Journal Améli et la Souveraineté Numérique

Posté par  . Licence CC By‑SA.
30
29
juil.
2021

Donc quand je me connecte sur mon compte ameli.fr, toutes mes données transiteraient via cloudflare et son proxy inversé… donc par une société américaine de droit privé ne proposant aucune garantie technique quant à la sécurité de mes données, bien au contraire puisque son rôle de proxy inversé impliquerait que les mesures de chiffrement assurées par une connexion HTTPS se voient ainsi vidées de leur intérêt. Ou bien est ce que le site n'utilise que leur fonctionnalité de CDN ce qui serait (peut être) moins pire ?

S'il vous plaît, faites-moi mentir, démontrez-moi que je n'ai rien compris et expliquez-moi comment identifier un site utilisant réellement ce type de proxy inverse !

  • # effectivement

    Posté par  . Évalué à 8 (+8/-1).

    Tu as éveillé ma curiosité.

    Du coups je suis allé sur le site, aucune mention de cloudflare dans les cgu et politique de données personnelles.

    en testant l'ip que firefox me donne sur différents site de geoloc, on tape bien sur un serveur US, les services me donnent pas tous la même réponse (kansas, californie …).
    Mais ouais c'est un soucis.

    Je n'ai vérifier que la page d'accueil, et parle ici des ressources htlm js et assets, il faudrait se connecter pour voir si il y a pas un js qui tape sur un serveur FR pour aller chercher les données personnelles de santé.

    perso je peux pas, j'ai jamais reçu mon code pour créer le compte, malgré quelques relance, et je vis très bien sans donc j'ai lâché l'affaire '

    Si tu veux vérifier regarde la partie réseau dans les outils de développements de ton navigateur préféré si il en dispose.

    • [^] # Re: effectivement

      Posté par  (site Web personnel) . Évalué à 10 (+13/-0).

      On peut se connecter à Ameli avec son compte des impôts (entre autres) en passant par FranceConnect, via le bouton correspondant présent sur la page de connexion…

      Toolkit Atlas : un moyen simple et rapide pour ajouter une interface graphique à vos applications… (voir 'site Web personnel").

    • [^] # Re: effectivement

      Posté par  . Évalué à 10 (+25/-0).

      C'est vrai pour www.ameli.fr (qui est un CNAME vers www.ameli.fr.cdn.cloudflare.net) mais pas pour l'espace connecté : assure.ameli.fr est un enregistrement A vers une adresse IP en France.

      • [^] # Re: effectivement

        Posté par  . Évalué à 3 (+1/-0).

        merci !

        Ce commentaire passe-t-il les trois tamis de Socrate ? -- https://linuxfr.org/suivi/autoriser-la-correction-limitee-de-commentaires-apres-les-5min

  • # Certificat https

    Posté par  . Évalué à 4 (+4/-0). Dernière modification le 29/07/21 à 14:57.

    Sur https://www.ameli.fr le certificat n'est pas émis par Cloudflare, donc pas sûr que Cloudflare puisse lire les données qui transitent (à la différence de https://www.bilderbrief.de par exemple, dont le certificat est émis par Cloudflare).

    Mais peut-être qu'ils envoient la clé de ce certificat à Cloudflare pour qu'il fasse la terminaison https (et donc qu'ils ont bel et bien accès au contenu des échanges https).

    Edit: pour voir le certificat dans Firefox, il faut cliquer sur le cadenas à gauche de l'URL.

    • [^] # Re: Certificat https

      Posté par  . Évalué à 10 (+9/-0).

      Il serait très étonnant que Cloudflare ne fasse pas la terminaison TLS.

      S'ils se contentent de relayer chaque flux TCP jusqu'à chez Améli pour qu'il fasse la terminaison TLS, alors il n'y a plus aucun intérêt à utiliser Cloudflare.

