SlideShare une entreprise Scribd logo
1  sur  28
Télécharger pour lire hors ligne
P. Tourron – Tous droits réservés 1
Philippe TOURRON
RSSI-APHM
3ème COLLOQUE SSI - 29 novembre 2017
Application de l’instruction
DSSIS 309
Pour gérer les risques
numériques
(en santé)
Plan d’action SSI : mise en œuvre à l’AP-HM
P. Tourron – Tous droits réservés
PLAN
Contexte
Pourquoi
protéger les
données de
santé ?
Comment
protéger les
données de
santé ?
Enjeux à venir
Débat
questions
Application de
l’instruction DSSIS 309
Gérer les risques
numériques
(en santé)
P. Tourron – Tous droits réservés
CONTEXTE
Nous sommes tous S.I. dépendants
P. Tourron – Tous droits réservés
Contexte : Sécurité numérique
Enjeux majeurs : protéger les patients
• Leurs soins, leur « santé »
• Leurs données
• Freins à la sécurisation : 30% budget, 30%
absence de prise de conscience des risques,
40% (divers : applications, hétérogénéité, …)
Le périmètre ?
• Les logiciels (du DPI au portail
patient)
• Les infrastructures (des postes
aux serveurs en passant par le
pilotage de l’électricité), cloud …
• Les moyens médicaux techniques
(de l’ECG à la l’IOT de santé)
-> dans l’établissement/l’entreprise
-> Et au-delà
Définitions : aspect
P. Tourron – Tous droits réservés
POURQUOI
PROTEGER LES DONNEES DE SANTE ?
P. Tourron – Tous droits réservés
Pourquoi protéger : Sécurité numérique de la santé
 Un système d’information conditionnant la qualité de soin
 Un système d’information pour l’ouverture et la mobilité : L’attractivité pour les patients,
les professionnels de santé, le lien ville-hôpital, l’intégration du numérique au quotidien
Le mariage difficile de la disponibilité et de la confidentialité
devient ainsi un enjeu stratégique.
 Un contexte de cybermenaces en hausse (rançon, revente, …)
Etre attaqué c’est comme tomber malade :
il faut pouvoir se soigner vite et bien
• Minimiser les causes et les impacts des risques SI : manager le sécurité
P. Tourron – Tous droits réservés
La logique de Système de Management
SECURISER
C’est
MANAGER
donc
GOUVERNER
Et au final
DECIDER LA PRISE DE RISQUE au bon niveau de responsabilité
Manager : revue régulière SSI et SDSI, sanctuariser des budgets
Les propriétaires de risques sont ceux qui peuvent les traiter
(prendre, éviter, réduire, transférer) cf ISO 27001:2013
7
P. Tourron – Tous droits réservés
COMMENT
PROTEGER LES DONNEES DE SANTE ?
P. Tourron – Tous droits réservés
PLAN INSTRUCTION DSSIS 309 déclinaison APHM :
en synthèse
 Toutes les mesures organisationnelles : intégrées dans nos démarches et certifications ISO 27001, 9001 (ITIL) et agréments
HDS : analyse de risques, prise en compte par la direction car intégrée au SDSI, RSSI et CSSI, CIL/DPD, PCA, gestion de crise
(intègrant le signalement)
 Passer en mode HDS pour les nouvelles applications même internes
 Démarche d’homologation RGS organisée (commission, analyse, audit, décision)
 Sensibiliser les utilisateurs : e-learning (conduite du projet national via CAIH : 50 activités ciblées santé), sensibilisation
sécurité aux nouveaux arrivants, formation SSI pour le Biomed, gestions des risques SI au plan de formation
 Charte au RI (instruction= accélérateur)
 Inventaire (outils indispensables) intégrant le biomed et gestion des incidents et des changements associés (ITIL)
 Augmenter le niveau et la finesse de filtrage avec les réseaux externes (ou interconnectés) et le partage de
l’identification/filtrage des menaces (wildfire paloalto, anti DDOS via service chez les FAI)
 Protection des accès externes : mainteneurs (bastion d’administration WAB) et utilisateurs (portail d’authentification forte CPS
et OTP : WAM)
 Segmentation réseaux : commencer par les zones sensibles (HDS, GTC, plateaux techniques biomed, composants non
maintenus ou administrés par des tiers, …), ajuter des composants de filtrage (boîtiers stormshield)
 Éliminer les systèmes obsolètes (ou les protéger en périphérie : boîtiers stormshield, logiciels malwarebyte, trend, paloalto, …)
P. Tourron – Tous droits réservés
La pédagogie SSI : Sensibiliser tous les acteurs
P. Tourron – Tous droits réservés
Sensibiliser à la SSI
P. Tourron – Tous droits réservés
La gestion des risques : 2 roues motrices
12
FIM
FASSI
(FIL Fiche d’Incident Majeur
intégrant la recherche des causes)
(FAASI : Fiche d’Analyse de la Sécurité du SI
intégrant le besoin de PIA/RGPD)
ACHAT
P. Tourron – Tous droits réservés
Comment protéger : Sécurité numérique en synthèse
Et si finalement tout convergeait vers …? une vision de la cible à atteindre, un cadre prêt
et « relativement constant », une légitimité : la gestion par les risques
Un système de management de la sécurité du SI : conformité/certification ISO27001
Menaces agiles :
apprendre à
gérer des crises
ISO 27001 - RGPD ITIL, HDS, paliers
PGSSI …)
Sensibilisation – e-
learning, méthode -
Ebios
P. Tourron – Tous droits réservés
Comment protéger : AGIR
Les Freins :
• Changer
• Coûts
• prioriser
Les leviers :
• La règlementation/lois : HDS évolution vers une certification
• Les incidents (l’actualité) et La prise de conscience de la criticité du SI de santé sous tous ses angles (DIC … A)
• Les soutiens des structures nationales (HFDS/FSSI, ASIP, ANSSI, …) et des autres
• La prise de conscience de la criticité/valeur du SI et de la donnée personnelle
• Des label, normes
Les basics :
• Sauvegarde, chiffrement, protection/privacy by design
• Authentification renforcées, cloisonnement et filtrage des réseaux internes ET externes
• Sécurité physique
• La gestion de l’obsolescence/maintenance
P. Tourron – Tous droits réservés
EXERCICE EXERCICE EXERCICE
CELLULE DE CRISE
Responsable de crise : ANALYSER – DECIDER
Responsable de la communication : (faire) COMMUNIQUER
Chef des opérations : SCENARIOS – ORGANISER
Experts : ETAT DES LIEUX – ACTIONS POSSIBLES - REALISATION
Responsable de la main courante : MEMOIRE de la crise pour PILOTAGE et RETEX
(preuve)
P. Tourron – Tous droits réservés
ALERTE … BLITZ CRISE
16
CONTEXTE
EVENEMENTS REDOUTES
SCENARIOS DE MENACES
RISQUES
MESURES
PREVENTION
RECUPERATION
PROTECTION
DICT
ANALYSE
RISQUES
Les Etbs des participants
attaqués en saturation DOS
Corruption d’annuaire
INDISPONIBILITE ACCES EXTERNE
SI DES ETBS
ACCES INTERNET E/S
PLUS D’ACCES DEPUIS/VERS INTERNET
PLUS D’ACCES INTERNE/USURPATION ?
IMPACTS : HDS ?/APPLI SAS?/COM
IMPACTS : AUCUNE APPLI ACCESSIBLE/VOL
DISPO
CONSERVER ANNUAIRE SAIN
ISOLER NEUTRALISER
AVEC FNS ACCES
RESTAURER SAUVEGARDE AD
ANNUAIRES
INDISPONIBILITE ACCES INTERNES
INTEGRITE
!
ALERTER
!
TRACES/PL
AINTE
ISOLER NEUTRALISER
Ph. Tourron
P. Tourron – Tous droits réservés
FIN EXERCICE
Gérer les crises = Gérer les risques à grande vitesse
•Se préparer à l’imprévu
•S’organiser pour décider
•S’organiser pour (ré)agir … vite
Des rôles, un entrainement, des reflexes, des
procédures
Permet de rendre pragmatique et opérationnel les
PCA/PRA
P. Tourron – Tous droits réservés
Quelques conseils
Extrait article Gestion Hospitalière avril 2017, P.Tourron
cf références en fin de présentation
P. Tourron – Tous droits réservés
ENJEUX A VENIR
Au-delà du plan SSI
P. Tourron – Tous droits réservés
ENJEUX à venir : Sécurité numérique de santé = des opportunités, une valeur ajoutée
La signature numérique, le chiffrement,
l’authentification forte
La sécurité numérique : valeur ajoutée pour la confiance numérique
Rends possible (conformité/fiabilité) :
• L’identité numérique (pour l’accès aux données et aux
dispositifs) pour les personnes, pour les logiciels, pour les
appareils médicaux
• La dématérialisation : la preuve numérique
• La communication sécurisée (IOT, cloud, …)
• Les soins/télémédecine à distance
Tout en veillant à …
P. Tourron – Tous droits réservés
DETAIL DES MESURES DU PLAN
Instruction DSSIS 309
P. Tourron – Tous droits réservés
