Cybersécurité : Visualiser Comprendre Décider - Rapport Cigref 2018
gouvernance cyber est portée par un manager qui couvre l'ensemble des activités Rapport et indicateurs du tableau de bord cybersécurité pour le COMEX .
Pour une cybersécurité
15 Oct 2020 apaisées repose en matière de cybersécurité sur une inclination vers des ... Cybermenaces : la transition numérique ... referentiel-docu-.
RAPPORT SPÉCIAL MANDIANT
Retrouvez d'autres indicateurs importants concernant la détection par source les secteurs d'activité ciblés
Connaître vos risques pour mieux y faire face
17 Feb 2022 Les référentiels de sécurité comme moyen d'avancer ... Le nombre de cyber-attaques recensées aurait progressé de 38% dans le monde en 2015 ...
Présentation PowerPoint
30 Jan 2018 Risques et menaces cyber : catégories de prédateurs et faiblesse des ... Constituer un référentiel d'évaluation de la cyber résilience des ...
The CyberPeace Institute
14 Mar 2021 1.1 La convergence des menaces contre le secteur médical. 29. 1.2 La santé représente une cible de choix. 30. 1.3 La cybersécurité dans le ...
![Connaître vos risques pour mieux y faire face Connaître vos risques pour mieux y faire face](https://pdfprof.com/Listes/20/9414-20dgos_memento_ssi_131117.pdf.pdf.jpg)
Mémento
àl'usage
dudirecteur d'établissementdesantéConnaîtrevosrisques
pourmieuxyfairefaceCybersécuritéédition2017
Vulnérabilités
Protectiondeladonnée
Gouvernance
Pilotageetcontrôle
2CeguideestͲilfaitpourvous?
Vouspouvez,peutͲ
êtreactualiservos
connaissancesen lisantcemémentoN'hésitez
pas cemémentoest faitpourvous! 3Le mot de la directrice générale
de l'offre de soins numériquefavoriseeneffetl'échange, lepartage,etdoncle d'information. confiance. les de enoeuvre.»disponibleàlafin
BonneLecture,
CécileCourrèges
4En Bref
sécurité. caractèrepersonnelconcernantla joursetquiconcerneSilepremierpasvers
de d'information,dûmentmandaté.Santé,
er octobre2017,ildispose desonsystèmed'information. 5Tabledesmatières
Vulnérabilité
1. L'universnumériquequientourelepatients'accroîtsanscesse6
2. Lessystèmesd'informationvousfontͲilsprendredesrisquesinconsidérés?8
3. L'engagementdansunedémarchedegestiondesrisquesnumériques10
4. L'incidentdesécurité12
Protectiondeladonnée
5. Lenouveaurèglementeuropéendéfinitlesdonnéesdesanté14
6. Laresponsabilisationdesacteursetleconsentementdespersonnes16
7. L'hébergementdesdonnéesdesanté18
8. Disponibilité,intégrité,confidentialitéetpreuve20
9. HôpitalNumérique:poserunsocledesécuritédebaseincontournable22
Gouvernance
10. L'organisationcollective:premierpasverslaréductiondesrisques24
11. Lesréférentielsdesécuritécommemoyend'avancer26
12. Lescertifications:del'incitationaucontrôle28
Pilotageetcontrôle
13. Ladémarchedesignalementdesincidentsdesécurité30
14. Lagestiondesrisquescommemoteurdel'améliorationcontinue32
Remerciements39
6L'univers numérique qui entoure le patient
s'accroît sans cesse d'accompagnerlemieuxpossiblepour entirertouslesbénéfices sanss'exposeràdenouveauxrisques.Latransitionnumériquetouchetousles
directaveclaproductiondessoins,queceux fonctionnementdel'hôpital notrequotidienLesrisqueslesplusélevésconcernent