      Ils distribuent très certainement tous les documents statiques, images, pages, js… Ils n'ont certainement pas accès aux informations personnelles, qui sont dynamiques, et qui n'ont donc pas d'intérêt à être cachés par Cloudflare.

      Cela ne signifie pas qu'une personne malveillante chez Cloudflare ne puisse pas injecter du code malveillant pour exfiltrer des données personnelles.

      • [^] # Re: Certificat https

        Posté par  . Évalué à 10 (+10/-0).

        Correction: je viens d'aller faire un tour sur assure.ameli.fr qui pointe vers une IP en France, et c'est globalement très propre, tous les documents, toutes les ressources sauf une sont hébergés en local.

        Au milieu des quelques 400 requêtes, je trouve une unique requête qui sort d'assure.ameli.fr, sur une police de 17Ko sur fonts.gstatic.com. C'est un peu dommage.

      • [^] # Re: Certificat https

        Posté par  . Évalué à 7 (+7/-0).

        C'est effectivement peu probable, mais pas impossible : https://www.cloudflare.com/magic-transit/ agit au niveau des paquets

        Par exemple rejeter les paquets UDP si le site n'accepte que du TCP, ou faire du rate-limiting (pour que le site fonctionne quand même pour certains utilisateurs lorsque la charge globale est trop importante), ou du blocklist selon les IPs.

        Mais je suis d'accord avec toi, que c'est peu probable.

      • [^] # Re: Certificat https

        Posté par  . Évalué à 7 (+6/-0).

        En effet, pour pouvoir profiter du cache du CDN en même temps que le HTTPS, il faut que les serveurs du CDN possèdent un certificat (qui peut etre fournis par le CDN, ou par Letsencrypt, ou par n'importe quelle autorité de certification). Le CDN va alors dechiffrer le trafic entrant, appliquer ces règles de cache si nécessaire, et contacter si besoin les serveurs "d'origine", qui devraient être eux aussi en https (mais ce n'est pas obligatoire). Le traffic sortant est alors rechiffrer pour être transmis à l'internaute.

        Le CDN voit passer "en clair" les données, il faut donc avoir un minimum de confiance en lui et supposer qu'il ne fera pas n'importe quoi avec ces données.

  • # Plus d'infos

    Posté par  . Évalué à 10 (+31/-1).

    Hello,

    Je me permet de rajouter certains détails pas facilement accessibles à tout le monde :

    La mise en place de Cloudflare sur ameli.fr à été mis en place progressivement en début d'année afin d'aider à absorber les (trop) importants pics de trafic, lorsque l'inquiétude était encore importante et les annonces gouvernementales allaient bon train, mais également à restreindre les dégâts suite aux attaques DDoS (occasionnels mais bien réels), tout ça pour avoir la meilleure haute dispo possible.

    Pour les interrogations présentes dans les commentaires, (www.)ameli.fr (hébergé par une ESN française) fournit uniquement des ressources statiques et des "articles" liés à l'assurance maladie où la santé. Toute la partie assure.ameli.fr est quant-à-elle bien à part, n'est pas derrière Cloudflare, et est hébergée séparément.

    Pour la partie Certificat, il ne s'agit pas d'un certificat Cloudflare, mais ce dernier dispose bien du certificat ainsi que de sa clef privée pour effectuer la terminaison TLS.

    Tout ceci étant dit, les personnes derrière ameli.fr ont bien conscience des problématiques potentielles que pose Cloudflare vis-à-vis des réglementations, et trouver une alternative européenne est probablement encore dans les cartons.

    • [^] # Re: Plus d'infos

      Posté par  . Évalué à 5 (+7/-1).

      Pour faire du load balancing et profiter d'une protection DDOS, ovh, entreprise française sait très bien faire…

      • [^] # Re: Plus d'infos

        Posté par  (site Web personnel) . Évalué à 3 (+1/-0).