Mesures de priorité 1 à mettre en place dans les 6 mois
Gestion des ressources humaines [RH]
un RSSI (Responsable Sécurité du Système d’Information)
Complément : Des CSSI par directions et domaines techniques, des référents SSI par etbs du GHT : une équipe
transverse formée à l’analyse de risques des « veilleurs » et relais
Charte utilisateur annexée au règlement intérieur
Solution : adaptation fiche HN en GT passage par les instances : opposable, communiquée
Organisation [ORG]
Cartographie /inventaire à jour de votre établissement (postes de travail, serveurs, équipements réseaux,
équipements biomédicaux…)
Solution : des outils (GLPI, OCS, ..) souvent différents DSI/Biomed/DT. Avoir a minima accès à tous en gestion de
crise/incident. Mise à jour la plus automatisée possible
Une procédure de signalement et de traitement des incidents de sécurité SI article L. 1111-8-2 du code de la santé
publique
Solution :Intégrée à la gestion incident (ITIL) escalade/gestion de crise (manuel /fiche reflexe)
P. Tourron – Tous droits réservés
Mesures de priorité 1 à mettre en place dans les 6 mois
Gestion du poste de travail [PC]
Tous les postes de travail sont protégés par un antivirus, les postes nomades étant, équipés d’un pare-feu local
Solution: masters conformes, chiffrement des postes nomades
Difficultés : Biomed : complexe (incompatibilité, maintenance/exploitation externalisées) solutions : protections
périmétriques matériels et logiciels (boîtier réseau filtrage attaques et virus, logiciel anti-exploit, FW niveau 7o, …)
Gestion des comptes utilisateurs [USER]
Mots de passe utilisés robustes (respectent les recommandation de la CNIL) et sont renouvelés périodiquement.
Solution : 8 car 4 familles chgt /6 mois; CPE ou 12 car/3 mois pour administrateurs. Intégration de la CPS / Carte pro
quand facilite la sécurité (Urgences, Réa, DIM, DSI)
Difficulté : mot de passe initial/perte/des cas de besoins génériques à encadrer et limiter : modes dégradés, blocs,
machines de monitoring .
Solutions : questions secrètes, sms pour réinitialisation, limitation cptes génériques aux postes dédiés, droits
restreints, gestion sécurisée pour la communication du mot de passe
Gestion des sauvegardes [SAUV]
Plan de sauvegardes régulièrement testées.
Difficultés : Exhaustivité impossible en allant jusqu’au test fonctionnel lourd
Solutions : plan de test tournant pour applications critiques et typologies représentatives, un plan d’audit permet de
gérer l’amélioration continue
P. Tourron – Tous droits réservés
Mesures de priorité 2 à mettre en place dans les 12 mois
Organisation [ORG]
Procédure d’appréciation du risque avant toute mise en production d’une application informatique (homologation)
Solutions :
• FASSI (Fiche Analyse SSI) pour tous projets et changements non standards (ITIL) et CCTP sécurité REF-000
• Pour analyse simplifiée (DICP) et détecter besoin homologation RGS, démarche CNIL et RGPD/PIA
• Revue de risque mensuelle (ISO27001)
Gestion du poste de travail [PC]
Un plan de mise à jour des postes de travail dans leur dernière version de système d’exploitation
Solutions : Parc DSI, plan « simple » déploiement automatiques des patch de sécurité
Difficultés : Traiter les bugs de Maj et parc complexes (Biomed, technique) nécessitant validation éditeurs, mainteneurs
Solutions : outils de contrôle de conformité/anomalies, vulnérabilités/protection périmétriques
Maintien en conditions de sécurité de l’ensemble des systèmes numériques est prise en charge par votre RSSI et votre DSI
(postes de travail, serveurs, équipements actifs, équipements biomédicaux…) notamment en appliquant les mises à jour
proposées par les éditeurs et constructeurs
Difficultés : Pb de qualification des applications , arrêt des applications pour mises à jour,
Solutions : intégrer les contraintes dans les cctp (maj, tests de non régression) REF-000, créneau de patch management
négocié avec direction et CME, protections périmétriques
P. Tourron – Tous droits réservés
Mesures de priorité 2 à mettre en place dans les 12 mois
Gestion des réseaux [RES]
Garantir l’identification et la protection de tous les accès à internet et de télémaintenance, moyens techniques paramétré de
manière adaptée et maintenus pour le faire
Difficultés : Pb du biomed avec des solutions packagées constructeurs et ouverture de liens souvent permanents pour monitoring
voire maintenance
Solution : proxy, reverse proxy, vpn, bastion d’administration , centralisation et corrélation des traces, formation des administrateurs
Sécurisation du wifi et la séparation des réseaux professionnels et des réseaux invités
Solution : séparer les usages et les réseaux , automatiser les vpn y compris en interne pour le wifi
Gestion des comptes utilisateurs [USER]
comptes utilisateurs avec profils et droits différentiés selon le principe du moindre privilège (utilisateur, prestataire,
administrateur…)
Solution : politique d’habilitation, audit et revues d’habilitation dépendant aussi des éditeurs (label sécurité souhaitable cf REF-000)
Gestion des ressources humaines [RH]
formation SSI et l’inscription d’au moins une action de sensibilisation à la SSI sont bien inscrite dans le plan de formation
Solution : sessions types : sensibilisation encadrement, SSI biomédical, gestion des risques, gestion de crise … extension au GHT
(environ 300 personnes formées). E-learning (1500 personnes formées, utilisation mixte)
P. Tourron – Tous droits réservés
Mesures de priorité 3 à mettre en place dans les 18 mois
Gestion des réseaux [RES]
Mettre en œuvre un cloisonnement du réseau de la structure par grandes familles d’usage (administration, paie, plateau technique…) et par niveaux de sécurité
homogènes
Difficultés : Existant souvent complexe à faire évoluer
Solutions : mise en place sur le périmètre restreint agréé HDS puis extension progressive , intégrer du filtrage sur le LAN, changer les habitudes de gestion des
réseaux (à « plat »)
Enregistrement et analyse des traces d’accès au système d’information
Solution : outil de centralisation et corrélation des traces (SIEM) , construire des alertes , rapports et procédures de traitement
Gestion des contrats de sous-traitance SI [PRESTA]
Encadrement contractuel de tous les accès par des prestataires, au réseau de votre établissement et la vérification des clauses de réversibilité
Solution : Annexe CCTP SSI REF-000 pour nouveaux marchés, avenant pour les anciens (complexe pour les conventions, les centrales d’achat)
Organisation [ORG]
Réaliser et tenir à jour une analyse des risques SI de votre établissement
Solution : outils et méthode Ebios (démarche intégrée à l’agrément HDS et à la certification ISO27001 mais aussi à l’homologation RGS et au PIA du RGPD)
Définir et mettre en œuvre un plan d’action associé validés par les instances de gouvernance de votre établissement. engagement chaque année, sur la réduction
d’un nombre limité de risques
Solution : intégré à ISO 27001 et inscrire la gestion des risques dans le SDSI, revue d’avancement et la validation du SDSI intègrent de fait l’engagement sur la
réduction des risques par la direction
P. Tourron – Tous droits réservés
Pour continuer : Références
Publication dans la revue Gestion Hospitalière, (avril 2017) « La
sécurité numérique en environnement hospitalier »
Publication (FIC newsletter, Forum International de la Cyber sécurité -
July 2017) « la gestion de crise une réponse agile aux menaces sur les
systèmes critiques de santé : https://www.observatoire-fic.com/la-
gestion-de-crise-ssi-une-reponse-agile-aux-menaces-sur-les-
systemes-critiques-de-sante/
Publication “La donnée de santé face au RGPD” (SECEM magazine -
Oct 2017) ; http://secem.fr/secem-magazine/
P. Tourron – Tous droits réservés
MERCI DE VOTRE PARTICIPATION
DEBAT / QUESTIONS

