Category
📚
ÉducationTranscription
00:00 (Propos inaudibles)
00:07 Merci de prendre place. Nous allons poursuivre.
00:10 (Propos inaudibles)
00:18 Alors, nous accueillons maintenant un membre bien connu
00:22 des habitués des lundis de la cyber
00:25 et surtout des séminaires de l'APSIS,
00:27 l'Association pour la Sécurité
00:32 des Systèmes d'Information de la Santé,
00:35 dont il est vice-président, M. Cédric Carteau.
00:39 Il est RSSI au CHU de Nantes
00:43 et au groupement hospitalier de Loire-Atlantique.
00:47 Diapo, s'il vous plaît, suivant.
00:50 Voilà.
00:52 Voilà.
00:57 Il professe dans de multiples établissements
01:00 d'enseignement supérieur.
01:01 Croyez-moi, il sait être convaincant
01:04 et même percutant dans ses propos.
01:06 Ses conférences ne laissent jamais indifférents.
01:09 Mais d'ailleurs, aujourd'hui, je sais pas
01:10 quelles conférences a laissé indifférents.
01:13 Je vous avais dit que la matinée pouvait faire peur.
01:15 Avec ce titre "Hôpital dans la tourmente",
01:18 on se prépare à tout.
01:20 Cédric, je vous laisse la parole.
01:22 J'allais dire à vos patients...
01:25 Non, ce sera seulement la parole et non un bistouri.
01:29 -Merci à vous.
01:30 Bonjour à tous.
01:34 Et merci de m'accueillir pour cette présentation.
01:40 Alors, on m'a demandé de rattraper un tout petit peu du temps
01:42 qui a été mangé juste avant moi.
01:45 Donc je vais essayer de vous faire ça en 35 minutes.
01:47 Et on va essayer de faire du 25-30
01:49 et puis de réserver 5 à 10 minutes pour les questions-réponses.
01:54 Alors, je dois prendre quelques petites précautions oratoires
01:57 quand même avant de commencer.
01:58 L'objectif n'est pas de faire un cours généraliste
02:02 sur la cybersécurité.
02:03 L'objectif de l'intervention, c'est de vous présenter
02:05 des particularités du monde de la santé
02:07 que vous connaissez peut-être,
02:09 si vous avez eu maille à partir, si j'ose dire,
02:12 avec le monde de la santé
02:13 ou que vous ne connaissez pas du tout.
02:16 Je vais prendre d'ailleurs un 1er exemple,
02:18 puisque juste avant moi, il y a eu un échange
02:20 entre la salle et l'intervenante précédente.
02:24 C'est un échange qui a consisté à dire
02:25 que la disponibilité était plus forte que l'intégrité.
02:29 J'ai des contre-exemples dans la santé.
02:31 Je peux vous dire qu'il est, pour un médecin,
02:33 un médecin préférera ne pas avoir accès à une donnée
02:37 et devoir refaire une analyse de biologie
02:39 que d'avoir devant lui une donnée
02:40 dont il n'est pas sûr de l'intégrité.
02:42 Donc c'est un contre-exemple parmi d'autres du monde de la santé.
02:45 Il y en a plein, évidemment.
02:46 L'objectif n'est pas de dire dans la présente conférence
02:49 que la santé sait tout faire en cybersécurité.
02:52 Loin, sans faute, vous allez voir qu'on part de loin
02:54 et qu'on n'est pas encore arrivés au bout.
02:56 L'objectif, c'est juste de vous présenter
02:57 quelques petites particularités.
03:00 Alors on va commencer par un tout petit peu d'histoire.
03:02 D'où on part, où on est, où on va et avec quels moyens ?
03:06 En gros, c'est le plan de l'intervention.
03:08 Alors d'où on part ?
03:09 Il faut savoir que la date que j'ai prise en 2003,
03:11 elle n'est pas neutre.
03:13 En 2004, très précisément en 2004,
03:16 il y a eu ce qu'on appelait le 1er plan hôpital numérique
03:20 du ministre de l'époque qui était M. Doustoblasy
03:22 et qui est la 1re fois que l'Etat a mis de l'argent
03:25 dans l'informatisation des systèmes de santé.
03:27 Je parle du coeur de métier, c'est-à-dire le soin.
03:30 Avant cette date-là, 2004, qui était il y a à peine 20 ans,
03:33 avant cette date-là, l'essentiel des systèmes d'information
03:36 de santé en France, des hôpitaux, des grands CHU,
03:38 était constitué, en gros, c'est un petit peu caricatural,
03:41 mais de 3 logiciels,
03:43 celui qui servait à payer les agents,
03:44 celui qui servait à payer les fournisseurs
03:46 et celui qui servait à facturer les clients
03:49 que chez nous, on appelle des patients ou des usagers.
03:52 Et au-delà de ça, il n'y avait quasiment pas d'informatique
03:54 dans les hôpitaux.
03:56 20 ans, c'est loin à l'échelle informatique,
03:59 mais en temps hospitalier, c'est très court.
04:01 L'hôpital résonne en décennie ou pluriel,
04:04 donc 20 ans, c'est quasiment hier pour le monde hospitalier.
04:08 En 2004, il y a eu une rupture.
04:12 On a commencé à attaquer l'informatisation
04:14 du coeur de métier.
04:16 Et ce que personne n'a vu venir, je dis bien personne,
04:19 mais certainement pas moi,
04:21 c'est que dans une entreprise, lorsque vous commencez
04:23 à informatiser le coeur de métier,
04:24 vous changez d'échelle, vous changez de gamme.
04:27 Lorsque vous êtes sur la paie, la facturation et les fournisseurs,
04:31 il n'est de secret pour personne
04:33 qu'une panne totale pendant 24 heures,
04:35 c'est pas grave, c'est juste ennuyeux.
04:39 Il n'est de secret pour personne
04:40 qu'une erreur de paie sur un agent,
04:43 c'est pas grave, c'est juste ennuyeux.
04:46 Et il n'est de secret pour personne
04:48 qu'un patient auquel vous oubliez d'envoyer une facture
04:53 pour son séjour, c'est pas grave, c'est juste ennuyeux.
04:56 Dès lors que vous commencez à informatiser
04:58 le coeur de métier de l'hôpital,
05:00 c'est-à-dire l'unité de soins, les blocs opératoires,
05:02 la réanimation, la biologie, l'imagerie, la pharmacie,
05:05 vous changez d'échelle en matière de besoins de cybersécurité.
05:09 Et quand je dis que vous changez d'échelle,
05:10 c'est à un point que l'on est toujours en train
05:13 de constater aujourd'hui et de découvrir aujourd'hui.