        Ouf ! Le commentaire précédent me paraissait inquiétant. En le lisant on eut pu se demander si l'indépendance numérique de l'Europe ou de la France, de peau de chagrin, ne s'était pas évanouie, pour ne plus guère être qu'une vague chimère. Déjà que le développement des puces et autres micro-codes semble totalement délocalisé, que l'essentiel des systèmes d'exploitation, et des logiciels les plus grand public semble développer sur d'autres continents, constater que nombres de services publics semblent embarqués dans un vaste mouvement d'exode vers des services étrangers jusque pour leurs services de communication (web, courriel,…) aurait de quoi inquiéter. Autant quand il s'agit d'industrie lourde, ça semble pouvoir se comprendre partiellement sur la base d'argumentaires écologiques (nous aurions des normes très strictes que n'auraient pas d'autres contrées), autant pour du web, du développement ou d'autres activités dans ce genre pouvait-on encore récemment croire que la formation, les compétences, et l'organisation pouvaient encore se trouver dans nos régions.
        Du coup, autre question : Vous citez OVH ; cette position de proxy est-elle si délicate à couvrir qu'il n'y ait désormais qu'un seul acteur national en mesure de l'assumée ?

        « IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace

        • [^] # Re: Plus d'infos

          Posté par  . Évalué à 10 (+9/-1).

          On est en retard en Europe. CÇa n'est pas irrécupérable, mais ça demande une volonté politique. Il faut accepter de payer plus chère pour moins bien des acteurs locaux pour que plus tard, ils soient au niveau.

          • [^] # Re: Plus d'infos

            Posté par  . Évalué à 8 (+8/-2).

            On est en retard en Europe

            Il va falloir définir "retard" lentement.
            Niveau gros site qui tachent, à la Google, Facebook et autre - oui on est en retard.

            Pour toute la partie hébergement-datacenter/bande passante/résilience des réseaux on est carrément loin devant les US à part deux trois endroits en Californie qui hébergent les mastodontes sus-cités.

            OVH et Scaleway sont dans le top monde des hébergeurs.

            Les plateformes bancaires sont nettement en avance sur leurs homologues transatlantiques excepté pour les connexions très courte distance.

            Il y a des fibres de très haute qualité à peu près partout et toutes les infrastructures nécessaires pour déployer celles qui manquent.

            Ça n'est pas irrécupérable, mais ça demande une volonté politique

            Pour ce que je connais, à savoir la France, la volonté politique est contre Internet assez fermement. Pas forcément volontairement, pas forcément exprès mais :

            • On va quand même pas filer des gros contrats qui ne sont pas des "amis" - donc exit Xavier Niel (l'homme du peep-show), Octave Klaba (la tête de lard) ou autres Gandi (dont on était persuadé de l'avoir tué à grand coups de Marie-Françoise Marais). Et on va pas parler d'Ikoula.

            • L'opposition va pas laisser quoi que ce soit que le gouvernement pourrait revendiquer comme une victoire "digitale" - Mais on peut faire un cloud souverain européano-américain sans soucis. Parce que plus personne n'y croit.

            • On va pas donner à l'ARCEP les moyens de faire son boulot (non mais la fibre 25ko/s passé en aérien et soudée à la superglue, c'est pas si grave. On va pas ouvrir la section a la concurrence pour si peu)

            • Et puis internet c'est le mal, il faut des IA qui détectent les pédo-terroristes révolutionnaires. dans tous les appareils connectés

            Bref l'absence totale de volonté politique serait un gros plus en France. Mais il y a une volonté politique - elle est juste très antagoniste.

            • [^] # Re: Plus d'infos

              Posté par  . Évalué à 5 (+4/-1).