Contenu connexe

Tendances

Tendances (20)

2016 12-14 colloque ssi-mise en oeuvre et responsabilités des établissements
2016 12-14 colloque ssi-mise en oeuvre et responsabilités des établissements2016 12-14 colloque ssi-mise en oeuvre et responsabilités des établissements
2016 12-14 colloque ssi-mise en oeuvre et responsabilités des établissements
 
HIT 2017 - ASIP Santé - Atelier N°9 Lancer une application e-santé les bon...
HIT 2017 - ASIP Santé - Atelier N°9   Lancer une application e-santé  les bon...HIT 2017 - ASIP Santé - Atelier N°9   Lancer une application e-santé  les bon...
HIT 2017 - ASIP Santé - Atelier N°9 Lancer une application e-santé les bon...
 
2016 12-14 colloque ssi-le rssi as a service
2016 12-14 colloque ssi-le rssi as a service2016 12-14 colloque ssi-le rssi as a service
2016 12-14 colloque ssi-le rssi as a service
 
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
 
2016 12-14 colloque-ssi_présentation du plan ssi
2016 12-14 colloque-ssi_présentation du plan ssi2016 12-14 colloque-ssi_présentation du plan ssi
2016 12-14 colloque-ssi_présentation du plan ssi
 
2016 12-14 colloque ssi-retour d'expérience réussie en alsace en ssi par une ...
2016 12-14 colloque ssi-retour d'expérience réussie en alsace en ssi par une ...2016 12-14 colloque ssi-retour d'expérience réussie en alsace en ssi par une ...
2016 12-14 colloque ssi-retour d'expérience réussie en alsace en ssi par une ...
 
