prestations et conseil

Protection des données et cybersécurité

#santé #collectivités #éducation

Le SIB s’engage depuis de nombreuses années dans l’amélioration de la sécurité de son système d’information et de celui de ses adhérents. Cet engagement s’est concrétisé en 2018 avec la création d’un pôle protection des données et cybersécurité. L’ambition du SIB est de devenir un acteur incontournable de la sécurité des systèmes d’information hospitaliers.

Le SIB s’est vu décerner par la CNIL, en juin 2018, le label « Gouvernance RGPD » concernant la conformité de sa procédure de gouvernance au Règlement européen Général sur la Protection des Données. Ce Label atteste que l’organisation interne du SIB permet d’assurer, pour les données personnelles traitées, les meilleures conditions en matière de protection, de confidentialité et d’information. Cette organisation repose sur un travail d’équipe, coordonné en particulier par le Délégué à la Protection des Données (« DPO ») et le RSSI.

Le SIB a également obtenu la certification HDS pour ses deux sites (Rennes et Lille). Cette certification est en grande partie basée sur la norme ISO 27001 et ISO 27002.

Le SIB : prestataire terrain dans le cadre du parcours cybersécurité du plan France Relance


Pour relancer l’économie affectée par la crise sanitaire actuelle et encourager le développement des secteurs d’avenir, le gouvernement a lancé en septembre 2020 le plan France Relance avec un volet cybersécurité appelé parcours cybersécurité.

Le pilotage de ce parcours cybersécurité a été confié à l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information). L’objectif est de renforcer la sécurité des administrations, des collectivités, des établissements de santé et des organismes publics tout en dynamisant l’écosystème industriel français.

Le SIB fait partie des prestataires terrains pour accompagner ces établissements dans la mise en œuvre par des actions de sensibilisation et de sécurisation.

Une équipe d'expert

Le pôle Protection des données et Cybersécurité est constitué d’une équipe mixte de consultants :

  • RGPD : Formés au RPGD et à la fonction de DPO avec des profils techniciens et juristes.
  • Cybersécurité : ayant des compétences tant que les volets gouvernance de la sécurité que sur des volets techniques

Cette équipe mixte bénéficie des connaissances historiques du domaine de la santé et des établissements public et permet ainsi de répondre de manière adaptée aux besoins de nos adhérents et clients.

Pôle d'Excellence Cyber

Le SIB a souhaité matérialiser son engagement en devenant adhérent du Pôle d’Excellence Cyber pour représenter le secteur de la santé et ainsi reporter les problématiques spécifiques de celui-ci. Ce pôle permet également au SIB de constituer un réseau de partenaire expert et ainsi de proposer une offre de service complète en terme de :

  • Gouvernance et pilotage
  • Conseil et audit,
  • Formation et sensibilisation.

Pour cela, l’accompagnement proposé s’appuie sur les référentiels, bonnes pratiques et méthodologie en vigueur sur la sécurité et la protection des données personnelles, en particulier les outils méthodologiques de la CNIL ou des autres autorités compétentes de l’Union européenne, les guidelines du G29 et l’ensemble du corpus ISO 27000, ainsi que des référentiels promus par l’ANSSI et le Ministère de la Santé.

Compétences

gouvernance et pilotage

Que ce soit dans le cadre de la mise en conformité au RGPD ou pour assurer la sécurité de l’information, la première étape est la gouvernance et la gestion des risques. L’équipe SIB vous accompagne dans la définition de votre stratégie de sécurité et de protection des données personnel en ne perdant pas de vue les objectifs métiers au travers des missions suivantes :

  • Prise en charge de la mission de RSSI externalisé ;
  • Identification et définition des chantiers sécurité ;
  • Rédaction du corpus documentaire et des procédures.
    • analyse de risques ;
    • politique de sécurité (PSSI) ;
    • PCA/PRA ;
    • Charte
    • Livret d’accueil
    • Procédure de notification d’incidents de sécurité
    • Procédure de gestion de crise
  • Pilotage du déploiement de la politique de sécurité et des plans d’amélioration continue associés ;
  • Pilotage de la mise en conformité
  • Organisation, pilotage et animation du réseau des relais DPO dans les établissements
  • tenue du registre des traitements
  • formation du personnel (formation, création de support de sensibilisation, e-learning, etc.)
  • Rédaction du corpus documentaire et des procédures.
    • pour assurer le respect des droits des personnes (droit à l’information sur le traitement, droit d’accès, de rectification, de suppression, ou encore droit d’opposition pour motif légitime)
    • procédures d’information des patients (définition, élaboration ou revue des notes d’informations patients, procédures internes de réponses aux demandes)
    • procédures d’information internes (définition, élaboration ou revue procédure notification incidents, violation données personnelles)
    • L’élaboration de l’analyse d’impacts intégrant les aspects technique et juridique.
    • L’établissement de procédures organisationnelles (matrice RACI, structuration de la communication interne, etc.)
  • assistance juridique (revue des contrats de sous-traitance, assistance des établissements sur les éventuelles demandes patient ou personnel, etc.)
  • proposition de mesures de sécurité adaptées au contexte client.
audit