              Tu confond cloud et hébergement et infrastructure. Une offre de cloud ce n'est pas une offre d'hébergement. Les gens ne vont pas chez AWS pour l'offre EC2 qui n'est pas géniale mais parce qu'ils ont besoin de différentes bases de données sans avoir envi d'avoir des compétences en interne pour installer/maintenir en condition opérationnel/monitorer/mettre à jour diverses bases de données, avoir accès à des ressources à la demande comme des GPU pour quelques jours ou quelques jours par mois, des outils de traitements automatique de langages naturels efficace, de faire du push mobile sans s'embêter avec google(qui en est à sa troisième API actuellement)/apple/huawei/…, etc etc. Ça coute peut être chère, mais moins qu'avoir les compétences en interne (il faut une bonne politique de recrutement, de formation, il faut plus de gens - parce qu'on gars qui sait tout faire ne pourra pas tout faire en même temps -, gérer la capitalisation des connaissances sur tout ses aspects,…) et c'est moins casse gueule. Il peut être intéressant de voir tout ce qui a était publié autour de netflix qui a démarré chez AWS pour se lancer rapidement, puis a tout mis en interne pour réduire les coûts avant de repartir chez Amazon quand ils ont vraiment grossi et qu'ils ont décidé de ce qui relevé de leur métier et ce qui n'en relevait pas.

              Tant qu'on ne comprends pas la différence entre Azure et Gandi, on ne pourra pas tenter de concurrencer les gens d'aller voir le premier plutôt que le second.

              • [^] # Re: Plus d'infos

                Posté par  . Évalué à 6 (+5/-1).

                Tu confond cloud et hébergement et infrastructure. Une offre de cloud ce n'est pas une offre d'hébergement.

                Je ne pense pas, On a de très belles offres cloud en France chez les opérateurs que j'ai cité. On a des offres GPU à l'heure, des infrastructures pour l'IA, de la gestion de contenu, de la haute dispo etc.

                Ce que l'on a pas c'est des gros contrats qui permettraient de faire tous les investissements qui seraient nécessaire pour que la quantité d'offres disponibles et la qualité des formations/interfaces utilisateurs soient augmenté.

                Tant qu'on ne comprends pas la différence entre Azure et Gandi

                Je comprend très bien la différence entre Azure et Gandi. Mais ce qui à mon sens n'est pas compris est le "pourquoi" de cet différence.

                • Ça n'est pas un problème de compétences. On a très largement les compétences pour faire de l'aussi bon boulot, si ce n'est du meilleur en France et en Europe.

                • Ça n'est pas un problème d'infrastructure globale. La qualité globale de nos Infras est largement devant ce qu'on peut trouver aux US ou aux Canada. En fait à part 4 points chauds en Californie on est assez largement en avance sur tout ce qui se fait aux US.

                • Ça n'est pas un problème d'hébergement. On a largement de quoi héberger les systèmes cloud les plus complexes et les plus solides.

                C'est pour ça que je dit qu'il va falloir définir "retard" avec beaucoup d'attention. On est en retard sur un seul point : les investissements. Effectivement il n'y a pas moyen de créer un système aussi intégré et aussi testé que GCP ou Amazon sans avoir des millions de clients.

                Aujourd'hui les fournisseurs existant, même les plus gros (Scaleway et OVH) ne vendent que de l'offre discount et ne font que copier les API des Clouds américains en mode suiveur. Non pas parce qu'ils ne sont pas capable de faire mieux, mais parce que le marché, et principalement les marchés publiques leur sont fermés. Ce qui les met en ultra désavantage par rapport à leurs concurrents d'outre Atlantique.

                La volonté politique existante fait que le cloud, qui a tout pour décoller en Europe, ne décolle pas.

                Un exemple tout simple : le dossier patient. Pour l'assurance maladie il était impensable que les données des malades et les dossiers médicaux partent dans le cloud américain. Il y a eu de nombreux acteurs qui ont énormément investis pour avoir toute la chaine de certification nécessaire pour pouvoir être reconnu comme capable d'héberger de telles données. Ce qui impliquait entre d'être ISO 27000 et de faire certifier tous ses fournisseurs ISO 27000.