2016 12-14 colloque ssi-règlement e_isas_identification électronique et servi...
2016 12-14 colloque ssi-règlement e_isas_identification électronique et servi...2016 12-14 colloque ssi-règlement e_isas_identification électronique et servi...
2016 12-14 colloque ssi-règlement e_isas_identification électronique et servi...
 
HIT 2017 - ASIP Santé - Atelier N°13 Présentation du dispositif d'accompagnem...
HIT 2017 - ASIP Santé - Atelier N°13 Présentation du dispositif d'accompagnem...HIT 2017 - ASIP Santé - Atelier N°13 Présentation du dispositif d'accompagnem...
HIT 2017 - ASIP Santé - Atelier N°13 Présentation du dispositif d'accompagnem...
 
2016 12-14 colloque ssi-les apports de la loi de santé au soutien de la démat...
2016 12-14 colloque ssi-les apports de la loi de santé au soutien de la démat...2016 12-14 colloque ssi-les apports de la loi de santé au soutien de la démat...
2016 12-14 colloque ssi-les apports de la loi de santé au soutien de la démat...
 
2013-11-21 ASIP Santé JNI "Point d’avancement PGSSI Santé"
2013-11-21 ASIP Santé JNI "Point d’avancement PGSSI Santé"2013-11-21 ASIP Santé JNI "Point d’avancement PGSSI Santé"
2013-11-21 ASIP Santé JNI "Point d’avancement PGSSI Santé"
 
HIT 2017 - ASIP Santé - Ateliers N°5/8/15 - A vos marques, prêts, MSSanté : ...
HIT 2017 - ASIP Santé - Ateliers N°5/8/15  - A vos marques, prêts, MSSanté : ...HIT 2017 - ASIP Santé - Ateliers N°5/8/15  - A vos marques, prêts, MSSanté : ...
HIT 2017 - ASIP Santé - Ateliers N°5/8/15 - A vos marques, prêts, MSSanté : ...
 
2016 12-14 colloque ssi_ une sous-traitance de la ssi à forte valeur ajoutée ...
2016 12-14 colloque ssi_ une sous-traitance de la ssi à forte valeur ajoutée ...2016 12-14 colloque ssi_ une sous-traitance de la ssi à forte valeur ajoutée ...
2016 12-14 colloque ssi_ une sous-traitance de la ssi à forte valeur ajoutée ...
 
2015-05-19 Atelier N°4 INVS SSA 2015 "e-DO : Nouvel outil de télé-déclaration...
2015-05-19 Atelier N°4 INVS SSA 2015 "e-DO : Nouvel outil de télé-déclaration...2015-05-19 Atelier N°4 INVS SSA 2015 "e-DO : Nouvel outil de télé-déclaration...
2015-05-19 Atelier N°4 INVS SSA 2015 "e-DO : Nouvel outil de télé-déclaration...
 
2013-11-21 ASIP Santé JNI "CPS et dispositifs équivalents"
2013-11-21 ASIP Santé JNI "CPS et dispositifs équivalents"2013-11-21 ASIP Santé JNI "CPS et dispositifs équivalents"
2013-11-21 ASIP Santé JNI "CPS et dispositifs équivalents"
 
2016 12-14 colloque ssi-loi informatique et libertés _ évolution
2016 12-14 colloque ssi-loi informatique et libertés _ évolution2016 12-14 colloque ssi-loi informatique et libertés _ évolution
2016 12-14 colloque ssi-loi informatique et libertés _ évolution
 
2015-05-20 Atelier N°9 SSA 2015 "Portail commun des vigilances : enjeux et gr...
2015-05-20 Atelier N°9 SSA 2015 "Portail commun des vigilances : enjeux et gr...2015-05-20 Atelier N°9 SSA 2015 "Portail commun des vigilances : enjeux et gr...
2015-05-20 Atelier N°9 SSA 2015 "Portail commun des vigilances : enjeux et gr...
 
HIT 2017 - ASIP Santé - Atelier N°6 Actualité et label formation PGSSI-S
HIT 2017 - ASIP Santé - Atelier N°6 Actualité et label formation PGSSI-SHIT 2017 - ASIP Santé - Atelier N°6 Actualité et label formation PGSSI-S
HIT 2017 - ASIP Santé - Atelier N°6 Actualité et label formation PGSSI-S
 
2015-05-19 Atelier N°2 SSA 2015 "MSSanté : avancement et retours d'expérience"
2015-05-19 Atelier N°2 SSA 2015 "MSSanté : avancement et retours d'expérience"2015-05-19 Atelier N°2 SSA 2015 "MSSanté : avancement et retours d'expérience"
2015-05-19 Atelier N°2 SSA 2015 "MSSanté : avancement et retours d'expérience"
 
2016-10-13 JNI - "actualites"
2016-10-13 JNI - "actualites"2016-10-13 JNI - "actualites"
2016-10-13 JNI - "actualites"
 
2015-05-21 Atelier N°13 SSA 2015 "MSSanté : développer les usages de la messa...
2015-05-21 Atelier N°13 SSA 2015 "MSSanté : développer les usages de la messa...2015-05-21 Atelier N°13 SSA 2015 "MSSanté : développer les usages de la messa...
2015-05-21 Atelier N°13 SSA 2015 "MSSanté : développer les usages de la messa...
 