Régulièrement, il est important de procéder à une analyse de l’existant afin d’établir un plan d’actions en adéquation avec les objectifs de l’établissement. Nos consultants analysent le corpus documentaire définissant les mesures techniques et organisationnelles et évalue leur mise en œuvre. Cette méthode permet d’avoir une image précise des écarts entre la cible à atteindre et la mise œuvre documentaire et opérationnelle. Ainsi, nous proposons notamment de réaliser les audits suivants :

  • Diagnostic de la sécurité basé sur le référentiel ANSSI
  • Diagnostic RGPD
  • Audit suivant référentiel métier (prérequis HOP’EN, MaturiN-H,…)
  • Audit organisationnel et physique
  • Audit technique (test d’intrusion, audit d’architecture, audit de configuration)
  • Audit ISO 27 001 et ISO 27 002
  • Audit Hébergement de données de santé (HDS)
conseil

Le SIB a mis en œuvre une démarche de capitalisation des expériences acquises par le SIB et ses consultants lors de missions d’accompagnement mais également dans le cadre la mise en place de ses propres mesures de sécurité. Cette démarche nous permet de vous accompagner entre autre dans le cadre  de missions de :

  • Mise en conformité réglementaire (RGPD, ISO 27001, HDS, …)
  • Accompagnement Opérateur de Service Essentiel (OSE)
  • Accompagnement Opérateur d’Importance Vitale (OIV)
  • Assistance à l’homologation de téléservices au Référentiel Général de la Sécurité (RGS)
  • Analyse de risques et élaboration de plan d’actions
  • Préconisations techniques et organisationnelles
  • Rédaction corpus documentaire (PSSI, PRA, PCA,…)
  • Rédaction de documents opérationnels de sécurité
  • Parcours Cyber (Plan France Relance)
  • Gestion des identités et des accès
    • Avec les modules web SSO, eSSO et CMS, Sign&go protège l’ensemble de vos applications, web ou client/serveur, en intranet comme en extranet.
    • Meibo People Pack, solution packagée de gestion des identités, gère le cycle de vie des utilisateurs au sein du SI.
    • Gestion des habilitations et des contrôles d’accès
    • Gestion des cartes d’établissements (authentification forte, identification contact et sans-contact)
    • Service d’administration centralisé (enrôlement simple des applications, gestion du modèle de droit du SIH)
    • Services d’audit, traçabilités des actions
  • Accompagnement HOP’EN, MaSanté 2022, …
  • Déploiement CPS/CPE
    • Conseil en organisation de gestion de parc de cartes
    • Définition et formalisation des process liés à l’usage de la carte
    • Gestion des commandes et suivi auprès des autorités d’enregistrement et de certification (Ordres, ARS, ASIP)
    • Plan de communication vers les futurs utilisateurs (notes d’information, carte mémo, porte-carte, …)
formations et sensibilisation

La formation est la clé de l’amélioration de la sécurité de l’information afin d’inculquer une vraie culture de la sécurité et de la protection des données. Le SIB et son organisme de formation proposent un large contenu de formation adaptées au secteur. Ainsi nous pouvons vous proposer :

  • Formation au Règlement européen Général sur la Protection des Données (RGPD)
    • dans le contexte médico-social
    • dans le contexte secteur public
  • Formation Gestion de crise Cyber
  • Ateliers pratiques (présentation et analyse d’attaques réseaux, système, web ou physique)
  • Campagne de sensibilisation (direction, cadre de santé, personnel administratif, personnel de santé)
  • E-learning :
    • Réagir face aux attaques de malwares
    • Usage adéquat du courrier électronique
    • Gestion des mots de passe
    • Sécurité des dispositifs de sauvegarde
    • Navigation sécurisée
    • Sécurité du poste de travail
    • Les bases du RGPD
    • RGPD : les bons réflexes dans mon métier
    • RGPD : violation des données
    • Gestion des Incidents cyber

Retrouvez toutes les formations dédiées à la sécurité en cliquant içi