                Au final tous les contrats juteux sont partis dans des clouds extra européens quand même. Ou dans des projets assez acrobatiques par les gros opérateurs en place (Orange et SFR) dont je suis très curieux de savoir ce qu'il restera dans 5 ou 10 ans.

                Beaucoup de gens ont retenus la leçon : ne pas investir dans les grandes opérations cloud des états.

                TLDR : Le seul retard réel existant en Europe est un retard d'investissement, et la volonté politique actuelle est une ennemie, pas une potentielle alliée.

                • [^] # Re: Plus d'infos

                  Posté par  . Évalué à 3 (+2/-1).

                  Je ne pense pas[…]

                  Ton commentaire précédent ne parlait que d'infrastructure.

                  TLDR : Le seul retard réel existant en Europe est un retard d'investissement, et la volonté politique actuelle est une ennemie, pas une potentielle alliée.

                  Le fait d'avoir peu d'utilisateurs, ralenti la maturation des offres, réduit leur possibilité d'investissement, etc, etc. C'est même pas moi qui le dit c'est Octave Klaba1 (patron d'OVH) et Quentin Adam2 (patron de clevercloud). Ils n'affirment pas être au niveau des concurrents américains, ils disent qu'ils sont sur la voie qu'ils y travaillent et la seule façon de les aider c'est de les utiliser (pour ça, si c'est juste pour acheter des machines ils savent très bien en vendre).

                  Mais on est tout à fait d'accord pour le reste.


                  1. dans les retours qu'il a fait l'an dernier après discussions autour du Health Data Hub, il expliquait qu'au moment des choix ils n'avaient même pas d'offres pour alors que certains concurrents étaient établi sur le sujet 

                  2. cf: presque tous les épisodes de Message à caractère informatique où il intervient. Il demande des investissements (pas dans le sens donnez-nous de l'argent, mais commencez à acheter des trucs chez nous et ça nous permettra de grandir). 

                  • [^] # Re: Plus d'infos

                    Posté par  . Évalué à 6 (+4/-0).

                    Ton commentaire précédent ne parlait que d'infrastructure.

                    Ben oui, le but du jeu était de dire que l'on avait tout ce qu'il fallait pour avoir un cloud ultra performant en France (et probablement en Europe en général) - mais que la volonté politique était bloquante, et non potentiellement facilitante.

                    J'ai bien conscience que le Cloud aujourd'hui en Europe n'est pas du tout à la hauteur. Mais pas parce qu'on ne sait pas faire, mais parce que la classe politique est contre les acteurs qui peuvent faire un cloud correct en France.

                    Orange et SFR ont prouvés qu'ils n'ont pas la capacité à fournir même avec des moyens conséquents.

                    Donc voilà mon commentaire précédent réagissait aux mots "retard" et "volonté politique".

                    la seule façon de les aider c'est de les utiliser

                    C'est bien pour ça que si OVH et Scaleway gagnaient les gros contrats et choppaient les millions de clients et l'argent qui va avec on aurait un cloud de qualité très rapidement. Pour ma part je peux pas faire plus que ce je fais pour eux en ce moment.

              • [^] # Re: Plus d'infos

                Posté par  . Évalué à 2 (+1/-1).

                Tu confond cloud et hébergement

                Rant à moitié HS sur le vocabulaire:

                D'un autre côté avant qu'on parle de nuage toutes les 3 phrases, il y a avait déjà autre chose que Apache dans les datacenters… Et d'ailleurs il y a avait déjà du plus ou moins managé à tous les degrés imaginable.

                À un moment il va falloir penser à définir ce putain de mot proprement (c'est à dire autrement que part: "ce que AWS/Azure propose en ce moment") et profondément en quoi il se distingue.

