cout global en intégrant les risques, le recrutement CDD, les salaires et les marges, pas juste TJ vs salaires internes.
Edit: mais très probablement certains prestataires ont abusé et abuseront de leur position de force dans certains cas, comme toujours (genre juste après une attaque en profitant de la panique, pour reprendre le cas qui nous intéresse), même si je ne connais pas de cas.
Tu raisonnes en global, pas comme un service achat ou une administration: seul le cout instantané est pris en compte (c’est d’ailleurs aussi pour ça que beaucoup de forfaits se plantent ou sont beaucoup plus couteux que prévus: le moins cher est pris avec un cahier des charges flou ou flottant pour pouvoir essayer de gratter un peu, ce qui au final plante le projet).
On ne travaille probablement pas dans les mêmes domaines ou sur les mêmes types de projet (je suis plus sur la qualité et l’industrie), on a pas les mêmes expériences.
Un exemple: un nouveau type de système simple doit être implémenté rapidement dans un avion (changement de législation imprévu par exemple), si Airbus doit former une dizaine d’ingé sur ce type de système, c’est 10x3j de formation qui mordent sur les délais, des risques (disons 20% de chances de dépassement de 25% assez courant) avec peut-être des immobilisations d’avions, … ! Bref Akkodis ou Altran peuvent probablement fournir 5 ingés spécialistes pour faire le même boulot, avec des risques mieux maitrisés (10% de chance de dépassement de 10%). Le cout horaire étant équivalent entre interne et presta, l’économie est importante. Le seul problème, c’est ce que je te disais, c’est la perte de maitrise, si une modifs dans le nouveau système doit être faite, le ratio sera encore plus défavorable pour Airbus, mais en pure perte. C’est un cas que j’ai suivi il y a quelques années.
J’ai vu la même chose chez Alstom avec une analyse post réponse pour un scada ferroviaire avec un projet aux délais extrêmement courts pour eux donc la RAO a été perdue. L’analyse post réponse a montré que le gagnant avaient déjà les compétences et un soft conçu pour être adapté à plusieurs clients et donc la réponse était 5x moins chère, ratio jamais vu par Alstom dans son coeur de métier mais qui correspondait à un investissement de l’autre prestataire en amont. Et je précise que le projet c’est bien passé et dans les temps, il n’ avait pas de dumping sauvage comme on le voit quelques fois.