unvéritablepatrimoine,deplusenplus convoité.Ildevientdoncessentiel votreétablissementafinderéduireles peuventêtreexposées. cesse,laprisedeconscienceest essentielleIlestimportantdegérerlerisquecommeun
deceguideestdevousaideràenpercevoir touslesenjeuxetàvousorienterdansla miseenplacedesoutilsdepilotage,les actionsd'auditetdesuivi.Lebut dela gestiondesrisquesdoitresterlaprotection dupatient,devoséquipes,etdevousͲ même.Lesprogrammesnationauxetles
orientationsdepolitique publiquesoutiennentla transitionnumériquedansle secteurdelasanté,citonsàtitre d'exemple: - LeprogrammeHôpitalNumérique
- LesprojetsTerritoirede soinsnumériques - LamiseenplacedesGroupementsHospitaliersde
Territoiredanslecadredela
loidemodernisationde notresystèmedesanté 1Vulnérabilité
7 l'affairede d'informationdel'établissement. environnementmatérielimmédiat.MédecinsChirurgie
LABMDispositifs
médicauxactifsMédicaments
Stérilisation
Dispositifsmédicauxpassifs
Horodatage
Dossier
Patient
Dispositifsmédicauxpassifs
Climatisation
StocksPhysiques
Contrôleenvironnement
Climatisation
Médecins
prélèvementsMédecins
commandes commandes LABMMédecins
Energie
Energie
Planning
Dossier
Patient
Energie
Armoire
Pharmacie
Lecteurs
codesbarreLecteurs
codesbarre commandesArmoire
Pharmacie
Imagerie
8 Les systèmes d'information vous font-ils prendre des risques inconsidérés ? outilsqu'ils utilisentchaquejour.LaprogressionréelleduDossierPatient
enplussurlesystèmed'information(SI). duresteduréseauinformatiquetendà disparaître.Lepilotagedeceséquipementset
lesdonnéestraitéessetrouventdonc d'Information(SI). travail...maiselleestaussiporteusede nouveauxrisquesetdenouvellescontraintes.Ainsi,lamiseenplaceduDPI
doitêtre adaptéeauxexigencesfixéesparUndysfonctionnementduSIentraînantun
impactfortsurunepriseencharged'un patient.Qu'estͲcequ'unrisque?
C'estunscénarioquicombine:
- Unévénementredoutéet - Uneouplusieursmenaces.Onestimesonniveaupar:
- Sagravité(hauteurdes impacts) - Savraisemblance (possibilitéqu'ilseréalise) 2Vulnérabilité
9établissementsdesanté
Lesrisques
Lesdangers
Les vulnérabilitésUnesituation
dangereuse créeune menaceLaréalisation
d'unévénement
redouté causel'incident desécuritéIncidentde
sécuritéUnvirus
informatiqueen circulationUnemiseàjourou
uncorrectifnon appliquéL'ouvertured'une
piècejointeL'arrivéeduvirus
danslesystèmePlusd'accèspossible
audossierpatientTouslesfichiersdes
serveurs informatiquessont cryptésDésorganisationde
lapriseenchargedu patientImpactsurla
sécuritédu patient 10L'engagement dans une démarche de gestion
des risques numériques est une réelle opportunité de mieux accompagner l'évolution de son établissement culturedesécuritédessoins,il s'agitdefairedelasécuritéune managers» 1 systèmed'informationdevientaussiune exigence qualitédessoins.Ilestdoncdelaresponsabilitédu
directeurdessoins,directeurdesressources d'établissements)delapromouvoirTémoignage
"Dansunétablissementd'un groupedecliniques:Suiteau licenciementdifficiled'uninfirmier, cedernier,viasaconnaissancedes identifiantsetmotsdepassede médecins,aprocédéàde nombreusesprescriptionssans fondementobligeantlecorps médicalàvérifierchaque prescriptionfaiteaucoursdes dernièressemaines» déléguée. 3Vulnérabilité
1Source:https://www.hasͲsante.fr
11évaluerlesimpactspotentiels
possiblelesimpacts. mesurésdanstoutesleurscomposantes. environnementsetdesexigencesdespatients.Stratégique