05:18 Alors je vous passe le retour sur 2003,
05:19 parce que là, ma presse est prévue
05:21 pour une conférence qui dure 3 heures, et là, j'ai 35 minutes.
05:23 Donc il va falloir que j'aille un petit peu vite
05:24 sur le début quand même.
05:26 Alors, où on en était en 2019 ?
05:28 Alors j'ai pris la date de 2019
05:29 puisque c'est la date pré-Covid.
05:32 En 2019, il faut savoir que sur les 3 000 hôpitaux
05:34 qu'on compte à la France, il y avait à peu près 50 RSSI,
05:38 c'est-à-dire à peu près les CHU
05:41 et les gros hôpitaux non universitaires.
05:45 Vous aviez certains RSSI que j'appelle des "paper RSSI",
05:50 c'est-à-dire des gens qui en avaient le titre
05:51 mais qui n'en assuraient pas la fonction,
05:52 tout simplement parce qu'ils avaient été nommés
05:55 sur un comptable RSSI parce qu'il fallait bien en avoir un,
05:58 mais que globalement, ils avaient d'autres chats à fouetter.
06:00 J'ai même vu dans un hôpital, le responsable de la sécurité
06:03 incendie être nommé sans qu'il le sache lui-même RSSI.
06:08 Tous les exemples que je vous donne sont réels,
06:09 et c'est du vécu.
06:11 Alors évidemment, je ne peux pas vous dire où,
06:12 parce que je suis quand même tenu à certains noveaux de réserve,
06:14 mais je vous assure que tout ce qui est dans le slide, c'est du vécu.
06:18 En 2019, on avait dans certains endroits
06:21 des situations totalement ubuesques.
06:24 Par exemple, j'ai vu des réseaux sans protection de base sur le Wi-Fi,
06:29 j'ai vu des réseaux avec des firewalls totalement obsolètes
06:32 qui n'avaient jamais été patchés.
06:34 J'ai vu des PRA, des plans de reprise sur activité
06:37 ou des plans de continuité d'activité jamais testés.
06:39 D'ailleurs, il y avait des gens qui vous demandaient
06:40 ce que c'était comme PCA PRA.
06:42 Donc quand vous parlez de disponibilité,
06:44 il faut savoir que la maturité,
06:46 au regard du critère cyber des hôpitaux en 2019,
06:48 elle était proche du degré zéro.
06:51 Et vous aviez une culture globale dans les hôpitaux
06:56 qui allait du sol au plafond,
06:58 c'est-à-dire des équipes techniques jusqu'au management,
07:01 qui consiste à dire qu'il valait mieux investir dans le béton
07:03 plutôt que dans le site d'information.
07:05 Alors ça, c'est le titre d'un article qui a été publié
07:07 il y a quelques années, donc la formule n'est pas de moins.
07:09 Mais vous aviez des décideurs au sens large du terme
07:13 qui préféraient mettre leur nom sur un nouveau bâtiment
07:16 que d'investir dans un site d'information pérenne.
07:18 Ça, c'est réel, c'est du vécu.
07:22 Alors pourquoi est-ce qu'on informatise le soin ?
07:25 On peut très bien se demander pourquoi est-ce qu'on informatise le soin
07:27 puisque, après tout, les hôpitaux ont fonctionné
07:29 sans informatique de soins pendant des décennies
07:30 et que je sache, on a soigné les gens.
07:32 Juste un tout petit chiffre.
07:34 Ce qu'on appelle les infections iatrogènes médicamenteuses,
07:36 c'est-à-dire le fait de donner la mauvaise pilule
07:39 ou la mauvaise posologie aux patients
07:41 que vous avez en face de vous.
07:43 Il y a très peu d'études sur le sujet,
07:46 mais l'ordre de grandeur du nombre de morts
07:50 que cela produit chaque année par an en France,
07:53 c'est à peu près 12 000.
07:55 Donc on est sur à peu près, trois à quatre fois,
07:57 le nombre de morts sur les routes.
08:00 S'il y avait 12 000 morts par an sur les routes en France,
08:02 j'aime autant vous dire que ça ferait
08:04 la Lune Journal de 20 heures quasiment tous les mois,
08:06 pendant des mois et des mois.
08:08 C'est le chiffre qu'il y a,
08:10 qu'il y avait en tout cas lorsque ces études ont été faites
08:12 chaque année en France par, on va dire,
08:15 erreurs de dispensation médicamenteuse.
08:18 Le jour où vous êtes à l'hôpital,
08:20 vérifiez quand même que dans le pilulier,
08:22 le nom qui est sur le pilulier, c'est bien le vôtre.
08:25 Ce sont des erreurs qui sont beaucoup plus fréquentes
08:27 que vous ne l'imaginez.
08:29 Et une des façons de réduire ce type d'erreurs
08:34 c'est l'informatisation tout simplement.
08:35 Il y a d'autres mécanismes,
08:37 mais il y a l'organisationnelle certes,
08:39 mais il y a l'informatisation entre autres.
08:41 Et c'est pour ça qu'on attaque le soin,
08:43 on attaque le cœur du métier de l'hôpital
08:45 dans les plans hôpitaux numériques.
08:47 Ce n'est pas pour se faire plaisir.
08:49 Alors le bilan normatif SSI 2019, il est déplorable,
08:52 je passe dessus.
08:54 Juste un élément,
08:56 sur l'échelle Gartner qui va de 1 à 5,
08:58 c'est une échelle que vous pouvez récupérer sur Internet.
09:01 C'est une échelle qui est logarithmique,
09:03 qui est très linéaire.
09:05 1, vous êtes très mauvais,
09:06 5, vous êtes le meilleur du monde.
09:08 A l'époque, en 2019,
09:09 très peu d'hôpitaux dépassaient le niveau 2.
09:11 Et niveau 2, c'est,
09:12 vous êtes juste un peu moins nul
09:14 que le plus nul d'entre nous.
09:16 Le bilan des incidents en sécurité en 2019,
09:22 déjà pour avoir un bilan,
09:24 il aurait fallu qu'on ait un décompte,
09:26 puisqu'il y avait très peu de signalements d'incidents.
09:28 Alors il se trouve que, à titre personnel,
09:30 j'ai une licence de pilote privé,
09:32 pilote d'avion privé,
09:33 et que je peux comparer la différence
09:35 entre le monde de l'aéro,
09:36 même de l'aéro de loisir,
09:38 au monde système d'information en santé.
