GPLExpert et ses actualités SIS

Février 2023

#JournéeMondialeContreLeCancer

La journée du 4 février, consacrée à la lutte contre le cancer, caractérise le secteur médical pour lequel GPLExpert œuvre quotidiennement depuis 15 années maintenant, en assurant du mieux possible sa mission d'infogérant, d'hébergeur de données de santé et de conseil auprès des établissements de santé.

Du fait de leur volume et de leur volatilité, les données de santé engendrent rapidement des besoins complexes, notamment en matière d’infrastructure informatique au sein des structures de soins. La sensibilité et la convoitise inhérentes à ce type d'informations nécessitent des services d'hébergement et d'infogérance spécifiques, assurés par des structures certifiées. De cette notion de certification à celle de la maîtrise des solutions de sauvegardes il n'y a qu'un pas : Si, dans la newsletter du mois de décembre, nous vous annoncions avec fierté le renouvellement de notre double certification ISO 27001 & HDS, j'ai souhaité aujourd'hui orienter le thème de ce mois de février vers l'importance des sauvegardes, ainsi que les bons réflexes à adopter dans vos choix de supports et de politiques internes.

En cette météo hivernale et ces températures quasi-glaciales, prenez soin de vous, je vous souhaite une agréable lecture.

Marie-Bénédicte VIART

Directrice Adjointe

Quelles solutions possibles pour vos sauvegardes ?

La sauvegarde de données est devenue une source de préoccupation majeure pour toutes structures traitant d'importants volumes de données, qu'elles soient de nature plus ou moins sensible. Nous avons maintenant le recul de savoir que la perte de données qui peut être engendrée par une cyberattaque, un incident climatique ou encore un acte de vandalisme, peut être désastreuse voire dramatique pour un établissement. Le fait de s'astreindre à sauvegarder régulièrement ses données est donc devenu un enjeu majeur pour anticiper la survenue d'un incident. Même si le risque zéro en matière de sauvegarde n'existe pas, il existe malgré tout quelques bonnes pratiques permettant de réduire le risque de perte et d'irréparabilité.

La méthode dite 3-2-1 (rendue célèbre par le photographe Peter KROGH pour remédier initialement aux pannes de disques durs) est devenue un standard en matière de protection des données en entreprise, notamment lorsqu'elle est intégrée à un PRA (Plan de Reprise d'Activité). Si le PRA sert à réagir vite en cas d’incident, son objectif est de garantir la reprise d’activité de la structure par une gestion efficace, quel que soit le scénario de défaillance.

Afin de parfaire ce schéma de sécurisation et pour faire face aux attaques de plus en plus nombreuses, cette méthode a évolué vers une méthodologie de type 3-2-1-1-0.

3 copies de données ...

(des sauvegardes de sauvegardes)

En complément de vos données primaires (données de production) et dans un objectif de sécurisation efficace, l'établissement doit disposer de 2 copies de sauvegarde sur 2 stockages différents.

Ces sauvegardes sont destinées à une rétention allant de quelques semaines à plusieurs années. Elles s'intègrent notamment dans des règlementations spécifiques exigeant une conservation de longue durée.

… Sur 2 supports différents …

(HDD, SDD, LTO…)

Il ne suffit pas de dupliquer un fichier sur un même ordinateur : en cas de panne, la perte de données pourrait concerner à la fois l’original et la copie. La deuxième étape consiste alors à sauvegarder les données sur 2 supports différents en plus de celui qui contient l’original.

Il existe plusieurs solutions de stockage en fonction des besoins.

… en complément 1 sauvegarde hors site

(vers une sécurisation maximale)

Une copie supplémentaire de la première sauvegarde doit être située à un emplacement différent de la production et des autres supports de sauvegarde afin de se prémunir de tout incident sur le site : Vol, incendie, inondation …

Le cloud peut faire faire partie de vos emplacements externes : si vous traitez des données de santé, alors la règlementation impose le recours à un hébergeur certifié HDS. Dans dans tous les cas, il est de bonne augure de choisir un partenaire situé en France et/ou en Europe afin d’éviter les problèmes de conformité en matière de RGPD.

… et 1 sauvegarde hors ligne

("air-gapped")

Dans le cas d'une cyberattaque, le pirate peut envahir l'environnement informatique dans sa globalité. Dans cette situation, vos sauvegardes sur le réseau deviennent vulnérables.

