Projets

C'est quoi ?

 

La mission transversale Sécurité des Systèmes d’Information (SSI) a été initiée en 2014 dans l’objectif d’accompagner les établissements soumis à la certification des comptes (budget > 100 M€). La mission s’est appuyée dans cette démarche sur le « Guide d’Auditabilité des SI » de la DGOS. La mission transversale adresse également la sécurisation du système d’information SESAN et l’espace numérique régional de santé (ENRS). En 2014, les trois établissements pilotes en Île-De-France ont été accompagnés. Les commissaires aux comptes n’ont pas identifié de réserves sur les systèmes d’information. En 2015, l’équipe SSI SESAN est intervenue dans 15 des 16 établissements de la vague 2 en plus des 3 pilotes, puis en 2016, 5 établissements supplémentaires, dont l’AP-HP. Fin 2016, la mission d’accompagnement à la certification des comptes s’est transformée en mission transversale de sécurité des systèmes d’information. Au-delà de la mise à disposition de RSSI chez les adhérents,  une expertise est apportée sur des outils de sécurité installés localement (ex : prise de main à distance). Des solutions à vocation régionale sont pilotées depuis SESAN. C’est le cas, par exemple, des  scans de vulnérabilités qui permettent d’identifier dans une structure les équipements qui ne sont pas à jour ou présentent des défauts de configuration. SESAN utilise les mêmes solutions, sur l’informatique interne et sur une partie de l’ENRS hébergée dans les datacenters sous contrôle de SESAN. 

 

 

 

 RÉALISATIONS 2018

 

Tout adhérent du GCS SESAN peut bénéficier de l’expertise de l’équipe SSI, avec souscription d’un contrat de mise à disposition. 23 contrats établis, représentant près de 400 jours d’accompagnement, majoritairement pour le secteur sanitaire et le médico-social. Le RGPD fait partie des axes prioritaires de ces contrats.

 

La sensibilisation des directions à la SSI commence à porter ses fruits aussi bien au niveau des Groupements Hospitaliers de Territoire (GHT) que des centres médico-sociaux, puisqu’elle les a poussés à recruter un RSSI à temps plein pour certains d’entre eux. C’est le cas notamment de la structure médico-sociale La Gabrielle.

 

La plateforme centrale de détection des vulnérabilités a été renforcée. Elle a été déployée sur 8 sites en 2018.

 

L’équipe SSI a continué sa mission de formation et de sensibilisation auprès de ses adhérents. Deux matinales ont été organisées avec plusieurs dizaines de participants. Un accompagnement spécifique au RGPD, entré en vigueur le 25 mai dernier, a également été proposé aux établissements.

 

Une plateforme de diffusion de contenu SSI a été mise en place pour sensibiliser les adhérents. Des scans de vulnérabilités ont été à nouveau réalisés en 2018 pour s’assurer de la sûreté des installations des structures de santé. 2 710 vulnérabilités ont été recensées sur des équipements (serveurs, coeur de réseaux et autres équipements critiques).

 

Des campagnes de sensibilisation avec des tests de phishing*ont été effectuées. 1091 personnes ont été concernées.

 

Des scans de vulnérabilités ont été à nouveau réalisés en 2018 pour s’assurer de la sûreté des installations des structures de santé. 2 710 vulnérabilités ont été recensées sur des équipements (serveurs, cœur de réseaux et autres équipements critiques).

 

 PERSPECTIVES 2019

 

Face à l’entrée en vigueur du RGPD avec un risque de sanctions importantes (4% du CA ou 20 millions d’euros) et la hausse des cyberattaques, la sécurité informatique est devenu un enjeu majeur dans le milieu de la santé, dont les données sont jugées sensibles et font l’objet d’une attention particulière de la part des hackers, qui les revendent sur le web.

 

- Des campagnes de sensibilisation au RGPD vont être programmées au sein des établissements de santé.

 

- Un premier exercice de cybercrise est prévu pour février 2019 auprès de sept adhérents exerçant des fonctions différentes : RSSI, responsable qualité, délégué à la protection des données, directeur des services informatiques et responsable du système d’information…

 

- Une cyberveille sera réalisée pour prévenir les attaques informatiques.

Se lon l’Asip Santé (l’Agence des systèmes d’information partagés de santé), 319 incidents ont été déclarés en un an par les structures de santé.

 

- Cinq tests d’intrusion vont être effectués sur l’ENRS avant la fin de l’année 2019.

 

- SESAN a pour objectif de renforcer son rôle d’acteur régional dans le domaine de la cybersécurité en organisant une journée SSI Santé en Île-de-France.

 

- Dans le cadre du schéma régional 2018-2022, l’équipe SSI s’engage à renforcer la sécurité des systèmes d’information.

 

- SESAN s’inscrit dans la stratégie de transformation du système de santé en s’appuyant sur le rapport de Dominique PON et d’Annelore COURY. Ce rapport rappelle la nécessité de maintenir la confiance dans les outils numériques et à respecter des référentiels de sécurité.

 

 NOS INTERLOCUTEURS 

 

 

 

 

 

 

Vous êtes ?
Vous avez besoin ?
Tous nos projets
››