09:41 Et le moins qu'on puisse dire,
09:42 c'est qu'il y a au bas mot 50 ans d'écart.
09:44 Dans l'aéro, le signalement des incidents
09:46 est obligatoire et dépénalisé.
09:48 Pendant des décennies,
09:50 le signalement des incidents dans le monde de la santé
09:52 était totalement mis sous le tapis.
09:54 C'est la pire des solutions pour améliorer un système.
09:57 Les incidents de confidentialité
09:59 étaient et restent relativement rares.
10:01 Les incidents de disponibilité
10:03 sont les plus préoccupants dans le monde de la santé.
10:06 La disponibilité, c'est quand votre système est en panne.
10:10 C'est très embêtant.
10:11 L'intégrité, et je vais vous donner juste un exemple,
10:14 si vous avez des échanges de groupes sanguins
10:16 entre patients dans un dossier patient informatisé,
10:18 je n'ai pas besoin de vous faire un dessin,
10:20 ça peut vite devenir catastrophique.
10:22 Si vous avez une petite demi-heure à passer
10:25 en rentrant ce soir chez vous,
10:27 vous allez sur Wikipédia
10:28 et vous tapez l'accident d'Epinal.
10:30 L'accident d'Epinal est fondamentalement
10:32 une erreur d'intégrité
10:34 dans l'usage d'un logiciel de radiothérapie.
10:36 Je vous fais la version courte.
10:38 L'accident d'Epinal, c'est 30 morts.
10:40 Erreur d'intégrité dans la santé = mort du patient.
10:43 En particulier dans certains secteurs très sensibles,
10:45 notamment la pédiatrie,
10:46 puisque la moindre erreur de dosage médicamenteux en pédiatrie,
10:49 ça fait vite des gros dégâts.
10:51 Dans le domaine de l'adulte,
10:53 l'organisme est beaucoup plus résilient
10:56 à une erreur de prescription.
10:57 Pas les enfants.
10:58 Je ne dis pas rien, c'est comme ça.
11:00 Les erreurs d'intégrité étaient préoccupants
11:02 et très rarement tracées.
11:03 Et la traçabilité, j'en parle même pas,
11:05 quasiment pas mise en oeuvre.
11:07 L'état des grands projets nationaux,
11:08 je vous passe là-dessus.
11:10 L'évolution des menaces,
11:11 je reviendrai un petit peu après dessus.
11:13 Ce qui m'intéresse surtout ici,
11:14 c'est le contexte technique
11:15 dans lequel on se trouve aujourd'hui.
11:17 Alors, j'ai écrit quelques ouvrages
11:20 et je me suis promis avant de partir à la retraite,
11:22 j'ai quelques années devant moi encore,
11:24 de faire un fleurilège de tout ce que j'ai pu voir
11:27 comme situation ubuesque en cyber en santé.
11:30 Alors, c'est un projet que j'ai toujours,
11:32 mais il va falloir dire à la Bibliothèque Nationale de France
11:35 de me réserver un étage entier
11:36 ou au minimum un couloir entier,
11:38 parce que la situation est absolument indescriptible.
11:42 Tous les jours,
11:43 ça fait quand même 25 ans que je travaille dans les hôpitaux,
11:45 tous les jours, je rencontre des trucs
11:47 où on se frotte les yeux
11:49 pour savoir si la personne qui est en face de vous
11:51 n'est pas en train de vous raconter des salades
11:53 pour vous faire rigoler.
11:54 Là, tous les exemples que je vous mets,
11:56 c'est du VQ.
11:57 Par exemple, les VPN LAN to LAN
12:00 entre un fournisseur d'imagerie et le CHU
12:02 sans aucun firewall entre les deux,
12:04 c'est du VQ.
12:05 Des Windows 2000 encore présents,
12:07 c'est du VQ.
12:08 Juste avant le COVID,
12:09 il y a un fournisseur, un petit fournisseur
12:11 qui a tenté de vendre à l'hôpital
12:13 un système qui fonctionnait sous Windows NT.
12:15 Évidemment, j'ai bloqué la demande.
12:17 Des équipements sans antivirus ni patch OS
12:20 et pas que dans du biomédical,
12:22 c'est du grand classique.
12:24 Les liens directs de LAN à LAN
12:26 sans firewall entre les deux,
12:28 c'est du grand classique.
12:29 Quand je suis arrivé en 2009 au CHU de Nantes,
12:31 je peux le dire parce que le sujet a été réglé,
12:33 on avait un lien direct de LAN à LAN
12:35 entre le réseau des pompiers, le SDIS44,
12:37 et le CHU.
12:38 Un lien direct de LAN à LAN
12:40 sans firewall entre les deux.
12:42 Si certains ont quand même gardé
12:44 quelques connaissances techniques parmi vous,
12:46 c'est une des pires bêtises à faire
12:48 en matière de cybersécurité.
12:50 Des comptes admins de domaines distribués en goodies,
12:53 c'est le quotidien.
12:55 J'ai vu quelqu'un qui avait ramené
12:58 une box ADSL au bureau,
13:00 qu'il avait branché sur une prise RJ45
13:02 dans son bureau pour avoir un dénoubleur de prise RJ45.
13:05 Alors si ça ne vous parle pas la conséquence de ce truc là,
13:08 une box ADSL chez Orange,
13:10 ça fonctionne extrêmement bien,
13:12 et notamment le DHCP qui est embarqué dedans
13:14 fonctionne extrêmement bien.
13:16 En l'espace d'une heure,
13:17 il nous a pété tout le plan d'adressage de tout le site.
13:19 Et le pire, c'est qu'on a mis des heures
13:21 pour comprendre ce qui se passait.
13:23 Parce que le problème n'est pas là,
13:25 c'est qu'on ne sait pas ce qui se passe.
13:27 Le Wifi patient qui est sur le même SSID
13:29 que le Wifi de production, c'est du classique.
13:32 Le matos prêté par des laboratoires
13:34 avec du Configure Inside, c'est du classique.
13:37 On en rencontre encore.
13:39 Les associations que l'on héberge,
13:41 le CHU de Nantes, comme tous les CHU,
13:43 on héberge à peu près une centaine de structures
13:46 qui ne sont pas juridiquement distinctes du CHU de Nantes,
13:49 mais qui sont physiquement dans nos locaux.
13:51 Et j'ai vu, de mes yeux,
13:53 une de ces associations qui utilisait
13:56 le système d'information du CHU comme le sien.
13:59 C'est comme si je vous disais...
14:01 Là, j'ai vu qu'il y avait des gens qui travaillaient chez Orange.