                Parce que sinon je pourrais moi aussi parler ad nauseam de c'est quoi ce putain de mélange (confusion!?) entre de l'élasticité, protocoles proprio pour s'abstraire et parler à d'autres protocoles proprio, matériel spécifique, etc. Et trouver des exemples de gens qui faisait tout ça avant qu'on se mette à employer ce mot partout.

                À la limite ça aurait plus de valeur d'appeler ça genre RHSHIaaSivdaatw (random heterogeneous software and hardware "infrastructure" as a service in various datacenters all around the world) en précisant les services en question, ou alors plus simplement dire directement: AWS, Azure etc.

                Sans parler de ceux pour qui le saint mot "Cloud" n'est pas du tout utilisé pour désigner ça mais simplement genre stocker ses fichier en ligne, ou encore utiliser une application avec connexion au net obligatoire (en retour le service étant lui même peut-être "hébergé" dans un AWS & co; ou pas d'ailleurs).

                Bref faute de def ça risque de rester de l'informatique nébuleuse tout ça.

                Ceci étant dit je conteste pas que Azure propose sans doute autre/plus de chose que Gandi; juste que c'est (toujours aussi) ridicule de désigner ça par un mot aussi surchargé - et de simultanément faire une distinction basée sur finalement une limite tellement flou que personne n'arrivera à la définir.

                C'est d'autant plus ridicule que j'ai utilisé aussi les mots "hébergé" et "infrastructure" dans mon rant, à mon goût totalement légitimement. On doit dire quoi si on peut pas dire qu'on est "hébergé", dans un "cloud": qu'on est "évaporé" ? Et si AWS continue à rajouter tout et n'importe quoi comme services dans leurs offres, faut appeler le résultat étendu pareil, ou inventer un 3è nom ?

                Fin du rant!

                • [^] # Re: Plus d'infos

                  Posté par  . Évalué à 3 (+1/-0). Dernière modification le 09/08/21 à 07:24.

                  J'ai compris la moitié de ce que tu raconte, mais pour les 2 trucs que j'ai compris :

                  • l'hébergement rest qu'une partie du cloud. Le sens de la phrase que tu cite c'est "tu confond fabriquer des moteurs et fabriquer des voitures". Tu as besoin de l'un pour faire l'autre mais tu peux difficilement vendre l'un comme étant l'autre
                  • le fais que des offres existaient avant l'utilisation tu terme n'invalide pas l'existence du mot. Énormément de mot c'est même l'une des façons classiques d'inventer des mots

                  Je suis par contre surpris que tu connaissent des gens qui faisaient déjà la même chose que du cloud tout en réclamant une définition de celui-ci :p

                  Ah et je sais pas ce qu'est un rant.

      • [^] # Re: Plus d'infos

        Posté par  . Évalué à 9 (+7/-0).

        Pas que je sache. OVH sait très bien te fournir des machines, mais je ne crois pas qu'ils aient un service qui ressemble de près ou de loin à à ce que proposent cloudflare, c'est-à-dire une solution où tout la répartition de charge côté client est gérée pour toi, tout le monitoring est géré pour toi et tout ça pour un prix relativement peu cher. En effet pour cloudflare la répartition de charge consiste à ajouter une configuration sur leur cluster et pas à te dédier des machines pour toi de même pour le monitoring. Et toutes les opérations pour roller tes serveurs frontaux est une question que tu ne te pose même pas. Enfin je ne sais pas de quelle charge on parle, mais l'ouverture de connexions TLS peut devenir un véritable problème et ça reviens très chère de le gérer soit même.

        Tout ça pour dire que la différence entre une solution dédiée clef en main et "je te file des machines débrouille toi", c'est que ça peut te revenir bien plus chère (tarification qui suit la charge vs tarification indexée sur la charge maximale que tu prévois, maintenance en plus, compétences en plus à avoir dans l'équipe).

        • [^] # Re: Plus d'infos

          Posté par  . Évalué à 7 (+4/-0).

