Sécurité du Systeme d'Information

RSSI externalisé pour établissements de santé

Un hôpital tourne au ralenti pendant une semaine parce qu’un rançongiciel a chiffré le dossier patient informatisé. Les soignants repassent au papier, les examens sont reportés, la direction gère les journalistes en plus du reste. Ce scénario s’est produit plusieurs fois en France dans des CHU et des cliniques ces dernières années. Le secteur santé attire les attaquants : des données précieuses, des systèmes informatiques anciens, et rarement quelqu’un dont c’est vraiment le métier de piloter la sécurité de l’information au quotidien.

gplexpert, société du groupe itp, propose aux établissements de santé un RSSI externalisé. Un Responsable de la Sécurité des Systèmes d’Information qui assure ce rôle sans que vous ayez à créer un poste à temps plein, ni à recruter un profil rare sur un marché qui en manque.

NOTRE EXPERTISE

VOS BÉNÉFICES

Sommaire

NIS2 et les nouvelles obligations réglementaires

La directive européenne NIS2 élargit le périmètre des organisations soumises à des obligations de cybersécurité renforcées, et le secteur de la santé en fait partie. Concrètement : des exigences plus précises sur la gouvernance de la sécurité, la gestion des risques liés à vos prestataires, et le signalement des incidents. Un RSSI externalisé vous aide à faire le point sur votre niveau de conformité actuel et à définir un plan d’action réaliste, plutôt que de découvrir les manques au moment d’un contrôle.

Comment se déroule la mission

Phase Build : l’état des lieux

Tout démarre par une analyse de votre système d’information. On vérifie sa conformité aux bonnes pratiques, on collecte la documentation déjà en place, on identifie les faiblesses et les risques réels, on détecte les écarts par rapport aux normes et référentiels applicables à la santé. On en tire des axes d’amélioration concrets pour réduire les risques et leurs impacts.

Cette démarche débouche sur une définition de stratégie et une feuille de route sur 18 mois. Un plan de sécurisation avec les mesures à mettre en place, présenté et discuté avec votre gouvernance.

Phase Run : l’accompagnement dans la durée

Une fois la feuille de route validée, deux formules possibles, selon le niveau d’implication que vous souhaitez garder en interne.

Formule 1, accompagnement d’un correspondant RSSI (coaching). Vous avez déjà quelqu’un en interne pour porter le sujet, on l’accompagne : supervision du plan de sécurisation, expertise sur les mesures jugées urgentes, actions de sensibilisation et de formation de vos équipes, restitutions semestrielles à la direction, suivi de la conformité réglementaire, veille technologique. Le volume de jours se définit avec vous selon vos besoins. À titre d’exemple, un accompagnement léger peut représenter un jour par trimestre.

Formule 2, RSSI externalisé complet. On assure la mise en œuvre du plan de sécurisation : déploiement des mesures urgentes, formalisation ou révision de la documentation, gestion des incidents de sécurité, gestion de vos prestataires de sécurité, sensibilisation et formation de vos équipes, restitutions semestrielles, conformité réglementaire, veille technologique. Là encore, le volume se calibre sur votre situation réelle. À titre d’exemple, un suivi courant peut représenter un jour par mois.

Option, audit de sécurité

En complément, et selon vos besoins, on peut mener des audits ciblés : tests d’ingénierie sociale (phishing, niveau 1 et 2), scan de vulnérabilités et pentest de vos expositions sur internet, pentest externe en boîte noire, pentest interne en boîte grise, pentest physique de type Red Team. Ces prestations se chiffrent au cas par cas, en fonction de ce que vous voulez tester.

Nos engagements

  • Apporter une expertise réelle dans la sécurisation des données sensibles, pas un audit générique recyclé d’un secteur à l’autre.
  • Identifier les forces et les faiblesses de votre système d’information, pour décharger votre équipe décisionnaire d’un sujet qu’elle n’a souvent ni le temps ni la compétence de traiter seule.
  • Assister ou assurer le pilotage du plan d’actions, selon le niveau d’engagement que vous choisissez.
  • Qualifier vos processus organisationnels, pas seulement vos outils techniques.
  • Rédiger la documentation, les suivis et les livrables que vous devrez présenter en cas de contrôle.
  • Sensibiliser vos équipes pour qu’elles deviennent actrices de la sécurité, pas un maillon qu’on espère solide.
  • Garantir la continuité de vos activités, ce qui compte plus dans le soin qu’ailleurs.

Nos garanties

gplexpert est référencé Cybermalveillance, labellisé ExpertCyber, membre de l’AFCDP, et référencé par l’ANSSI pour le dispositif France Relance. L’entreprise est certifiée ISO 27001 et HDS depuis le 2 décembre 2019, et QUALIOPI depuis le 18 juillet 2022, pour ses actions de formation et de sensibilisation. Ce sont ces éléments qui fondent la confiance de nos clients, sur un domaine où l’à-peu-près n’a pas sa place.

Pour qui ?

Centres hospitaliers, cliniques privées, EHPAD, groupes de laboratoires d’analyses médicales, centres de radiologie et d’imagerie. Toute organisation qui traite des données de patients sans disposer d’une fonction RSSI dédiée en interne.

Vous voulez savoir où se situent vos points faibles avant qu'un contrôle ou un incident ne vous le montre ?

FAQ

Un RSSI externalisé remplace-t-il un service informatique ?

Non. Votre service IT garde la main sur l’exploitation quotidienne. Le RSSI externalisé s’occupe de la stratégie de sécurité, de la conformité et du pilotage des risques. Un rôle distinct, en complément.

La formule 1 accompagne quelqu’un déjà en poste chez vous, en renfort et en expertise. La formule 2 va plus loin : on assure nous-mêmes la mise en œuvre du plan de sécurisation, la gestion des incidents et de vos prestataires de sécurité.

Ça dépend de votre taille et de ce qui est déjà en place. Les volumes mentionnés plus haut sont des exemples, pas un tarif figé. On les définit avec vous après l’analyse, selon ce que votre établissement traite réellement.

On peut intervenir pour vous aider à isoler les systèmes touchés, comprendre l’ampleur de l’attaque, coordonner les prestataires techniques et, si besoin, la communication vers l’ARS ou l’ANSSI. La gestion des incidents de sécurité fait partie de la formule RSSI externalisé complet. 

La certification HDS et ISO 27001 signifie que nos propres processus de traitement de vos données sont audités et conformes aux exigences applicables à la santé. Un point que vos auditeurs ou vos assureurs vérifient aussi de votre côté.