- SUPPORT CLIENT
- CONTACT
- 01 82 52 20 62
- STATUT INFRASTRUCTURE

Un hôpital tourne au ralenti pendant une semaine parce qu’un rançongiciel a chiffré le dossier patient informatisé. Les soignants repassent au papier, les examens sont reportés, la direction gère les journalistes en plus du reste. Ce scénario s’est produit plusieurs fois en France dans des CHU et des cliniques ces dernières années. Le secteur santé attire les attaquants : des données précieuses, des systèmes informatiques anciens, et rarement quelqu’un dont c’est vraiment le métier de piloter la sécurité de l’information au quotidien.
gplexpert, société du groupe itp, propose aux établissements de santé un RSSI externalisé. Un Responsable de la Sécurité des Systèmes d’Information qui assure ce rôle sans que vous ayez à créer un poste à temps plein, ni à recruter un profil rare sur un marché qui en manque.
NOTRE EXPERTISE
VOS BÉNÉFICES
La directive européenne NIS2 élargit le périmètre des organisations soumises à des obligations de cybersécurité renforcées, et le secteur de la santé en fait partie. Concrètement : des exigences plus précises sur la gouvernance de la sécurité, la gestion des risques liés à vos prestataires, et le signalement des incidents. Un RSSI externalisé vous aide à faire le point sur votre niveau de conformité actuel et à définir un plan d’action réaliste, plutôt que de découvrir les manques au moment d’un contrôle.
Phase Build : l’état des lieux
Tout démarre par une analyse de votre système d’information. On vérifie sa conformité aux bonnes pratiques, on collecte la documentation déjà en place, on identifie les faiblesses et les risques réels, on détecte les écarts par rapport aux normes et référentiels applicables à la santé. On en tire des axes d’amélioration concrets pour réduire les risques et leurs impacts.
Cette démarche débouche sur une définition de stratégie et une feuille de route sur 18 mois. Un plan de sécurisation avec les mesures à mettre en place, présenté et discuté avec votre gouvernance.
Phase Run : l’accompagnement dans la durée
Une fois la feuille de route validée, deux formules possibles, selon le niveau d’implication que vous souhaitez garder en interne.
Formule 1, accompagnement d’un correspondant RSSI (coaching). Vous avez déjà quelqu’un en interne pour porter le sujet, on l’accompagne : supervision du plan de sécurisation, expertise sur les mesures jugées urgentes, actions de sensibilisation et de formation de vos équipes, restitutions semestrielles à la direction, suivi de la conformité réglementaire, veille technologique. Le volume de jours se définit avec vous selon vos besoins. À titre d’exemple, un accompagnement léger peut représenter un jour par trimestre.
Formule 2, RSSI externalisé complet. On assure la mise en œuvre du plan de sécurisation : déploiement des mesures urgentes, formalisation ou révision de la documentation, gestion des incidents de sécurité, gestion de vos prestataires de sécurité, sensibilisation et formation de vos équipes, restitutions semestrielles, conformité réglementaire, veille technologique. Là encore, le volume se calibre sur votre situation réelle. À titre d’exemple, un suivi courant peut représenter un jour par mois.
Option, audit de sécurité
En complément, et selon vos besoins, on peut mener des audits ciblés : tests d’ingénierie sociale (phishing, niveau 1 et 2), scan de vulnérabilités et pentest de vos expositions sur internet, pentest externe en boîte noire, pentest interne en boîte grise, pentest physique de type Red Team. Ces prestations se chiffrent au cas par cas, en fonction de ce que vous voulez tester.
gplexpert est référencé Cybermalveillance, labellisé ExpertCyber, membre de l’AFCDP, et référencé par l’ANSSI pour le dispositif France Relance. L’entreprise est certifiée ISO 27001 et HDS depuis le 2 décembre 2019, et QUALIOPI depuis le 18 juillet 2022, pour ses actions de formation et de sensibilisation. Ce sont ces éléments qui fondent la confiance de nos clients, sur un domaine où l’à-peu-près n’a pas sa place.
Centres hospitaliers, cliniques privées, EHPAD, groupes de laboratoires d’analyses médicales, centres de radiologie et d’imagerie. Toute organisation qui traite des données de patients sans disposer d’une fonction RSSI dédiée en interne.
Non. Votre service IT garde la main sur l’exploitation quotidienne. Le RSSI externalisé s’occupe de la stratégie de sécurité, de la conformité et du pilotage des risques. Un rôle distinct, en complément.
La formule 1 accompagne quelqu’un déjà en poste chez vous, en renfort et en expertise. La formule 2 va plus loin : on assure nous-mêmes la mise en œuvre du plan de sécurisation, la gestion des incidents et de vos prestataires de sécurité.
Ça dépend de votre taille et de ce qui est déjà en place. Les volumes mentionnés plus haut sont des exemples, pas un tarif figé. On les définit avec vous après l’analyse, selon ce que votre établissement traite réellement.
On peut intervenir pour vous aider à isoler les systèmes touchés, comprendre l’ampleur de l’attaque, coordonner les prestataires techniques et, si besoin, la communication vers l’ARS ou l’ANSSI. La gestion des incidents de sécurité fait partie de la formule RSSI externalisé complet.
La certification HDS et ISO 27001 signifie que nos propres processus de traitement de vos données sont audités et conformes aux exigences applicables à la santé. Un point que vos auditeurs ou vos assureurs vérifient aussi de votre côté.