Lerisqueopérationnelmetenjeutoutesles
l'établissement.Opérationnel
réputationdel'établissement. Image directementlereprésentantlégal.Juridique
auxamendes,etc.Financier
peuttoucheraussibienlespatientsqueles professionnelsdesanté.Facteur
Humain
12 L'incident de sécurité : l'éviter, c'est avant tout connaître et réduire ses vulnérabilités, identifier les situations dangereuses et apprendre à réagir face à elles niveaux:1. Connaîtrelesdangersauxquels
onestexposé2. Comprendresesprincipales
vulnérabilitésetchercheràles réduire3. Essayerdedétecterauplustôt
toutesituationdangereuse4. S'organiserpourgérer
l'incidentdesécuritéLacartographiedesrisquesestlapierre
touteconnaissancedecause,aubonniveaude décision.Elles'appliquetoujourssurun
périmètre d'activitéparfaitementdéfini.HôpitalNumérique)
4Vulnérabilité
Vudanslapresse
15février2017ͲLespirates
informatiquesattaquentlePresbyterianMedical
CenterdeHollywood
L'établissementmédical,quicompte
434litsetoeuvreàlafoisdansle
domainedel'obstétrique,dela pédiatrie,delacardiologie,maisaussi delacancérologie...,apubliéle17 févrieruncommuniquédanslequel sonprésident,apportequelques précisionssurcetteattaque."Dansla soiréedu5février,écritͲil,nos
équipesnousontrapportédes
problèmesd'accèsauréseau informatiquedel'hôpital.Notre serviceinformatiquea immédiatementidentifiéqu'un cesdysfonctionnements.Cemalware avaitcryptél'accèsàcertainsdes serveursetnousempêchaitde partagernosdossiersnumériques.La policeaété saisie.Desexperts déterminerl'origineduproblèmeet remettrenotresystèmeen fonctionnement." 1 13 de38%danslemondeen2015,et51%enFrance.épargnée:selonunarticlerécent
1 ,surle concentréleurseffortssurledomaine secteur,lesincidentsliésàlasécuritédessystèmes
commeailleurs,unimpactéconomique.Leur publicsetpourtouslesproducteursdesoins troisétapes6,12et18mois dessystèmesd'informationdanstoutesles unhautniveau miseenoeuvreneQuelquesconséquences
decyberͲattaquesÀtitred'exemples,uneintrusion
avecmisehorsservicedes systèmesd'informationd'uneARS pendant24haengendrédescoûts d'interventionparunprestataire del'ordrede10000€,lapertede40000€,soituntotalde50000€;
Un cryptovirusenEHPADacoûté50000€encoûtsdirects
d'interventionetcoûtsindirects;Lepiratagedustandardd'uncentre
hospitalieragénéréune surfacturationdetéléphoniede l'ordrede40000€. 1 14Le nouveau règlement européen
1 donne une définition des données de santé et fixe le cadre de leur protection prestationdeservicesdesoinsdesanté, quirévèlentdes hôpital,d'undispositif caractéristiques dites"sensibles» - Renforcerlesdroitsdespersonnes,notammentparlacréationd'undroitàla personnesmineures; - Responsabiliserlesacteurstraitantdesdonnées(responsablesdetraitement etsousͲtraitants) - Crédibiliserlarégulationgrâceàunecoopérationrenforcéeentreles autoritésdeprotectiondesdonnées. vigueur 5Protectiondeladonnée
1Source:
CNIL 15DataProtectionOfficer(DPO)
16Protectiondeladonnée
La protection des données est fondée sur la
responsabilisation des acteurs et le rôle donné au consentement des personnes. quigarantitlaprotectiondelavieprivée. personnesconcernées parlestraitementsdedonnées.Alorsquelarèglementationnationale