Similaire à 20171129-4 colloque ssi-plan d'action ssi

Similaire à 20171129-4 colloque ssi-plan d'action ssi (20)

Sécurité vs Continuité -rev2-
Sécurité vs Continuité -rev2-Sécurité vs Continuité -rev2-
Sécurité vs Continuité -rev2-
 
Séminaire SÉCURITÉ DES SYSTÈMES D’INFORMATION, SYNTHÈSE - ORSYS Formation
Séminaire SÉCURITÉ DES SYSTÈMES D’INFORMATION, SYNTHÈSE - ORSYS FormationSéminaire SÉCURITÉ DES SYSTÈMES D’INFORMATION, SYNTHÈSE - ORSYS Formation
Séminaire SÉCURITÉ DES SYSTÈMES D’INFORMATION, SYNTHÈSE - ORSYS Formation
 
Competitic - Identifier et Protéger vos données sensibles
Competitic - Identifier et Protéger vos données sensiblesCompetitic - Identifier et Protéger vos données sensibles
Competitic - Identifier et Protéger vos données sensibles
 
2015-09-24 ASIP Santé RIR "Territoires de soins numériques OIIS - Point d'ava...
2015-09-24 ASIP Santé RIR "Territoires de soins numériques OIIS - Point d'ava...2015-09-24 ASIP Santé RIR "Territoires de soins numériques OIIS - Point d'ava...
2015-09-24 ASIP Santé RIR "Territoires de soins numériques OIIS - Point d'ava...
 
Asip telecom paristech
Asip   telecom paristech Asip   telecom paristech
Asip telecom paristech
 
Asip telecom paristech v2
Asip   telecom paristech v2Asip   telecom paristech v2
Asip telecom paristech v2
 
Asip telecom paristech v2
Asip   telecom paristech v2Asip   telecom paristech v2
Asip telecom paristech v2
 
Asip telecom paristech v2
Asip   telecom paristech v2Asip   telecom paristech v2
Asip telecom paristech v2
 
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
Atelier Gdpr/ RGPD du Brunch Info avec David Blampain / Mons 2018
 
Sécurité & Continuité
Sécurité & ContinuitéSécurité & Continuité
Sécurité & Continuité
 
2011 12 08 securite et plan de reprise d'activite by competitic
2011 12 08 securite et plan de reprise d'activite by competitic2011 12 08 securite et plan de reprise d'activite by competitic
2011 12 08 securite et plan de reprise d'activite by competitic
 
CoursSdF.pdf
CoursSdF.pdfCoursSdF.pdf
CoursSdF.pdf
 
Workshop spécial données de santé & RGPD par la CNIL
Workshop spécial données de santé & RGPD par la CNILWorkshop spécial données de santé & RGPD par la CNIL
Workshop spécial données de santé & RGPD par la CNIL
 
French acreditation process homologation 2010-01-19
French acreditation process homologation   2010-01-19French acreditation process homologation   2010-01-19
French acreditation process homologation 2010-01-19
 
RESUMT_1.PDF
RESUMT_1.PDFRESUMT_1.PDF
RESUMT_1.PDF
 
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdfresume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1
 
Presentation club qualite
Presentation club qualitePresentation club qualite
Presentation club qualite
 
Competitic sécurite informatique - numerique en entreprise
Competitic   sécurite informatique - numerique en entrepriseCompetitic   sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entreprise
 
Gouvernance de la sécurite des Systèmes d'Information Volet-2
Gouvernance de la sécurite des Systèmes d'Information Volet-2Gouvernance de la sécurite des Systèmes d'Information Volet-2
Gouvernance de la sécurite des Systèmes d'Information Volet-2
 

Plus de ASIP Santé

Plus de ASIP Santé (20)

Feuille de route " Accélérer le virage numérique "
Feuille de route " Accélérer le virage numérique " Feuille de route " Accélérer le virage numérique "
Feuille de route " Accélérer le virage numérique "
 
Présentation " Accélérer le virage numérique "
Présentation " Accélérer le virage numérique "Présentation " Accélérer le virage numérique "
Présentation " Accélérer le virage numérique "
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationColloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationColloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationColloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information
 
Point d'information sur les prochains marchés de l'ASIP Santé
Point d'information sur les prochains marchés de l'ASIP SantéPoint d'information sur les prochains marchés de l'ASIP Santé
Point d'information sur les prochains marchés de l'ASIP Santé
 
L'offre de l'ASIP Santé au service des industriels
L'offre de l'ASIP Santé au service des industrielsL'offre de l'ASIP Santé au service des industriels
L'offre de l'ASIP Santé au service des industriels
 
Connectathon - IHE Europe
Connectathon - IHE EuropeConnectathon - IHE Europe
Connectathon - IHE Europe
 
Identification des acteurs de santé : évolutions des services d'annuaire
Identification des acteurs de santé : évolutions des services d'annuaireIdentification des acteurs de santé : évolutions des services d'annuaire
Identification des acteurs de santé : évolutions des services d'annuaire
 
Utilisation du NIR en tant qu'Identifiant National de Santé (INS)
Utilisation du NIR en tant qu'Identifiant National de Santé (INS)Utilisation du NIR en tant qu'Identifiant National de Santé (INS)
Utilisation du NIR en tant qu'Identifiant National de Santé (INS)
 
Actualité juridique de la e-santé
Actualité juridique de la e-santé Actualité juridique de la e-santé
Actualité juridique de la e-santé
 
20181024 reunion information_marche_deploiement
20181024 reunion information_marche_deploiement20181024 reunion information_marche_deploiement
20181024 reunion information_marche_deploiement
 
20171221-1 jni-mssanté
20171221-1 jni-mssanté20171221-1 jni-mssanté
20171221-1 jni-mssanté
 
20171221-2 jni-interoperabilite
20171221-2 jni-interoperabilite20171221-2 jni-interoperabilite
20171221-2 jni-interoperabilite
 
20171221-3 jni-igcsante
20171221-3 jni-igcsante20171221-3 jni-igcsante
20171221-3 jni-igcsante
 
20171221-4 jni-nir-ins
20171221-4 jni-nir-ins20171221-4 jni-nir-ins
20171221-4 jni-nir-ins
 
20171221-6 jni-marches
20171221-6 jni-marches20171221-6 jni-marches
20171221-6 jni-marches
 

Dernier

Dernier (7)

La radiothérapie.pptx les différents principes et techniques en radiothérapie
La radiothérapie.pptx les différents principes et techniques en radiothérapieLa radiothérapie.pptx les différents principes et techniques en radiothérapie
La radiothérapie.pptx les différents principes et techniques en radiothérapie
 
ETUDE RETROSPECTIVE DE GOITRE MULTIHETERONODULAIRE TOXIQUE CHEZ L’ADULTE, A P...
ETUDE RETROSPECTIVE DE GOITRE MULTIHETERONODULAIRE TOXIQUE CHEZ L’ADULTE, A P...ETUDE RETROSPECTIVE DE GOITRE MULTIHETERONODULAIRE TOXIQUE CHEZ L’ADULTE, A P...
ETUDE RETROSPECTIVE DE GOITRE MULTIHETERONODULAIRE TOXIQUE CHEZ L’ADULTE, A P...
 