14:04 C'est comme si je vous disais,
14:06 vous découvrez un beau matin que le boulanger du coin de la rue,
14:09 en fait, il fait sa compta sur la compta d'Orange.
14:12 C'est ça que j'ai découvert.
14:14 Et en plus, ça faisait 10 ans que ça durait.
14:16 Et quand j'ai coupé le robinet, il y a eu une incompréhension totale.
14:19 "Mais pourquoi faites-vous ça, M. Cartod ?"
14:21 "Ça fait 10 ans que ça marche très bien, personne ne nous a jamais rien dit."
14:24 Ça, c'est avant que j'arrive.
14:26 Parmi les joyeusetés que j'ai trouvées cette année,
14:29 un développeur qui a trouvé une excellente idée,
14:32 c'est d'envoyer des prescriptions médicamenteuses
14:34 aux patients par SMS.
14:36 Bon, ça relève du pénal en France, je vous le dis quand même.
14:39 Les éditeurs qui demandent
14:41 pour qu'un utilisateur ait accès à une appli web,
14:44 que l'utilisateur ait accès en contrôle total
14:46 à un partage de fichiers sur le serveur web.
14:48 C'est du vécu, tout ça.
14:50 Alors, l'application qui est derrière ce truc-là,
14:52 rassurez-vous, elle n'est presque pas critique.
14:54 Elle équipe la quasi-totalité
14:56 des registres du cancer de France et de Navarre.
14:59 Donc, ce n'est pas du tout un truc critique.
15:01 Il y a juste la totalité des gens de France et de Navarre
15:03 qui ont un cancer, qui sont identifiés dessus.
15:06 Oui, ça pique, je sais.
15:09 Alors, je ne vais pas continuer parce qu'on n'en sortirait pas.
15:13 Ce qui m'intéresse, c'est l'écosystème.
15:16 Alors, l'écosystème auquel on fait face,
15:18 il est extrêmement hétérogène, le meilleur coutoie le pire.
15:21 Le pire devrait être tout simplement interdit d'exercer.
15:26 Un jour, il faudra qu'on mette en place un passeport cyber dans ce pays
15:28 parce que ça ne peut pas continuer longtemps comme ça.
15:31 Quand vous avez affaire à des structures
15:34 dont la cyber est dans l'ADN, ça ne pose pas de souci.
15:37 Il y a de très nombreux fournisseurs,
15:40 surtout la pile du Model OZI,
15:42 qui sont dans cette catégorie-là, heureusement quand même.
15:46 Mais il y en a un petit nombre, c'est comme partout,
15:49 c'est l'arrêt des 80/20,
15:51 il y a entre 5 et 20% des fournisseurs
15:53 qui sont des dangers publics sur le marché,
15:55 véritablement des dangers publics.
15:57 Il faut qu'il y ait d'une manière ou d'une autre
15:59 une interdiction d'exercer.
16:01 Que je sache, il y a bien un conseil de l'ordre pour les médecins
16:03 qui les virent lorsqu'ils font des bêtises.
16:05 Il n'existe pas de conseil de l'ordre pour les entreprises en cyber.
16:07 C'est bien dommage.
16:09 Il faut savoir que l'hôpital,
16:11 on a des systèmes SCADA qui sont généralisés.
16:13 C'est-à-dire que si vous comptez dans le système d'information
16:16 tout ce qui est gestion technique de bâtiments,
16:17 gestion technique centralisée,
16:19 si vous comptez tout ce qui est systèmes biomédicaux,
16:21 si vous comptez tout ce qui est imagerie,
16:23 tout ce qui est système de biologie,
16:25 vous avez une quantité invraisemblable de matériels
16:28 qui ont une adresse IP, parce qu'ils sont branchés sur un réseau,
16:31 mais sur lequel nous n'avons pas la main.
16:33 Un simple exemple, au CHU de Nantes,
16:35 il y a plus de 1 000 frigos.
16:37 Chacun de ces frigidaires a une sonde
16:39 pour superviser la température
16:41 et cette sonde, elle est centralisée sur un serveur central.
16:45 Donc, on a certains de ces frigos
16:46 qui sont directement branchés sur un réseau IP.
16:48 Et ce n'est pas Star Trek,
16:50 c'est juste parce que ce sont des frigos industriels
16:52 qui conservent des prélèvements sanguins,
16:57 des prélèvements de tissus, des réactifs de laboratoire.
17:00 Il n'y a pas que des frites surgelées dans les frigos au CHU.
17:03 Et alors, là, je vais passer un petit peu de temps sur ce slide.
17:10 Il faut comprendre que, globalement,
17:12 c'est ce que je disais au début,
17:14 l'informatique est principalement issue
17:17 de la culture administrative.
17:19 L'informatique à l'hôpital, elle a d'abord été faite
17:21 pour payer les fournisseurs
17:23 et facturer les clients ou patients ou usagers.
17:26 Le fait que l'on commence à greffer
17:28 sur un système d'information
17:30 qui n'a pas initialement été pensé pour ça,
17:32 le cœur de métier d'un hôpital,
17:34 c'est un changement très important de paradigme,
17:37 c'est le mot qu'on utilise en général,
17:39 qui prend très, très longtemps,
17:41 la greffe prend très, très longtemps à prendre.
17:43 On a littéralement une explosion de l'entropie.
17:46 La simple cartographie des interfaces
17:49 entre les logiciels dans un CHU,
17:51 elle est quasi immaintenable aujourd'hui.
17:53 Je ne connais aucun CHU qui arrive à maintenir
17:55 une cartographie de ces interfaces.
17:57 Et surtout, vous avez une course en avant littérale
17:59 de l'extension du système d'information.
18:01 Je vais vous donner juste deux chiffres.
18:03 En 1996, à l'École nationale de la santé publique,
18:06 qui s'appelait à l'époque l'ENSP, qui s'appelle maintenant l'EHESP,
18:09 ce qu'on enseignait aux jeunes directeurs
18:11 qui allaient sortir de l'école,
18:13 du nombre de PC dans un hôpital,
18:15 c'était le nombre de lits.
18:17 Le CHU de Nantes compte 3 000 lits.
18:19 On aurait dû s'arrêter
18:21 au moment où on avait atteint 3 000 PC.
18:24 Quelques années plus tard,
18:26 on a expliqué à ces mêmes jeunes directeurs
18:28 que l'asymptote, c'était plutôt un PC pour deux agents.
18:31 Le CHU de Nantes compte 12 000 agents.
18:33 Si cette règle avait été la bonne,
18:35 on aurait dû s'arrêter à 6 000 PC.