reposaitjusqu'alors,engrandepartie, surlanotionde"formalités lerèglementeuropéenreposeluisur unelogiquedeconformité,dontles acteurssontresponsables,sousle contrôleetavecl'accompagnementdu régulateur l'usagedeleursdonnéesetdoiventen principedonnerleuraccordpourle traitementdeleursdonnées,oudoivent pouvoirs'yopposer.Lachargedela preuveduconsentementincombeau responsabledetraitement.Ilest primordialpourlesétablissementsde garantirleurconfidentialité, uneperte dedonnéepouvantreprésenterdes risquesmajeurstantauniveaude l'imagedel'établissementqu'auniveau dupréjudicepourlavictimeduvolde donnée.Laconséquencedelaresponsabilisation
traitementsneconstituentpasunrisque pourlavieprivéedespersonnes.Quant privée. 6Unefuitededonnées
impacte1300patientsLasociétéRiverMendHealthen
Géorgieadécouvertqu'unepersonne
nonautoriséeavaitaccédéaucompte demessageried'undesesemployés.La desantéetd'aideàlapersonne,y comprisdesservicesd'aidecontrela toxicomanieetàl'alcoolisme.L'accès nonautoriséaété détectéle10août2017,lorsquedescourrielssuspects
ontétéenvoyésdepuislecomptede l'employé.Cescourrielsontalorsfait l'objetd'uneenquêteetlecompteaétébloquéle11août2017.Les
donnéesparcourrierpostaletontété
informésquelesinformations suivantesétaientpotentiellement accessibles:noms,âges,adresses, traitements,diagnosticsainsiqueles informationsrelativesauxassurances etàlafacturation.Source:https://www.cyberveilleͲ
sante.gouv.frSource:CNIL
17 desécurité confidentialitéappropriées. personnesconcernées estrequisesicette privée»(EIVPouDPIAouEIPD)Sil'analysedesrisquesdessystèmes
pourlepatientoul'agent.Pourtousles complète,faisantapparaître etde lumièredeses caractéristiquesetconséquences. 18Protectiondeladonnée
L'hébergement de données de santé s'inscrit dans un cadre règlementaire spécifique publique: prévention,dediagnostic,desoinsoude suivisocialoumédicoͲ d'hébergementdedonnéesdesanté: papier,quidoitêtreréalisépar décret2011Ͳ246); serviced'archivage ordresdesprofessionsdesanté. 7 19 etc.)etdesreprésentantsd'industriels externalisée. desdonnéesconcernantuniquementdes obligationrèglementaire.Maiscelane signifiepasquevousnedevezpasavoirla mêmeexigenceenmatièrede sécuritédes systèmesd'information.Leréférentielde
certificationHébergeurquotesdbs_dbs32.pdfusesText_38[PDF] 2. Résumé de la proposition Courte description de la proposition et de ses objectifs. (Au plus 300 mots)
[PDF] Instructions aux employeurs (numéro 1)
[PDF] Objet, domaines spécifiques et durée. du 19 août 2014 (Etat le 1 er septembre 2015)
[PDF] L indépendant a-t-il intérêt à s affilier au deuxième pilier? Tour d horizon des possibilités Pierre Novello*
[PDF] NOTRE OFFRE DE SERVICES ÉNERGÉTIQUES
[PDF] RISQUE INFECTIEUX ET PROTECTION DE L ORGANISME. Chapitre 1 : Le risque infectieux
[PDF] Mode d emploi animateurs Gestion des tribus sur le site RMS Network
[PDF] POLITIQUES LOCALES FONDS JEUNES PROMOTEURS OBJECTIF DU FONDS DESCRIPTION DES VOLETS
[PDF] Les femmes **** **** Historique
[PDF] Fonds Jeunes Promoteurs (FJP)
[PDF] Infections sexuellement
[PDF] INSCRIPTIONS PEDAGOGIQUES. Année universitaire 2015/2016. Semestre 6 (Janvier-Mai 2016)
[PDF] Mobilisation des dispositifs de formation tout au long de la vie pour gérer la crise et anticiper la reprise
[PDF] Le management de l énergie. L expertise Swiss Electricity