Cours sur les Dysmorphies cranio faciales .pdf
Cours sur les Dysmorphies cranio faciales .pdfCours sur les Dysmorphies cranio faciales .pdf
Cours sur les Dysmorphies cranio faciales .pdf
 
LES TECHNIQUES ET METHODES EN BIOLOGIE MÉDICALE.pdf
LES TECHNIQUES ET METHODES  EN BIOLOGIE MÉDICALE.pdfLES TECHNIQUES ET METHODES  EN BIOLOGIE MÉDICALE.pdf
LES TECHNIQUES ET METHODES EN BIOLOGIE MÉDICALE.pdf
 
Biochimie metabolique METUOR DABIRE_pdf.pdf
Biochimie metabolique METUOR DABIRE_pdf.pdfBiochimie metabolique METUOR DABIRE_pdf.pdf
Biochimie metabolique METUOR DABIRE_pdf.pdf
 
Guide bonne pratique fabrication domaine pharmaceutique.pdf
Guide bonne pratique fabrication domaine pharmaceutique.pdfGuide bonne pratique fabrication domaine pharmaceutique.pdf
Guide bonne pratique fabrication domaine pharmaceutique.pdf
 
Artificial intelligence and medicine by SILINI.pptx
Artificial intelligence and medicine by SILINI.pptxArtificial intelligence and medicine by SILINI.pptx
Artificial intelligence and medicine by SILINI.pptx
 