18:37 Là, maintenant, on m'explique
18:39 que l'asymptote, c'est un PC par agent.
18:41 Nous sommes 12 000 agents.
18:43 Je vous annonce que l'année dernière,
18:46 nous avons crevé le plafond de 12 000 PC.
18:49 Et nous continuons de déployer
18:51 du PC et du terminal chaque année.
18:53 Au CHU de Nantes, nous mettons en oeuvre une VM,
18:56 c'est-à-dire un serveur virtuel,
18:58 chaque jour.
19:00 Ca vous donne un petit peu l'ordre de grandeur
19:02 de l'extension périmétrique
19:04 du système auquel on fait face.
19:06 On a une dette technique évidemment importante,
19:09 puisque le corollaire de tout ça,
19:11 ou plutôt ce qui se rajoute à tout ça,
19:13 c'est que les budgets d'exploitation
19:15 n'ont quasiment pas varié depuis 10 ans.
19:17 Donc quand vous augmentez mécaniquement
19:19 la taille d'un système et que l'argent
19:21 dont vous disposez pour l'entretenir
19:23 n'a pas varié, il n'y a pas besoin
19:25 d'avoir fait de longues études
19:27 pour comprendre que ça ne va pas bien se finir.
19:30 Et c'est là-dessus qu'on est aujourd'hui.
19:32 Et surtout, on a un dysfonctionnement structurel
19:35 dans le financement.
19:37 C'est qu'on est financé par du CAPEX
19:39 et pas par de l'OPEX.
19:41 Dit autrement, les pouvoirs publics
19:43 nous payent une Ferrari,
19:45 mais ne nous donnent pas l'argent
19:47 pour payer l'assurance, pour payer
19:49 les réparations et pour payer le carburant.
19:51 Donc vous imaginez bien que la Ferrari
19:53 en général, quand on vous la paye
19:55 ou quand vous la gagnez au loto,
19:57 on vous la paye souvent avec un an
19:59 d'assurance et de carburant compris,
20:01 mais au bout d'un an, elle rouille sur le parking.
20:03 Et c'est ce qui se passe en grande partie
20:05 pour pas mal de sous-systèmes
20:07 du système d'information en santé.
20:09 Je connais des hôpitaux qui se sont payés
20:11 des déchets, des déchets de...
20:12 on va dire étatiques,
20:14 qui se sont payés de magnifiques
20:16 systèmes de transport de petits objets
20:18 et qui n'ont plus les moyens d'entretenir.
20:20 Donc vous avez les tubes qui sont coincés
20:22 dans le système de pneumatique,
20:24 vous avez les valisettes et les balancelles
20:26 qui sont coincées dans le système
20:28 parce que ça coûte très cher à entretenir.
20:30 Je vous avais pas dit, mais c'est moi
20:32 qui vous flingue votre journée, en fait,
20:34 aujourd'hui.
20:36 Se rajoute à ça, alors un élément,
20:38 si vous n'êtes pas d'accord,
20:40 si vous n'êtes pas dans le secteur
20:42 où vous n'avez pas forcément percuté là-dessus,
20:44 se rajoute à ça la loi de santé 2016
20:46 qui a été votée en décembre 2016
20:48 et qui est applicable à partir de janvier 2017
20:50 qui est la création de ce qu'on appelait
20:52 les groupements hospitaliers de territoire.
20:54 Ça consiste en fait à massifier
20:56 les hôpitaux d'un département
20:58 pour avoir, on va dire,
21:00 un trajet patient optimum,
21:02 ce qui a du sens sur le plan médical
21:04 mais ce qui, évidemment, pose des problèmes
21:06 sur le plan système d'information.
21:08 En particulier, c'est que lorsqu'on revient
21:10 au fondamentaux de la Ciber,
21:12 c'est-à-dire disponibilité, intégrité, confidentialité
21:14 et preuve de traçabilité,
21:16 si je prends le critère de confidentialité,
21:18 il faut savoir qu'entre un service
21:20 de réanimation chirurgicale
21:22 et un établissement psychiatrique,
21:25 vous avez des besoins en confidentialité
21:27 qui sont diamétralement opposés.
21:29 Je dis bien diamétralement opposés.
21:32 Ce qui compte pour un anesthésiste réanimateur,
21:34 c'est d'abord la disponibilité de la donnée
21:37 et son intégrité.
21:39 La confidentialité,
21:41 non des plaies à l'acnyl, on s'en fout.
21:43 Par contre, pour un psychiatre,
21:45 c'est l'inverse.
21:47 Ce qui compte, c'est la confidentialité
21:49 d'une donnée médicale
21:51 et évidemment, son intégrité.
21:53 Sa disponibilité, elle est un peu moins...
21:55 Enfin, la perte de disponibilité
21:57 est un peu moins embêtante
21:59 parce qu'on n'est pas dans de l'urgence médicale.
22:01 On a une tolérance à la perte de disponibilité
22:03 dans la psy qui est beaucoup plus élevée
22:05 que dans un service avec de l'AREA,
22:07 du monitoring patient
22:09 et des gens que vous sortez du bloc opératoire.
22:11 Ce qui m'amène à ça,
22:13 ce qui m'amène à les particularités cyber
22:15 dans le domaine de la santé.
22:17 Alors, j'en ai parlé à l'instant là,
22:20 sur le D, sur la disponibilité,
22:23 on doit faire face dans nos organisations,
22:25 mais l'hôpital est comme ça,
22:27 ce n'est pas une critique, c'est un constat.
22:29 On doit faire face à un grand écart littéral
22:31 sur la disponibilité.
22:33 Entre l'AREA que je viens d'évoquer,
22:35 il y a des systèmes qui tirent plus ou moins sur le SCADA,
22:37 comme notamment la protection des travailleurs isolés, les PTI.
22:40 Les protections de travailleurs isolés,
22:41 ce sont des petits dispositifs
22:43 qu'on met auprès des personnels médicaux soignants
22:45 dans les unités à risque.
22:47 Typiquement, la psychiatrie où il y a des gens violents
22:49 et où vous avez une personne qui est présente la nuit.
22:52 En cas d'agression, la seule solution,
22:54 c'est d'avoir un petit bouton sur lequel on appuie
22:56 et on envoie en vitesse des gens pour calmer le jeu.
23:00 Ça, c'est ce qu'on appelle
23:01 des systèmes de protection de travailleurs isolés.
23:03 Vous imaginez bien que si ça ne tombe pas à nos mauvais moments,
23:05 on est un petit peu embêté quand même.