Afin de se prémunir, des supports hors ligne donc séparés du réseau tels que des disques durs externes rotatifs USB, les bandes analogiques et les mémoires d'objets seront nécessaires pour héberger 1 copie de sauvegarde, elle-même protégée par une clef de cryptage empêchant les menaces externes ou internes d'y accéder via le réseau.

0 erreur

(surveillance et tests)

Les sauvegardes ne sont valides qu'à la condition qu'elles soient vérifiées. Une surveillance quotidienne est nécessaire, elle permettra de détecter et de corriger rapidement les éventuelles erreurs.

Une fois les erreurs évincées, il convient d'effectuer à intervalles réguliers des tests de restauration à partir des sauvegardes.

En résumé ...

3 = Trois copies de données

2 = Deux supports différents

1 = Une sauvegarde externalisée

1 = Une sauvegarde hors ligne

0 = Exempte d'erreur

"La construction d'une stratégie de sauvegarde doit tout d’abord être définie et validée en lien avec la Direction Générale de la structure, en tenant compte des critères de criticité et du taux de disponibilité des applications.

La méthode 3-2-1-1-0 fait ses preuves dans de nombreux établissements, il est clair que le risque zéro n'existe pas mais le fait de bien cadrer sa politique de sauvegarde et l'intégrer dans un Plan de Reprise d'Activité est la base pour limiter drastiquement les risques de perte de données".

Elhaouari CHANHIH,

Responsable Services Managés / Pôle Infogérance

GPLExpert

■ SANTEXPO 2023

Cette année encore nous ne manquerons pas le rendez-vous incontournable des acteurs de la Santé. Rendez-vous du 23 au 25 mai 2023 à Paris Expo.

Animations, rendez-vous, simple visite, nous serons à votre disposition pour vous rencontrer sur notre stand. Nous vous livrerons plus de détails dans les prochaines éditions de cette newsletter... A bientôt ⏳ 

- 1 Ingénieur(e) Systèmes & Réseaux : IDF/Bordeaux

Les missions de l'ingénieur systèmes et réseaux s'orientent autour de la mise en place de projets informatiques, l'assistance auprès d'une équipe support de niveau 2/3, la réalisation d’études de projets d’infrastructures et l'encadrement lors de la réalisation de ces projets.

- 1 Chef (fe) de projet Sécurité Systèmes d'Information : Bordeaux/ IDF

Le chef de projet SSI doit savoir piloter l’ensemble du cycle de vie d’un projet et animer toutes les parties prenantes pour répondre aux besoins. Nos attentes pour ce poste sont basées sur l'autonomie et le travail en équipe mais également un sens de l'organisation et de la gestion de projet. Du fait de la pluridisciplinarité de GPLExpert, la transversalité est une prérogative du chef de projet.

- 3 Administrateurs(trices) Systèmes & Réseaux : IDF , Caen

Être administrateur systèmes et réseaux nécessite des connaissances en gestion de réseau et en développement informatique. Son rôle est d'installer, de configurer, et de savoir dépanner un parc informatique. Il doit donc maîtriser les techniques nécessaires pour interconnecter les réseaux et les systèmes informatiques.

- 3 Techniciens(nes) Systèmes & Réseaux : IDF et Bordeaux

Les techniciens systèmes et réseaux administrent au quotidien les parcs bureautiques et en assurent le bon fonctionnement. Ils savent alors déployer et supporter les postes de travail ; Les qualités requises pour ce poste sont l'autonomie, le dynamisme et le sens du relationnel.

Fuites ou pertes de données, quels enjeux pour les établissements ?

Une perte de données peut engendrer le ralentissement, voire un arrêt brutal de l'activité.

En mode dégradé ou en arrêt total, l'établissement de soins subit une perte de revenus, donc des conséquences financières substantielles. Une demande de rançon générant un éventuel déficit grave du chiffre d’affaires peut entraîner des réflexions et des négociations longues voire périlleuses.

Plus grave encore, la perte de données peut littéralement paralyser les systèmes et ainsi empêcher le suivi et la continuité des soins patients, on parle ici de pertes de chance.

Il faut compter entre 3 et 18 mois pour retrouver une activité normale suite à une cyberattaque aboutie avec pertes ou exfiltrations de données. Face à une telle situation, la règlementation exige que la structure déclare immédiatement l'incident à la CNIL, puis effectue une déclaration auprès de l'ANSSI, ou encore de l'ARS pour les établissements de santé.

27 avenue Aristide Briand 91290 ARPAJON FR