20171129-4 colloque ssi-plan d'action ssi

  • 1. P. Tourron – Tous droits réservés 1 Philippe TOURRON RSSI-APHM 3ème COLLOQUE SSI - 29 novembre 2017 Application de l’instruction DSSIS 309 Pour gérer les risques numériques (en santé) Plan d’action SSI : mise en œuvre à l’AP-HM
  • 2. P. Tourron – Tous droits réservés PLAN Contexte Pourquoi protéger les données de santé ? Comment protéger les données de santé ? Enjeux à venir Débat questions Application de l’instruction DSSIS 309 Gérer les risques numériques (en santé)
  • 3. P. Tourron – Tous droits réservés CONTEXTE Nous sommes tous S.I. dépendants
  • 4. P. Tourron – Tous droits réservés Contexte : Sécurité numérique Enjeux majeurs : protéger les patients • Leurs soins, leur « santé » • Leurs données • Freins à la sécurisation : 30% budget, 30% absence de prise de conscience des risques, 40% (divers : applications, hétérogénéité, …) Le périmètre ? • Les logiciels (du DPI au portail patient) • Les infrastructures (des postes aux serveurs en passant par le pilotage de l’électricité), cloud … • Les moyens médicaux techniques (de l’ECG à la l’IOT de santé) -> dans l’établissement/l’entreprise -> Et au-delà Définitions : aspect
  • 5. P. Tourron – Tous droits réservés POURQUOI PROTEGER LES DONNEES DE SANTE ?
  • 6. P. Tourron – Tous droits réservés Pourquoi protéger : Sécurité numérique de la santé  Un système d’information conditionnant la qualité de soin  Un système d’information pour l’ouverture et la mobilité : L’attractivité pour les patients, les professionnels de santé, le lien ville-hôpital, l’intégration du numérique au quotidien Le mariage difficile de la disponibilité et de la confidentialité devient ainsi un enjeu stratégique.  Un contexte de cybermenaces en hausse (rançon, revente, …) Etre attaqué c’est comme tomber malade : il faut pouvoir se soigner vite et bien • Minimiser les causes et les impacts des risques SI : manager le sécurité
  • 7. P. Tourron – Tous droits réservés La logique de Système de Management SECURISER C’est MANAGER donc GOUVERNER Et au final DECIDER LA PRISE DE RISQUE au bon niveau de responsabilité Manager : revue régulière SSI et SDSI, sanctuariser des budgets Les propriétaires de risques sont ceux qui peuvent les traiter (prendre, éviter, réduire, transférer) cf ISO 27001:2013 7
  • 8. P. Tourron – Tous droits réservés COMMENT PROTEGER LES DONNEES DE SANTE ?
  • 9. P. Tourron – Tous droits réservés PLAN INSTRUCTION DSSIS 309 déclinaison APHM : en synthèse  Toutes les mesures organisationnelles : intégrées dans nos démarches et certifications ISO 27001, 9001 (ITIL) et agréments HDS : analyse de risques, prise en compte par la direction car intégrée au SDSI, RSSI et CSSI, CIL/DPD, PCA, gestion de crise (intègrant le signalement)  Passer en mode HDS pour les nouvelles applications même internes  Démarche d’homologation RGS organisée (commission, analyse, audit, décision)  Sensibiliser les utilisateurs : e-learning (conduite du projet national via CAIH : 50 activités ciblées santé), sensibilisation sécurité aux nouveaux arrivants, formation SSI pour le Biomed, gestions des risques SI au plan de formation  Charte au RI (instruction= accélérateur)  Inventaire (outils indispensables) intégrant le biomed et gestion des incidents et des changements associés (ITIL)  Augmenter le niveau et la finesse de filtrage avec les réseaux externes (ou interconnectés) et le partage de l’identification/filtrage des menaces (wildfire paloalto, anti DDOS via service chez les FAI)  Protection des accès externes : mainteneurs (bastion d’administration WAB) et utilisateurs (portail d’authentification forte CPS et OTP : WAM)  Segmentation réseaux : commencer par les zones sensibles (HDS, GTC, plateaux techniques biomed, composants non maintenus ou administrés par des tiers, …), ajuter des composants de filtrage (boîtiers stormshield)  Éliminer les systèmes obsolètes (ou les protéger en périphérie : boîtiers stormshield, logiciels malwarebyte, trend, paloalto, …)
  • 10. P. Tourron – Tous droits réservés La pédagogie SSI : Sensibiliser tous les acteurs
  • 11. P. Tourron – Tous droits réservés Sensibiliser à la SSI
  • 12. P. Tourron – Tous droits réservés La gestion des risques : 2 roues motrices 12 FIM FASSI (FIL Fiche d’Incident Majeur intégrant la recherche des causes) (FAASI : Fiche d’Analyse de la Sécurité du SI intégrant le besoin de PIA/RGPD) ACHAT
  • 13. P. Tourron – Tous droits réservés Comment protéger : Sécurité numérique en synthèse Et si finalement tout convergeait vers …? une vision de la cible à atteindre, un cadre prêt et « relativement constant », une légitimité : la gestion par les risques Un système de management de la sécurité du SI : conformité/certification ISO27001 Menaces agiles : apprendre à gérer des crises ISO 27001 - RGPD ITIL, HDS, paliers PGSSI …) Sensibilisation – e- learning, méthode - Ebios
  • 14. P. Tourron – Tous droits réservés Comment protéger : AGIR Les Freins : • Changer • Coûts • prioriser Les leviers : • La règlementation/lois : HDS évolution vers une certification • Les incidents (l’actualité) et La prise de conscience de la criticité du SI de santé sous tous ses angles (DIC … A) • Les soutiens des structures nationales (HFDS/FSSI, ASIP, ANSSI, …) et des autres • La prise de conscience de la criticité/valeur du SI et de la donnée personnelle • Des label, normes Les basics : • Sauvegarde, chiffrement, protection/privacy by design • Authentification renforcées, cloisonnement et filtrage des réseaux internes ET externes • Sécurité physique • La gestion de l’obsolescence/maintenance
  • 15. P. Tourron – Tous droits réservés EXERCICE EXERCICE EXERCICE CELLULE DE CRISE Responsable de crise : ANALYSER – DECIDER Responsable de la communication : (faire) COMMUNIQUER Chef des opérations : SCENARIOS – ORGANISER Experts : ETAT DES LIEUX – ACTIONS POSSIBLES - REALISATION Responsable de la main courante : MEMOIRE de la crise pour PILOTAGE et RETEX (preuve)
  • 16. P. Tourron – Tous droits réservés ALERTE … BLITZ CRISE 16 CONTEXTE EVENEMENTS REDOUTES SCENARIOS DE MENACES RISQUES MESURES PREVENTION RECUPERATION PROTECTION DICT ANALYSE RISQUES Les Etbs des participants attaqués en saturation DOS Corruption d’annuaire INDISPONIBILITE ACCES EXTERNE SI DES ETBS ACCES INTERNET E/S PLUS D’ACCES DEPUIS/VERS INTERNET PLUS D’ACCES INTERNE/USURPATION ? IMPACTS : HDS ?/APPLI SAS?/COM IMPACTS : AUCUNE APPLI ACCESSIBLE/VOL DISPO CONSERVER ANNUAIRE SAIN ISOLER NEUTRALISER AVEC FNS ACCES RESTAURER SAUVEGARDE AD ANNUAIRES INDISPONIBILITE ACCES INTERNES INTEGRITE ! ALERTER ! TRACES/PL AINTE ISOLER NEUTRALISER Ph. Tourron
  • 17. P. Tourron – Tous droits réservés FIN EXERCICE Gérer les crises = Gérer les risques à grande vitesse •Se préparer à l’imprévu •S’organiser pour décider •S’organiser pour (ré)agir … vite Des rôles, un entrainement, des reflexes, des procédures Permet de rendre pragmatique et opérationnel les PCA/PRA
  • 18. P. Tourron – Tous droits réservés Quelques conseils Extrait article Gestion Hospitalière avril 2017, P.Tourron cf références en fin de présentation
  • 19. P. Tourron – Tous droits réservés ENJEUX A VENIR Au-delà du plan SSI
  • 20. P. Tourron – Tous droits réservés ENJEUX à venir : Sécurité numérique de santé = des opportunités, une valeur ajoutée La signature numérique, le chiffrement, l’authentification forte La sécurité numérique : valeur ajoutée pour la confiance numérique Rends possible (conformité/fiabilité) : • L’identité numérique (pour l’accès aux données et aux dispositifs) pour les personnes, pour les logiciels, pour les appareils médicaux • La dématérialisation : la preuve numérique • La communication sécurisée (IOT, cloud, …) • Les soins/télémédecine à distance Tout en veillant à …
  • 21. P. Tourron – Tous droits réservés DETAIL DES MESURES DU PLAN Instruction DSSIS 309