23:07 Et donc, entre l'AREA et les PTI
23:10 et à l'autre extrême du spectre, la psychiatrie,
23:12 on a affaire à des contraintes de disponibilité
23:15 qui sont diamétralement opposées.
23:17 Je vais revenir après sur l'identité, le "i".
23:21 Sur le "c", pareil,
23:24 j'ai des contraintes qui sont diamétralement opposées
23:27 entre la psychiatrie qui est extrêmement à cheval
23:30 sur le côté confidentialité
23:33 et d'autres secteurs comme l'AREA que je viens d'évoquer
23:36 où ce n'est pas forcément le premier critère.
23:38 Alors, pourquoi est-ce que la psychiatrie est très à cheval
23:40 sur le critère confidentialité ?
23:42 Dans mon dossier patient à moi, au CHU,
23:44 je suis passé deux fois pour me faire faire un examen ORL, par exemple.
23:49 Dans mon dossier médical au CHU de Nantes,
23:51 il y a des données qui me concernent.
23:53 C'est-à-dire qu'il y a mes antécédents médicaux,
23:55 il y a mon poids, ma taille, mes allergies,
23:57 j'en passe à des meilleurs.
23:59 Dans le dossier psychiatrique d'un patient,
24:01 il y a des données médicales qui le concernent,
24:04 mais il y a aussi la parole du patient,
24:06 c'est-à-dire ce qu'il a raconté à son psychiatre.
24:08 Et vous imaginez ce que peut raconter un patient
24:11 dans certains secteurs de psychiatrie.
24:13 Il a été violé par son oncle, sa mère le prostituait,
24:16 j'en passe à des meilleurs.
24:17 Et c'est pour ça que le dossier de psychiatrie
24:19 contient des données qui ne sont pas simplement
24:21 les données du patient,
24:22 mais qui sont aussi des données de l'entourage du patient.
24:24 C'est la raison pour laquelle le critère de confidentialité
24:26 est très élevé en psychiatrie.
24:29 Et le pire, c'est la génétique.
24:31 L'apparition de la génétique
24:34 dans les systèmes d'information en santé
24:36 casse complètement tout ce qu'on sait
24:38 sur la confidentialité.
24:40 Si on me fait un séquençage de mon génome à moi,
24:43 on apprendra des choses qui me concernent,
24:46 par exemple, tel gène défectueux,
24:49 tel risque de développer telle pathologie
24:51 dans les 10 à 15 ans, etc.
24:54 Mais on apprendra aussi des choses
24:56 sur mes ascendants et mes descendants,
24:58 sans qu'ils soient forcément au courant
25:01 de ces ascendants et des descendants,
25:02 que l'information soit stockée
25:04 dans mon dossier médical à moi.
25:06 Donc, on se retrouve dans ce que j'appelle
25:09 la limite du VRGPD.
25:10 On se retrouve à collecter une donnée
25:13 pour un tiers sans même qu'il le sache.
25:15 Et donc, la génétique casse tous les paradigmes du C,
25:18 accessoirement fait totalement exploser
25:20 les budgets de l'IT et de la cyber.
25:22 Quand vous voyez les volumes qu'il faut
25:24 pour stocker du séquençage de génome,
25:26 même par rapport à de l'imagerie médicale,
25:28 on est sur une autre échelle.
25:30 Et, impact de la dimension sociétale,
25:31 je vous laisse imaginer les conséquences
25:33 si on me découvre une maladie dégénérescente
25:36 qui, à mon âge, n'est pas traitable
25:39 et qui va entraîner ma mort dans les 5 ans, par exemple,
25:42 et que le médecin en face de moi me dit
25:44 "mais par contre, votre fille, monsieur,
25:46 elle est forcément porteur de ce gène-là.
25:48 Par contre, à l'âge qu'elle a,
25:49 il y a des traitements palliatifs.
25:50 On fait quoi ?
25:51 On le dit à ma fille qu'elle a ce dysfonctionnement génétique,
25:54 ce qui revient de facto à révéler ce qu'a son père.
25:58 Ça s'appelle une rupture de la confidentialité patient-praticien.
26:02 Alors, ça, sur ce cas-là, la loi légifère et on a une solution,
26:07 mais je peux vous trouver dans certains cas d'analyse génétique
26:12 ou dans la lutte contre les violences conjugales
26:14 ou les violences contre les enfants,
26:15 je peux vous trouver des cas où on est clairement
26:17 à la limite de la loi.
26:18 J'y peux rien, ça, la pratiquer comme ça.
26:21 Et puis, dernier point, le paroxysme de l'identité,
26:27 alors l'identitovigilance, c'est quelque chose sur lequel
26:32 on focalise pas mal dans les hôpitaux,
26:33 puisque c'est quand même bien quand on vous envoie
26:36 au bloc opératoire d'être sûr que c'est vous, déjà.
26:39 Sachez que les erreurs d'identité au bloc opératoire
26:42 sont beaucoup plus fréquentes que vous ne l'imaginez.
26:44 D'être sûr qu'on vous opère pour la bonne pathologie
26:46 et du bon côté.
26:47 Sachez que l'erreur de latéralité est une des erreurs
26:49 les plus courantes en bloc opératoire.
26:52 Vous avez votre œil droit qui est parfaitement sain
26:56 et votre œil gauche qui est malade.
26:57 Et le chirurgien, il se trompe de côté à vous opérer.
27:00 Je vous laisse imaginer la sortie quand ça se passe.
27:03 Il y a quelques mois, dans un hôpital en France,
27:06 il y a deux femmes qui sont rentrées au même moment
27:09 en maternité, une pour accoucher et une pour université.
27:13 Ils ont inversé.
27:16 Ça s'appelle de l'identitovigilance.
27:18 C'est un risque d'identitovigilance qui est majeur.
27:23 Le risque d'identitovigilance, il est accentué par le fait
27:27 que tous les patients n'arrivent pas sur leurs deux jambes
27:30 et en capacité de décliner leur identité.
27:33 Bah oui.
27:35 Et il vient aussi du fait que tous les patients,
27:37 ils n'arrivent pas forcément entiers.
27:39 Sachez que nous repêchons des bouts de corps dans la Loire à Nantes,
27:42 comme dans tous les hôpitaux d'ailleurs,
27:44 et qu'il faut bien faire des analyses de sang,
27:46 donc les rentrer dans un système,
27:47 donc leur attribuer un identifiant patient, etc.
27:51 Sachez que lorsqu'on reçoit un greffon, un coeur ou un rein,
27:53 ce greffon doit être identifié comme un patient
27:55 parce qu'il faut faire un certain nombre d'analyses dessus
27:57 avant de le greffer.
