• Introduction
  • À qui s'adresse ce service ?
  • Réalisations en 2021
  • Chiffres clés en 2021
Introduction

Le département Sécurité des Systèmes d’Information (SSI) veille au maintien en condition de sécurité des éléments techniques et des solutions constituant l’Espace Numérique Régional de Santé (ENRS).

Il apporte aux adhérents d’Ile-de-France un service d’accompagnement en SSI et sur la mise en conformité au Règlement Général sur la Protection des Données (RGPD). Des mesures organisationnelles et techniques sont mises en œuvre dans cette optique. Les missions du département SSI s’adaptent chaque année, aux besoins des adhérents.

À qui s'adresse ce service ?

La solution s’adresse aux établissements médico-sociaux, aux établissements sanitaires/GHT, aux dispositifs d’appui à la coordination (DAC) et aux professionnels de santé de ville.

Réalisations en 2021

Les activités liées à la conformité SSI et RGPD peuvent être réparties en cinq sous-catégories :

 

  • SSI Régionale

 

 La SSI Régionale a pour objectif d’assurer la sécurité des solutions régionales regroupées dans l’ENRS. Au cours de l’année, des tests d’intrusion ont été effectués sur les solutions régionales et un suivi des incidents de sécurité a été mis en place avec les principaux prestataires.

 

  • Audit SSI

 

Des scans de vulnérabilités internes et externes ont été lancés sur les systèmes d’information des adhérents de la solution SSI. Les résultats sont analysés par l’équipe SSI pour ensuite être remis sous forme de plan d’actions et permettre aux adhérents d’effectuer les corrections. Une nouvelle solution a été testée par les adhérents au cours du dernier trimestre 2021, avec succès.

 

Des tests d’intrusion ont également été menés auprès d’un échantillon d’adhérents : de la même façon, cela mène à un plan d’actions pour remédier aux failles détectées.

 

Un service de cybersurveillance souscrit par SESAN a permis de contrôler en continue l’exposition du SESAN et de ses adhérents – identification des menaces et des risques liés à l’exposition sur Internet, détection des vulnérabilités et des fuites d’informations sur le cyber-espace (clear, deep, dark).

 

  • Gouvernance SSI

 

Le Département SSI accompagne les référents SSI des adhérents dans leur gestion de la SSI. Cette mission est facilitée par l’existence d’une banque documentaire, accessible aussi par les adhérents, contenant des modèles de document SSI. Plusieurs analyses de risques ont été réalisées cette année et une solution est mise à disposition des adhérents, leur permettant de réaliser des analyses de risque ou des dossiers homologations en toute autonomie.

 

Un logiciel collaboratif de cartographie du SI accompagne les structures dans le pilotage de l’évolution de leur SI (applicative, infrastructure et flux).

 

Un service « computer emergency response team » (CERT, centre d’alerte et de réaction aux attaques informatiques), a été souscrit par SESAN. Il permet aux adhérents de disposer d’un prestataire de réponse à incident en 24×7 pour limiter l’impact d’une attaque et les aider à rétablir leur système d’information.

 

  • Communauté SSI/RGPD

 

Un réseau social a été mis en place pour fluidifier les échanges entre SESAN et les responsables de la sécurité des systèmes d’informations, directeurs des systèmes d’informations et délégués à la protection des données. Il permet aussi des échanges directs entre structures.  

 

SESAN a souscrit une adhésion groupe à l’AFCDP (Association Française des Correspondants à la protection des Données à caractère Personnel) et au CLUSIF (CLUb de la Sécurité de l’Information Français) et en fait bénéficier ses adhérents.

 

Le Département SSI organise régulièrement des webinaires sur des solutions SSI/RGPD permettant des retours d’expérience des adhérents, une mutualisation et favorisant les échanges entre les adhérents.

 

  • Sensibilisation

 

Des exercices gestion de cyber-crise ont été proposés aux adhérents afin d’identifier des axes d’amélioration à la gestion d’une Cyber-attaque. Ces exercices ont permis de sensibiliser les directeurs à l’importance d’intégrer le sujet Cyber dans les processus de continuité d’activité.

 

Des campagnes de test de phishing sont réalisées régulièrement chez SESAN et chez les adhérents, permettant de sensibiliser les utilisateurs aux risques auxquels ils sont exposés.

 

Le Département SSI a participé à la conception des scénarii de 20 nouvelles vidéos de sensibilisation (Ransomware, Consultation du dossier patient d’un collègue, Smishing, …). Ces vidéos SSI Santé peuvent être intégrées aux Campagnes de sensibilisation en-ligne réalisées chez nos adhérents.

 

Le Département SSI a créé et met à disposition de ses adhérents des éléments de communication : de nouvelles affiches SSI, un nouveau calendrier SSI…

Des newsletters sont envoyés chaque mois aux adhérents, permettant aussi d’être une base de communication interne.

 

Un escape Game SSI Santé « X’Cape Santé » acquis par SESAN est proposé aux adhérents afin que ces derniers puissent sensibiliser leur personnel aux bonnes pratiques SSI, de manière ludique.

 

  • RGPD

 

Le Département SSI accompagne les DPO des adhérents à la réalisation de leur registre de traitements et de leurs analyses d’impact. Un outil collaboratif est proposé aux adhérents permettant de démontrer leur conformité au RGPD.

 

Une vidéo RGPD est mis à disposition des adhérents, leur permettant de sensibiliser les personnels de santé à la règlementation en matière de protection des données personnelles.

 

Un service de conseil RGPD a été souscrit par le SESAN auprès d’un cabinet d’avocats. Ce service est ouvert pour tous les adhérents au contrat RGPD.

Chiffres clés en 2021
  • 33

    contrats d'accompagnement SSI établis

  • 23

    contrats d'accompagnement RGPD établis