Le département Sécurité des Systèmes d’Information (SSI) veille au maintien en condition de sécurité des éléments techniques et des solutions constituant l’Espace Numérique Régional de Santé (ENRS). Il apporte aux adhérents d’Ile-de-France un service d’accompagnement en SSI et sur la mise en conformité au Règlement Général sur la Protection des Données (RGPD). Des mesures organisationnelles et techniques sont mises en œuvre dans cette optique. Les missions du département SSI se sont adaptées aux besoins de leurs adhérents en proposant des actions de sensibilisation, des tests d’intrusion, de l’aide à la gouvernance SSI et des scans de vulnérabilités.
La solution s’adresse aux établissements médico-sociaux, aux établissements sanitaires/GHT, aux dispositifs d’appui à la coordination (DAC) et aux professionnels de santé de ville.
Les activités liées à la conformité SSI et RGPD peuvent être réparties en quatre sous-catégories :
La SSI Régionale a pour objectif d’assurer la sécurité des solutions régionales regroupées dans l’ENRS. Au cours de l’année, et particulièrement pendant la crise sanitaire, des tests d’intrusion ont été effectués sur les solutions régionales (ex : ORTIF, Terr-eSanté, …). En parallèle, des tests de phishing ont été lancés régulièrement afin de sensibiliser l’ensemble des départements de SESAN aux mails frauduleux et de rappeler aux collaborateurs les bonnes pratiques en cybersécurité.
Des scans de vulnérabilités internes et externes ont été lancés sur les systèmes d’information des adhérents de la solution SSI. Les résultats sont analysés par l’équipe SSI pour ensuite être remis sous forme de plan d’actions et permettre aux adhérents d’effectuer les corrections.
Des tests d’intrusion ont également été menés auprès d’un échantillon d’adhérents : de la même façon, cela mène à un plan d’actions pour remédier aux failles détectées.
Des audits du trafic réseau ont été menés en établissement pour améliorer la disponibilité du SI de l’adhérent. Toutes ces actions sont menées dans le cadre d’un accompagnement plus global (PSSI, analyse de risques, …) des RSSI des adhérents.
Un service « computer emergency response team » (CERT, centre d’alerte et de réaction aux attaques informatiques), a été souscrit par SESAN en 2020. Il permet aux adhérents de disposer d’un prestataire de réponse à incident en 24×7 pour limiter l’impact d’une attaque et les aider à rétablir leur système d’information.
Des exercices gestion de cyberattaque ont été proposés aux adhérents pour identifier les axes d’amélioration à la gestion de la crise, de la documentation, de la continuité d’activité etc. L’objectif est d’identifier tout ce qui pourrait limiter l’impact d’une cybercrise au sein d’un établissement et améliorer la communication en interne et en externe.
Un réseau social a été mis en œuvre pour fluidifier les échanges entre SESAN et les responsables de la sécurité des systèmes d’informations, directeurs des systèmes d’informations et délégués à la protection des données. Il permet aussi des échanges directs entre structures.
Un service de cybersurveillance, souscrit par SESAN permet de détecter des activités anormales qui peuvent avoir lieu sur certains éléments exposés par nous-mêmes ou nos adhérents. Depuis mars 2020, neuf adhérents bénéficient de cette cybersurveillance, soit 1/3 des interlocuteurs du département SSI.
La sensibilisation à la sécurité est réalisée au travers :
– de campagnes de test de phishing
– de vidéo-quizz en ligne
– d’exercices de cybercrise
– d’affiches SSI mis à disposition des adhérents
– de l’Escape Game SSI Santé « X’Cape Santé »
– de la diffusion d’une newsletter mensuelle
– d’un calendrier SSI
Le Département SSI accompagne les DPO des adhérents à la réalisation de leur registre de traitements et de leurs analyses d’impact. Un appel d’offre a été lancé afin de permettre aux adhérents de disposer d’un outil collaboratif permettant de démontrer leur conformité au RGPD. Une vidéo RGPD a été créée à destination des personnels de santé. Cette vidéo est un outil de sensibilisation RGPD pour tous leurs adhérents.
SESAN propose un service de conseil RGPD, ouvert pour tous les adhérents au contrat RGPD.
– Un service manager d’audit de performance pour remplacer les audits ponctuels de performance
– Un service de cybersurveillance
– Des exercices de cybercrise
– La réalisation de webinaires sur la partie SSI et des formations RGPD
– L’adhésion groupe à l’AFCDP (Association Française des Correspondants à la protection des Données à caractère Personnel) et au CLUSIF (CLUb de la Sécurité de l’Information Français) qui permet d’en faire bénéficier des adhérents
– Un service de transfert sécurisé de fichiers pour les adhérents
contrats d'accompagnement SSI établis
contrats d'accompagnement RGPD établis