27:59 Sachez aussi, et ça c'est juste pour rigoler,
28:01 qu'à l'hôpital, nous faisons des analyses de sang
28:03 pour des chiens, des chats, des lapins, et j'en passe,
28:05 et des meilleurs,
28:06 et qu'il faut aussi les rentrer dans un système
28:08 qui est quasi industriel, et donc les identifier.
28:10 On a déjà essayé de demander une carte vitale à un cheval,
28:12 on n'y est jamais arrivé.
28:15 Et tout ça fait que, mécaniquement,
28:20 à la cyber, à l'hôpital, c'est compliqué.
28:21 Ça ne sera jamais simple, en fait.
28:25 Alors, la stratégie derrière tout ça,
28:28 il faut aller vers de la procédure.
28:30 Si on en est rendu à ce niveau de sécurité
28:32 dans l'aviation civile,
28:34 c'est parce qu'on a fait ça,
28:35 on a développé la culture de la procédure.
28:37 Il faut déployer la sécurité totale en continu,
28:39 et notamment ce qu'on appelle,
28:41 et ça c'est la grande mode,
28:42 ce qu'on appelle le "zero trust".
28:43 C'est une rupture complète de paradigme.
28:45 J'avais un confrère qui avait l'habitude de dire
28:49 que, alors pardonnez-moi,
28:50 mais je vais être un petit peu caricatural,
28:51 mais que la grosse différence
28:52 entre l'armée et l'hôpital,
28:54 c'est que l'armée, en cas de crise,
28:56 elle se ferme comme une coquille.
28:58 L'hôpital, en cas de crise,
28:59 il fait exactement l'inverse.
29:00 Il s'ouvre complètement.
29:02 Pendant le Covid,
29:03 nous avons ouvert massivement
29:05 tous les accès à nos systèmes d'information
29:07 pour permettre le maximum
29:09 de la prise en charge médicale
29:11 par le maximum de gens
29:13 à distance dans toutes les situations.
29:14 Parce qu'on avait une situation sanitaire
29:18 qui le nécessitait.
29:19 Mon directeur général est venu me voir
29:21 en me disant "M. Cartoud,
29:22 est-ce que vous validez le télétravail massif ?"
29:24 J'ai dit "Évidemment que je valide le télétravail massif.
29:26 Je vais m'asseoir sur mes contraintes cyber
29:28 parce que là, vous avez une urgence
29:30 beaucoup plus urgente que la mienne."
29:31 Par contre, dès que vous avez fait ça
29:33 dans une organisation,
29:34 refermer les vannes, c'est très compliqué
29:36 parce que les gens ont pris leurs aises avec ça.
29:38 Et ça, c'est pas particulier à l'hôpital,
29:40 c'est partout pareil.
29:41 Faire face aux enjeux techniques,
29:43 accessoirement, on se prend
29:45 dans l'espace de 10 ans.
29:47 Encore une fois, c'est long en informatique,
29:49 mais c'est très court dans le monde hospitalier.
29:52 On se prend en l'espace de 10 ans,
29:54 respectivement, la génétique,
29:56 le big data, l'intelligence artificielle
29:59 et deux ou trois joyeusetés dont on n'a pas encore
30:01 complètement vu les impacts.
30:03 Entre autres, la blockchain, par exemple.
30:06 Donc, on absorbe les conséquences
30:09 d'une vague considérable
30:12 d'avancées techniques
30:14 qui sont fondamentalement une bonne chose.
30:16 Mais là, en aussi peu de temps,
30:18 j'en avais jamais vu, clairement.
30:20 Bon, aller vers la certification,
30:22 ça, c'est du grand classique.
30:24 On a un gros problème dans les hôpitaux
30:26 de budget système d'information
30:28 et de budget sécurité des systèmes d'information.
30:31 Le premier est corrélé au deuxième, évidemment.
30:34 Et on a aussi un gros souci de formation.
30:37 Aujourd'hui, à la minute où je vous parle,
30:40 ça commence à venir,
30:42 puisqu'il y a un décret qui est sorti,
30:44 qui date de novembre 2022, si ma mémoire est bonne,
30:47 qui oblige toutes les formations en santé
30:50 sur tout territoire
30:52 à suivre au moins un cursus de quelques jours en cyber.
30:56 À la minute où on se parle, là,
30:58 les promotions de médicaux-soignantes,
31:03 médicales, kinés, dentistes,
31:06 bref, toutes les professions à ordre
31:08 qui vont sortir et qui vont avoir leur diplôme
31:11 en juin ou juillet 2024,
31:13 n'auront eu dans tout leur cursus scolaire
31:16 absolument aucune sensibilisation à la cyber.
31:19 En 2025, ça va régler. On va régler ce sujet-là.
31:22 Mais jusqu'en 2024, on n'aura strictement rien eu.
31:25 Dans la 5e puissance mondiale, ça interroge quand même.
31:29 Et puis tout ça, il faut rester poli et mesuré.
31:32 Je vous laisse imaginer mon quotidien
31:34 et je suis à vous pour les questions-réponses.
31:37 (Applaudissements)
31:39 (...)
31:51 -Tu ne nous as pas du tout parlé des contraintes légales
31:53 parce qu'on voit bien qu'en cyber,
31:55 par exemple, récemment, il y a eu un cas
31:58 où aux Etats-Unis, un responsable de la RSSI
32:01 se retrouve en prison puisqu'il a caché
32:04 ou il a ignoré des choses.
32:06 Dans les hôpitaux, par exemple, je prends le cas de Corbeil
32:08 que je connais assez bien,
32:10 quelles ont été les conséquences pénales sur les dirigeants ?
32:14 Est-ce qu'un maire peut se retrouver en prison
32:16 puisque souvent, les maires sont les PDG,
32:20 c'est le directeur général du CHU
32:22 ou le maire ou je ne sais pas quoi,
32:24 en tout cas une autorité locale,
32:26 est-ce qu'un maire peut aller en prison ?
32:28 Parce qu'il a affecté que 1 % en budget,
32:30 donc on sait que c'est catastrophique.
32:32 -Alors, juste un petit détail sur la gouvernance hospitalière,
32:34 c'est plus le maire.
32:36 Si quelqu'un devait aller en prison,
32:38 c'est le directeur général de l'hôpital.
32:40 -Le maire, c'est le président du conseil général du CHU.
32:42 -Oui, mais il a un rôle de conseil de surveillance.
32:44 Je ne pense pas à ces détails.
32:46 Si quelqu'un devait aller en prison,
32:48 ce serait le directeur général de l'hôpital.