  • 22. P. Tourron – Tous droits réservés Mesures de priorité 1 à mettre en place dans les 6 mois Gestion des ressources humaines [RH] un RSSI (Responsable Sécurité du Système d’Information) Complément : Des CSSI par directions et domaines techniques, des référents SSI par etbs du GHT : une équipe transverse formée à l’analyse de risques des « veilleurs » et relais Charte utilisateur annexée au règlement intérieur Solution : adaptation fiche HN en GT passage par les instances : opposable, communiquée Organisation [ORG] Cartographie /inventaire à jour de votre établissement (postes de travail, serveurs, équipements réseaux, équipements biomédicaux…) Solution : des outils (GLPI, OCS, ..) souvent différents DSI/Biomed/DT. Avoir a minima accès à tous en gestion de crise/incident. Mise à jour la plus automatisée possible Une procédure de signalement et de traitement des incidents de sécurité SI article L. 1111-8-2 du code de la santé publique Solution :Intégrée à la gestion incident (ITIL) escalade/gestion de crise (manuel /fiche reflexe)
  • 23. P. Tourron – Tous droits réservés Mesures de priorité 1 à mettre en place dans les 6 mois Gestion du poste de travail [PC] Tous les postes de travail sont protégés par un antivirus, les postes nomades étant, équipés d’un pare-feu local Solution: masters conformes, chiffrement des postes nomades Difficultés : Biomed : complexe (incompatibilité, maintenance/exploitation externalisées) solutions : protections périmétriques matériels et logiciels (boîtier réseau filtrage attaques et virus, logiciel anti-exploit, FW niveau 7o, …) Gestion des comptes utilisateurs [USER] Mots de passe utilisés robustes (respectent les recommandation de la CNIL) et sont renouvelés périodiquement. Solution : 8 car 4 familles chgt /6 mois; CPE ou 12 car/3 mois pour administrateurs. Intégration de la CPS / Carte pro quand facilite la sécurité (Urgences, Réa, DIM, DSI) Difficulté : mot de passe initial/perte/des cas de besoins génériques à encadrer et limiter : modes dégradés, blocs, machines de monitoring . Solutions : questions secrètes, sms pour réinitialisation, limitation cptes génériques aux postes dédiés, droits restreints, gestion sécurisée pour la communication du mot de passe Gestion des sauvegardes [SAUV] Plan de sauvegardes régulièrement testées. Difficultés : Exhaustivité impossible en allant jusqu’au test fonctionnel lourd Solutions : plan de test tournant pour applications critiques et typologies représentatives, un plan d’audit permet de gérer l’amélioration continue
  • 24. P. Tourron – Tous droits réservés Mesures de priorité 2 à mettre en place dans les 12 mois Organisation [ORG] Procédure d’appréciation du risque avant toute mise en production d’une application informatique (homologation) Solutions : • FASSI (Fiche Analyse SSI) pour tous projets et changements non standards (ITIL) et CCTP sécurité REF-000 • Pour analyse simplifiée (DICP) et détecter besoin homologation RGS, démarche CNIL et RGPD/PIA • Revue de risque mensuelle (ISO27001) Gestion du poste de travail [PC] Un plan de mise à jour des postes de travail dans leur dernière version de système d’exploitation Solutions : Parc DSI, plan « simple » déploiement automatiques des patch de sécurité Difficultés : Traiter les bugs de Maj et parc complexes (Biomed, technique) nécessitant validation éditeurs, mainteneurs Solutions : outils de contrôle de conformité/anomalies, vulnérabilités/protection périmétriques Maintien en conditions de sécurité de l’ensemble des systèmes numériques est prise en charge par votre RSSI et votre DSI (postes de travail, serveurs, équipements actifs, équipements biomédicaux…) notamment en appliquant les mises à jour proposées par les éditeurs et constructeurs Difficultés : Pb de qualification des applications , arrêt des applications pour mises à jour, Solutions : intégrer les contraintes dans les cctp (maj, tests de non régression) REF-000, créneau de patch management négocié avec direction et CME, protections périmétriques
  • 25. P. Tourron – Tous droits réservés Mesures de priorité 2 à mettre en place dans les 12 mois Gestion des réseaux [RES] Garantir l’identification et la protection de tous les accès à internet et de télémaintenance, moyens techniques paramétré de manière adaptée et maintenus pour le faire Difficultés : Pb du biomed avec des solutions packagées constructeurs et ouverture de liens souvent permanents pour monitoring voire maintenance Solution : proxy, reverse proxy, vpn, bastion d’administration , centralisation et corrélation des traces, formation des administrateurs Sécurisation du wifi et la séparation des réseaux professionnels et des réseaux invités Solution : séparer les usages et les réseaux , automatiser les vpn y compris en interne pour le wifi Gestion des comptes utilisateurs [USER] comptes utilisateurs avec profils et droits différentiés selon le principe du moindre privilège (utilisateur, prestataire, administrateur…) Solution : politique d’habilitation, audit et revues d’habilitation dépendant aussi des éditeurs (label sécurité souhaitable cf REF-000) Gestion des ressources humaines [RH] formation SSI et l’inscription d’au moins une action de sensibilisation à la SSI sont bien inscrite dans le plan de formation Solution : sessions types : sensibilisation encadrement, SSI biomédical, gestion des risques, gestion de crise … extension au GHT (environ 300 personnes formées). E-learning (1500 personnes formées, utilisation mixte)
  • 26. P. Tourron – Tous droits réservés Mesures de priorité 3 à mettre en place dans les 18 mois Gestion des réseaux [RES] Mettre en œuvre un cloisonnement du réseau de la structure par grandes familles d’usage (administration, paie, plateau technique…) et par niveaux de sécurité homogènes Difficultés : Existant souvent complexe à faire évoluer Solutions : mise en place sur le périmètre restreint agréé HDS puis extension progressive , intégrer du filtrage sur le LAN, changer les habitudes de gestion des réseaux (à « plat ») Enregistrement et analyse des traces d’accès au système d’information Solution : outil de centralisation et corrélation des traces (SIEM) , construire des alertes , rapports et procédures de traitement Gestion des contrats de sous-traitance SI [PRESTA] Encadrement contractuel de tous les accès par des prestataires, au réseau de votre établissement et la vérification des clauses de réversibilité Solution : Annexe CCTP SSI REF-000 pour nouveaux marchés, avenant pour les anciens (complexe pour les conventions, les centrales d’achat) Organisation [ORG] Réaliser et tenir à jour une analyse des risques SI de votre établissement Solution : outils et méthode Ebios (démarche intégrée à l’agrément HDS et à la certification ISO27001 mais aussi à l’homologation RGS et au PIA du RGPD) Définir et mettre en œuvre un plan d’action associé validés par les instances de gouvernance de votre établissement. engagement chaque année, sur la réduction d’un nombre limité de risques Solution : intégré à ISO 27001 et inscrire la gestion des risques dans le SDSI, revue d’avancement et la validation du SDSI intègrent de fait l’engagement sur la réduction des risques par la direction
  • 27. P. Tourron – Tous droits réservés Pour continuer : Références Publication dans la revue Gestion Hospitalière, (avril 2017) « La sécurité numérique en environnement hospitalier » Publication (FIC newsletter, Forum International de la Cyber sécurité - July 2017) « la gestion de crise une réponse agile aux menaces sur les systèmes critiques de santé : https://www.observatoire-fic.com/la- gestion-de-crise-ssi-une-reponse-agile-aux-menaces-sur-les- systemes-critiques-de-sante/ Publication “La donnée de santé face au RGPD” (SECEM magazine - Oct 2017) ; http://secem.fr/secem-magazine/
  • 28. P. Tourron – Tous droits réservés MERCI DE VOTRE PARTICIPATION DEBAT / QUESTIONS