Colloque SSI Santé 2016 : encore un succès !

Plusieurs thématiques ont été abordées tout au long de la journée devant une salle remplie d’un public très concerné par le sujet de la sécurité au sens large malgré une grande diversité : RSSI, DSI, RSI, médecins, présidents de CME…

L’introduction du maitre de cérémonie Philippe BURNEL, s’est conclue par : « La sécurité doit être une priorité pour les responsables d'établissements. ». 

La table ronde juridique a permis de faire quelques rappels sur les obligations qui incombent aux différents acteurs amenés à traiter des données de santé comme le règlement eIDAS, la PSSI-E et la PSSI-MCAS, et celles qui vont arriver très vite, comme le remplacement de l’agrément hébergeur de données de santé par une certification, le NIR comme identifiant national de santé et le règlement européen sur la protection des données personnelles. Sophie NERBONNE, Directrice des affaires juridiques à la CNIL, a rappelée l’intérêt des futurs délégués à la protection des données (ex CIL [1]), prochainement imposés aux établissements : « Les établissements devront s’appuyer sur les DPO [2] pour respecter ces textes complexes. »

Philippe LOUDENOT, Fonctionnaire de sécurité des systèmes d’information, a ensuite fait un point général sur les incidents de sécurité. Après avoir rappelé le nombre d’incidents déclarés volontairement par les établissements qui s’élève à 1300 pour l’année 2015, il a annoncé une explosion du compteur pour l’année en cours, notamment à cause des cryptovirus. Des cryptovirus qui ont impactés des appareils biomédicaux, même si nous avions conscience de cette menace, les premiers cas concrets en France sont apparues dans le mois dernier. Il a insisté sur l’intérêt de déposer une plainte en cas d’incident, notamment pour les déclarations de sinistres auprès des assureurs (à conditions d’avoir souscrit à une police d’assurance cyber).

Il a également annoncé le projet d’un portail de déclaration unique des incidents.

Quelques citations de cette brillante intervention :

« La sécurité ne sert que si elle vient en appui des métiers. »

« L'analyse de risque doit se faire avec les métiers. »

Christophe JODRY (ASIP Santé), un des pères de la PGSSI-S, a présenté les grands principes de ce corpus réglementaire composé de textes (réglementaires) qui ont vocation à devenir opposables en 2017 et 2018, et de différents guides d’usages, dont le prochain portera sur la gestion des équipements nomades et sera publié en début d’année.

Franck JOLIVALDT (DGOS), a ensuite fait un état des lieux du plan Hôpital Numérique, avec des chiffres très bons (observatoire Osis), mais basés sur du déclaratif comme il a été rappelé lors d’échanges avec la salle.

L’après-midi était dédiée aux retours d’expériences, avec un très bel exposé d’Olivier LIGNEUL RSSI du groupe EDF sur l’analyse de risques intégrée aux projets SI, suivi de deux tables rondes, la première animée par Philippe LOUDENOT, intitulée « ça n’arrive pas qu’aux autres » retraçant quelques expériences douloureuses : cryptovirus, fuite de données avec un DPI accessible depuis le Web et des dossiers patients indexés et mis en cache par Google, ainsi qu’un cryptovirus exécuté depuis un compte administrateur…

La seconde, à laquelle j’ai eu le privilège et l’honneur de participer en compagnie de Véronique PAYEN (GCS Alsace esanté), Rémi TILLY (GCS SESAN) et Guillaume DERAEDT (CHRU de Lille) était animée par Cédric CARTAU (CHU de Nantes) et portait sur la mise en œuvre de la SSI au sein des établissements.

Ce colloque a été conclu par Arnaud Martin, HFDS adjoint :

Ce second colloque devenu désormais rendez-vous annuel comme l’a indiqué Philippe BURNEL suite à l’intérêt suscité par la première édition, était une nouvelle fois un succès !

[1]

[2] Data protection officer, en Français le délégué à la protection des données est le « nouveau CIL »