32:50 Alors, effectivement, il y a une batterie de textes
32:52 qui pèse sur les hôpitaux, dans tous les secteurs,
32:55 la santé, l'identité aux vigilances,
32:57 le circuit du médicament, etc.
32:59 Vous ne pouvez pas, enfin, on ne peut pas attaquer,
33:02 enfin, on ne peut pas sensibiliser un directeur général
33:05 sur cet axe-là.
33:07 J'essaie de le faire.
33:09 Le directeur général que j'avais en face de moi m'a rionné
33:11 en me disant "M. Cartod, je risque la prison tous les jours."
33:13 Donc c'est juste une fois de plus, en fait.
33:15 D'accord ?
33:17 Donc non, on ne peut pas argumenter ça
33:19 pour aller tirer des budgets à un DG.
33:22 L'objectif de la Ciber,
33:24 ce n'est pas d'être sur le dessus de la pile.
33:26 L'objectif de la Ciber, selon moi, dans un hôpital,
33:28 c'est de sensibiliser un décideur
33:30 au fait que, parmi tous les paramètres
33:32 qu'il utilise dans sa prise de décision,
33:34 il y en a un de plus, maintenant,
33:36 qui s'appelle la Ciber.
33:38 Et après, le DG prend ses décisions
33:40 en connaissance de cause.
33:42 Ce n'est pas le RSSI qui dirige l'hôpital
33:44 et il ne faut surtout pas que ça le soit.
33:46 Je ne sais pas si c'est la réponse à ta question.
33:48 - Non, là, c'est le RSSI qui a les réponses
33:50 parce qu'il a caché des choses.
33:52 - Oui, mais là, tu fais référence à une boîte
33:54 où le RSSI, manifestement, il a menti.
33:56 Et en plus, il a menti à des actionnaires.
33:58 - Il a menti à des actionnaires.
34:00 - Oui, mais ça, ça ne se fait pas aux Etats-Unis.
34:02 Il ne faut pas mentir à ses actionnaires.
34:04 - Est-ce que si un RSSI cache...
34:06 - Oui, mais il est obligé de signaler...
34:08 Mais après, le RSSI, dans un moment,
34:10 le conseiller d'alerte. Il faut qu'il se tienne
34:12 à son rôle de conseiller d'alerte.
34:14 - Je voulais juste, si c'était possible,
34:16 que vous approfondissiez un tout petit peu
34:18 le Zero Trust.
34:20 - Le Zero Trust, eh bien, je vais vous donner
34:22 un exemple très concret.
34:24 Jusqu'au mois dernier, au CHU de Nantes,
34:26 il y avait 600 comptes VPN d'accès fournisseurs,
34:29 qui avaient un accès à mon système d'information
34:32 24 heures sur 24.
34:34 600.
34:36 OK ?
34:38 Plus de la moitié des attaques dans les hôpitaux
34:40 aujourd'hui passent par la supply chain.
34:42 C'est un secret pour personne.
34:44 On est en train de passer en Zero Trust.
34:46 C'est-à-dire qu'on est en train de dire maintenant
34:48 les comptes, ils seront fermés par défaut
34:50 et non pas ouvert 24 heures sur 24.
34:52 Et quand un fournisseur devra faire une intervention,
34:54 il devra appeler un numéro, s'authentifier
34:56 par un mécanisme qu'on est en train de mettre en oeuvre
34:58 et quelqu'un va manuellement ouvrir le canal,
35:00 le temps de l'intervention,
35:02 et il le fermera après,
35:04 et tous les soirs, de toute manière,
35:06 il va être inscrit pour tout fermer.
35:07 C'est ça le Zero Trust.
35:09 Quand on est passé de 600 comptes ouverts tout le temps
35:12 au CHU de Nantes à 600 comptes ouverts,
35:15 mais tous les soirs à 18 heures, ils sont fermés,
35:17 et tous les matins à 8 heures, ils sont réouverts,
35:19 rien que ça.
35:21 Donc on s'est retrouvé dans une situation
35:23 où j'avais 600 comptes ouverts de 8 heures à 18 heures.
35:25 Comment dirais-je ?
35:27 J'ai dû déjeuner à la cantine d'Aumur pendant quelques jours.
35:30 Ça répond à votre question ?
35:33 Est-ce que dans les hôpitaux privés,
35:35 c'est la même musique que dans le public ?
35:37 C'est pareil.
35:39 Ils ne sont ni meilleurs ni pires.
35:42 Ils font face aux mêmes enjeux en termes de métier.
35:45 Il y a quelques différences,
35:47 mais ils font face aux mêmes enjeux en termes de métier
35:49 et ils n'ont pas forcément plus de moyens que nous.
35:52 Pour ce que j'en sais, je ne les connais pas tous, évidemment.
35:55 D'ailleurs, il y a une partie des attaques cyber
35:57 qui ont touché des gros groupements de cliniques
36:01 qui ont fait d'ailleurs la une de la presse spécialisée.
36:03 Ils ont pris leur lot ni plus ni moins que les hôpitaux publics.
36:07 Une dernière question, peut-être ?
36:15 Plus de questions ?
36:18 Merci à vous.
36:22 Très bien.
36:29 Effectivement, on a quelques soucis à se faire.
36:32 Surtout moi, d'ailleurs,
36:34 parce que ma carcasse commence à me poser des problèmes.
36:38 Quand je passe dans les anneaux des IRM ou des scanners,
36:44 je regarde la marque de l'appareil,
36:48 lui vient, parce que quelqu'un m'a dit
36:50 de toute façon, ils sont tous au même code
36:55 et tous les techniciens peuvent tous avoir sur vous.
36:59 Les pauvres, s'ils voient la mise en traille...
37:02 En tout cas, merci beaucoup de nous avoir donné un coup de vaccin.
37:06 C'était tonique.
37:11 Pour vous remercier, je vais vous offrir un livre
37:15 qui n'a plus de secret pour vous, mais peut-être quand même.
37:19 L'art des codes secrets,
37:22 qui est écrit par un de nos camarades qui est ici, Philippe.
37:25 Voilà.
37:27 Philippe Guillot, La cryptologie, l'art des codes secrets.
37:31 C'est une introduction, mais c'est plein de choses
37:34 que vous pouvez encore apprendre ou diffuser à votre entourage.
37:39 Puis, il me restait un petit livre,
37:41 parce que maintenant qu'il y en a un nouveau de Solange,
37:44 que je vous offre bien volontiers.
37:46 Merci beaucoup.
37:50 Merci beaucoup.
37:51 (...)