Votre établissement détient des informations nécessaires à la réalisation de son activité. Ces données sont sensibles par nature (données confidentielles : personnelles, médicales, bancaires...). Les menaces contre vos informations sont multiples et en très forte progression : erreurs, accidents, dysfonctionnements, vulnérabilités, mais surtout actes de malveillance, attaques...

Tout incident de sécurité, c'est à dire tout événement qui porte atteinte à la disponibilité, la confidentialité ou l’intégrité des ressources d’un organisme (par exemple, utilisation illégale d’un mot de passe, vol d’équipements informatiques, intrusion dans un réseau ou une application, etc.) doit être identifié, traité sans délai et déclaré sur le portail de signalement des événements sanitaires indésirables.

Tout incident majeur, c’est-à-dire un Incident ayant déjà affecté un, ou plusieurs services numériques, et contraignant l’établissement à mettre en place un mode dégradé de fonctionnement, doit être déclaré en premier lieu au CERT Santé par téléphone au : 09 72 43 91 25 . Pour vous guider, consultez la procédure de signalement mise à disposition par l'Agence régionale de santé et le GIP e-Santé Centre-Val de Loire :

Procédure de signalement en région Centre-Val de Loire Poids : 564Ko

Communauté régionale des référents SSI et délégués à la protection des données (DPO)

Le GIP e-Santé Centre-Val de Loire a créé, en lien avec l’Agence régionale de santé, un réseau de référents en sécurité des systèmes d’information (SSI) et en protection des données (DPO).

Reposant sur les principes de coopération et de mutualisation, cette communauté régionale animée par le GIP e-Santé Centre-Val de Loire vise à partager les expériences, diffuser les bonnes pratiques, relayer les informations utiles et définir des axes de travail communs (par exemple : la sensibilisation des utilisateurs). Elle a également vocation à aider les acteurs de santé en cas d’incident de sécurité.

Un espace collaboratif est mis à la disposition des référents SSI des établissements, sur le kiosque applicatif du GIP e-Santé Centre-Val de Loire. Il permet d’échanger des informations, de partager des documents et d’animer des groupes de travail sur des besoins identifiés.

Vous souhaitez rejoindre le réseau des référents SSI et DPO ?

Vous souhaitez accéder à l'espace collaboratif dédié ?

Plateforme régionale de sensibilisation Cybersécurité & Protection des données

L’action des utilisateurs joue un rôle déterminant face aux menaces cyber. Elle peut prévenir ou aggraver un incident de sécurité.

Cela met en évidence l’absolue nécessité sensibiliser l’ensemble du personnel aux bonnes pratiques de cybersécurité.

Le GIP e-Santé Centre-Val de Loire accompagne les établissements sanitaires, médico-sociaux et sociaux dans l’acculturation à la cybersécurité de leurs personnels, grâce à la plateforme régionale de sensibilisation à la sécurité des systèmes d’information (SSI) et à la protection des données.

Quel est son fonctionnement ?

Cette plateforme est administrée localement par chaque référent d’établissement : il peut ainsi enrôler et gérer ses utilisateurs, choisir les cours, les quiz, les supports de communication qu’il met à leur disposition et suivre leur progression.

Des tests de phishing, qui consistent en l’envoi de mails frauduleux fictifs avec des liens cliquables, peuvent également être envoyés depuis la plateforme, afin de mesurer le niveau de vigilance des utilisateurs.

SSI : par où commencer ?

La prise en compte de la sécurité des systèmes d'information s'appuie sur la mise en place de mesures concrètes :

• Désigner un Référent SSI indépendant vis à vis de l'informatique
• Réaliser une analyse de risque et une cartographie des systèmes essentiels à l'activité
• Mettre en oeuvre une politique SSI adaptée à la structure
• Rédiger une Charte de la protection de l'information et de la sécurité numérique et sensibiliser tous les acteurs
• Organiser la gestion des droits d'accès et des habilitations (identification, authentification, gestion des mots de passe)
• Sécuriser l'infrastructure (filtrage, cloisonnement, correction des vulnérabilités...)
• Gérer les incidents de sécurité (signalement des incidents graves)
• Prévoir la continuité des activités essentielles suite à un sinistre ou un incident (mise en place d'un PCA - Plan de continuité d'activité)
• Réaliser des exercices, à minima annuellement, permettant de tester le PCA
• Auditer la sécurité du SI : organisationnel et technique (scan de vulnérabilités, tests d'intrusion)

RESSOURCES

Référentiels

Plusieurs référentiels de sécurité existent et sont applicables, en fonction du type d’acteur et de la sensibilité des informations à protéger.

La politique de sécurité des systèmes d’information pour les ministères chargés des affaires sociales : politique socle à destination des organismes publics sous tutelle du ministère des Solidarités et de la Santé.

La politique générale de sécurité des systèmes d’information de santé de l’agence du numérique en santé : déclinaison de la politique de sécurité des systèmes d'information de l'état "PSSIE" pour les acteurs des secteurs de la santé, du médico-social et du social.

La doctrine technique du numérique en santé qui a pour objectif de décrire le cadre technique et le cadre d’urbanisation dans lequel devront s’inscrire les services numériques d’échange et de partage de données de santé.

Le programme HOP’EN : feuille de route à destination des établissements de santé pour leur transformation numérique et leur modernisation afin de répondre aux nouveaux enjeux de décloisonnement du système de santé et de rapprochement avec les patients.

La directive NIS (network and information security) : règles de cybersécurité applicables par les établissements désignés opérateurs de services essentiels (OSE).

Différentes instructions ministérielles relatives à la SSI ont été publiées :

• Instruction du 4 novembre 2016 relative aux mesures de sécurisation dans les établissements de santé
• Instruction relative au dispositif de traitement des signalements des incidents de sécurité
• Instruction relative aux mesures de sécurisation dans les établissements et services sociaux et médico-sociaux
• Instruction "309" relative à la mise en œuvre du plan d’action sur la sécurité des systèmes d’information

Guide d’aide à l’élaboration d’un plan de sécurisation d’établissement Poids : 1.26Mo

liens utiles

De nombreuses ressources, en accès libre, sont disponibles afin de vous aider à la mise en œuvre de la démarche SSI :

L'agence du numérique en santé met à disposition dans l'espace de publication de la Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI-S) les référentiels et les guides nécessaires à la mise en œuvre d'une PSSI.

Le mémento de cybersécurité à l’usage du directeur d’établissement de santé est disponible sur le site du ministère des Solidarités et de la Santé.

Un plan d’action SSI (fiches action) permet la prise en compte de l'instruction "309"

Le guide d’hygiène informatique de l’ANSSI propose 42 mesures de sécurité incontournables.

L’ANAP propose un kit de ressources « boîte à outils pour l’atteinte des prérequis du programme HOP’EN »

L'APSSIS a publié un ouvrage collectif sur la SSI santé, recueil de 40 témoignages de professionnels de la ssi du domaine de la santé, ainsi que des guides de cyber-résilience sur les mots de passe, les cyberattaques, les habilitations et la sécurisation du cloud.

Informations, veille, sensibilisation et formations SSI :

• Campagne nationale #TousCybervigilants de l'ANS
• CERT-Santé : veille et alertes sectorielles. un espace documentaire propose des guides de bonnes pratiques et des fiches réflexes.
• Portail d'accompagnement cybersécurité des structures de santé fournit une veille SSI, des guides de bonnes pratiques, des fiches reflexe et des supports de sensibilisation
• Malette pédagogique CyberEdu de l'ANSSI