Le département Sécurité des Systèmes d’Information (SSI) veille au maintien en condition de sécurité des éléments techniques et des solutions constituant l’Espace Numérique Régional de Santé (ENRS). Il apporte aux adhérents d’Ile-de-France un service d’accompagnement sur la mise en conformité au Règlement Général sur la Protection des Données (RGPD) et en SSI. Des mesures organisationnelles et techniques sont mises en œuvre dans cette optique. Les missions du département SSI se sont adaptées aux besoins de leurs adhérents en proposant des actions de sensibilisation, des tests d’intrusion, de l’aide à la gouvernance SSI et des scans de vulnérabilités.
La solution s’adresse aux établissements médico-sociaux, aux établissements sanitaires/GHT, aux DAC, aux professionnels de santé de ville et aux DAC.
Les activités liées à la conformité SSI et RGPD peuvent être réparties en quatre sous-catégories :
1 La SSI Régionale
L’objectif est d’assurer la sécurité des solutions régionales regroupées dans l’ENRS. Des tests d’intrusion et des revues d’accès ont été effectués sur les solutions de SESAN. Des tests de phishing sont lancés régulièrement afin de sensibiliser l’ensemble des départements de SESAN.
2 Mission SSI
La mission SSI s’est illustrée avec succès grâce à plusieurs opérations destinées aux adhérents de SESAN. Des scans de vulnérabilités et des analyses internes ont été lancés sur les systèmes d’information des adhérents. Les résultats sont analysés par l’équipe SSI et un plan d’actions est remis à l’adhérent. Plusieurs tests d’intrusion ont également été menés : ils aboutissent également à la remise d’un plan d’actions pour remédier aux failles détectées. Des audits du trafic réseau sont menés en établissement permettant d’améliorer la disponibilité du SI de l’adhérent. Toutes ces actions sont menées dans le cadre d’un accompagnement plus global (PSSI, analyse de risques, …) des RSSI des adhérents.
3 Sensibilisation
La sensibilisation à la sécurité est réalisée au travers :
– de campagnes de test de phishing ;
– de vidéo-quizz en ligne ;
– d’exercices de cybercrise ;
– d’un jeu d’affiches SSI mis à disposition des adhérents ;
– de l’acquisition d’un Escape Game SSI Santé « X’Cape Santé »
4 RGPD
Comme pour la mission SSI, le Département SSI accompagne les DPO des adhérents à la réalisation de leur registre de traitements et de leurs analyses d’impact. Un appel d’offre a été lancé afin de permettre aux adhérents de disposer d’un outil collaboratif permettant de démontrer leur conformité au RGPD. Une vidéo RGPD a été créé à destination des personnels de santé. Cette vidéo est un outil de sensibilisation RGPD pour tous leurs adhérents.
Sur la SSI régionale, le Département SSI poursuivra ses missions, et contribuera à l’identification d’actions d’amélioration SSI, notamment, en participant aux Analyses d’Impact des solutions régionales.
Dans le cadre de sa Mission SSI, le Département SSI souhaite proposer à ses adhérents un service de réaction aux incidents informatiques (CERT – Computer Emergency Response Team). Il proposera aussi à ses adhérents un nouvel outil mutualisé de cartographie de leur SI.
Le Département SSI reconduira ses actions de sensibilisation, en proposant à ses adhérents de réaliser un exercice de cyber-crise sur site. Il proposera aussi à ses adhérents de déployer l’Escape Game SSI Santé « X’Cape Santé » au sein de leurs structures.
Et enfin, sur le volet RGPD, le Département SSI proposera, à ses adhérents, un outil collaboratif d’aide à la mise en conformité au RGPD.
contrats d'accompagnement SSI établis
contrats d'accompagnement RGPD établis