          Tu as oublié la gestion des DDoS dans ta liste, qui me semble un des points les plus important (et de loin, beaucoup plus compliqué à gérer soi-même).

          « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

          • [^] # Re: Plus d'infos

            Posté par  . Évalué à 3 (+2/-1).

            Je sais pas. Je ne sais pas quel niveau de sophistication existe là dessus. Je sais qu'ils font du WAF (mais OSEF quand on distribue des ressources statiques), mais je ne sais pas ce qu'ils font dans le détail pour du ddos.

        • [^] # Re: Plus d'infos

          Posté par  . Évalué à 10 (+9/-0).

          Pour préciser, je ne dis pas qu'il ne faut pas aller chez OVH. Juste qu'il faut savoir que ce n'est pas la même chose et dans quoi on s'embarque. Si on présente OVH comme équivalent ça va faire tout drôle et décrédibiliser la démarche.

          D'ailleurs je trouve dommage de sortir systématiquement OVH en mode jocker de celui qui doit bien savoir faire. Il y a d'autres acteurs scaleway, gandi, ikoula, clevercloud, hidora, scalingo,… Ça me donne un peu l'impression de "je connais pas le domaine, mais j'ai un jocker" et je trouve que ça questionne. Si ceux qui sont partisans de cloud souverains/indépendance vis à vis des autres puissances économiques n'ont pas une vision plus détaillées pourquoi ceux qui organisent leur projet plus par le coût que par la vision politique en sauraient davantage ?

        • [^] # Re: Plus d'infos

          Posté par  . Évalué à 4 (+3/-0).

          Certes, le site d'OVH est un modèle de ce qu'il ne faut pas faire tellement c'est impossible de trouver quelque chose dans les menus (j'imagine qu'avec autant de produit, c'est inévitable ?), mais l'offre existe :

          https://www.ovh.com/fr/solutions/load-balancer/

          • [^] # Re: Plus d'infos

            Posté par  . Évalué à 9 (+6/-0).

            Ça ne me semble pas être la même chose que Cloudflare, mais un simple load balancer d'offre cloud. C'est à dire que Cloudflare est un service devant n'importe quel serveur où qu'il soit héberger. Dans ce cas-ci, on a déjà un hébergement qui existe et Cloudflare a été mis devant pour le protéger/délester. Pour utiliser ce service chez OVH, il faut migrer d'abord toute son infrastructure chez OVH, ce qui n'est pas du tout la même charge de travail.

            « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

    • [^] # Re: Plus d'infos

      Posté par  (site Web personnel) . Évalué à 5 (+6/-4).

      (www.)ameli.fr (hébergé par une ESN française)

      Ça aussi c'est inquiétant: il est devenu "normal" pour une administration de déléguer son cœur de métier à des entreprises privés.

      Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

      • [^] # Re: Plus d'infos

        Posté par  . Évalué à 10 (+11/-2).

        Je ne pense pas que l'hébergement de site web statique soit le cœur de métier de l'Assurance Maladie, mais je peux me tromper.

        Par contre c'est vrai qu'on pourrait héberger ça dans el famaoso cloud souverain au lieu de sous-traiter à une ESN.

      • [^] # Re: Plus d'infos

        Posté par  . Évalué à 4 (+4/-2). Dernière modification le 30/07/21 à 09:57.

        tu veux dire que le cœur de métier de l'assurance maladie est de s'occuper d'hébergement web ?

        EDIT: le temps de tout lire, on m'a grillé la priorité !

        Ce commentaire passe-t-il les trois tamis de Socrate ? -- https://linuxfr.org/suivi/autoriser-la-correction-limitee-de-commentaires-apres-les-5min

        • [^] # Re: Plus d'infos

          Posté par  . Évalué à 10 (+10/-0).

          Bof, sur ce point je suis un peu partagé.

          Le coeur de métier de l'assurance maladie est de traîter des données médicales de manière sécurisée, et de préserver la confifdentialité de ces données, ce qui signifie entre autres de s'assurer que ce sont bien les personnes habilitées à accéder à ces données qui y accèdent.

          Du coup le "coeur de métier" est certainement un peu plus vaste que ce qu'on pourrait croire. A une époque ou l'informatique n'était pas aussi présente et indispensable, je serais d'accord, mais aujourd'hui, le coeur de métier de l'assurance maladie EST le traitement d'informations de santé.

          Tout ça pour dire que le coeur de métier "traditionnel" de beaucoup d'entreprises a changé avec le temps, et que la question de l'hébergement n'est pas aussi anodin que ça.

          • [^] # Re: Plus d'infos

            Posté par  . Évalué à 0 (+0/-2).

            Ça tombe bien ce qui est dis c'est que ce qui est sous-traité n'est pas la partie traitement de données. Toutes les boîtes de développement logiciel n'utilisent pas exclusivement du logiciel à eux.

            Toute la partie "suivi de leurs assurés" ne semble pas être géré de la même façon.

          • [^] # Re: Plus d'infos

            Posté par  . Évalué à 6 (+3/-0).

            Je suis d'accord que l'informatique est beaucoup plus présente dans le coeur de métier de beaucoup d'entreprise qu'avant. Mais ça ne veut pas dire que ça n'a pas remplacer d'autres services qui étaient déjà sous-traité. Par exemple, avant, pour communiquer avec les asssurés, au lieu d'un site web, c'était un courrier qui était envoyé, pourtant c'était bien déjà sous-traité.

            Donc, oui, il faut des compétences de supervision dans le domaine pour ne pas que n'importe quoi soit fait, mais ça ne me semble pas irresponsable de sous-traiter.

            « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

            • [^] # Re: Plus d'infos

              Posté par  . Évalué à 5 (+4/-0).

              Ca dépend de la façon dont on sous-traite …

              De mon point de vue la transmission de l'information sécurisée aux assurés (via site web ou autre) fait partie du coeur de métier de l'assurance maladie. Ca veut dire que la sous traitance ne se fera probablement pas de la même façon que le ferait par exemple un site qui aurait besoin d'une "vitrine" sur le net …

              Ca fait maintenant deux décennies que je travaille et j'ai constaté que beaucoup d'entités ont fait cette erreur stratégique (en refourguant complètement ce qui n'est aparamment pas son "coeur de métier" maiss ont perdu pas mal de contrôle et de connaissance sur ce qui se fait, et la gestion du quotidien et le retour arrière sont assez compliqués …).

            • [^] # Re: Plus d'infos

              Posté par  (site Web personnel) . Évalué à 5 (+3/-0).

              Par exemple, avant, pour communiquer avec les asssurés, au lieu d'un site web, c'était un courrier qui était envoyé, pourtant c'était bien déjà sous-traité.

              C’est un cas un peu particulier, le sous-traitant en question étant un service public jusque 2010. Ce qui est à mon avis très différent de déléguer une partie importante de ses activités à un acteur privé.

              • [^] # Re: Plus d'infos

                Posté par  . Évalué à 4 (+3/-0).

                Service public ne veut pas dire que ce n'est pas assuré par un acteur privé.

                D'ailleurs, je me suis posé la question de la forme juridique de ma caisse d'assurance maladie il y a quelques années et je n'avais pas trouvé. J'avais même appelé le numéro de téléphone d'informations sur les services publics. Ils étaient incapables de me dire s'il s'agit d'une administration, d'une association, ou d'une entreprise privée. Tout ce que j'ai réussi à trouver, c'est que la caisse d'assurance maladie est un employeur privé, que ce n'est apparemment ni une administration, ni une association loi 1901 dont les statuts devraient alors être déposés à la préfecture, ni une entreprise privée qui devrait alors être enregistrée au registre du commerce. Donc ça m'intrigue toujours.

                Cette signature est publiée sous licence WTFPL

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.