Accueil   >   Espaces utilisateurs   >   Cybersécurité   >   Base documentaire

Base documentaire

Cet espace documentaire a pour objectif de mettre à disposition les ressources dont vous auriez besoin en terme de cybersécurité.

RESSOURCES ESSENTIELLES À DESTINATION DES RSSI

cert santé

L'ANS a développé un service de cyber-surveillance. Ce service recherche et détecte de façon préventive les vulnérabilités sur les domaines exposés sur Internet.
Depuis les premiers usages sur ses propres systèmes, l’ANS propose le service aux structures de santé (des CHU ou des établissements de taille et de niveau d’exposition plus modestes).

Ce portail permet de réaliser une veille et  de mèner des actions de sensibilisation auprès des communautés concernées par la cybersanté. Le portail Cyber veille-santé est un service de l’ANS.

Il regroupe des actualités, un espace documentaire, des supports d’aide au signalement et au traitement d’incidents de cybersécurité et enfin une communauté active de près de 700 SSI pour y partager, discuter et commenter vos expériences sur tous les sujets touchant à la cybersécurité.

En savoir plus
ans

Le corpus documentaire de la politique Générale de Sécurité des Systèmes d’information de santé (PGSSI-S) permet d’offrir un cadre de référence nécessaire à la mise en œuvre des règles de sécurité en matière de e-santé.

Ses objectifs :
- aider les porteurs de projet dans la définition des niveaux de sécurité attendus
- permettre aux industriels de préciser les niveaux de sécurité de leurs offres
- soutenir les établissements de santé dans le choix et l'application de leur politique de sécurité

La PGSSI-S s’applique aussi bien au secteur public qu’au secteur privé, aux professionnels de santé, du médico-social et social, aux établissements de soin et aux offreurs de service.

En savoir plus
Guide proposant 42 règles de sécurité à destination des RSSI

Le Guide d’hygiène informatique édité par l’ANSSI s’adresse aux entités publiques ou privées dotées d’une direction des systèmes d’information (DSI) ou de professionnels dont la mission est de veiller à leur sécurité.

En contextualisant le besoin, en rappelant l’objectif poursuivi et en y répondant par la mesure concrète correspondante, ce guide d’hygiène informatique est une feuille de route qui épouse les intérêts de toute entité consciente de la valeur de ses données. Il proposose de renforcer la sécurité de son système d'information en 42 mesures.

En savoir plus
renforcement par étape cert

Suite aux nombreuses difficultés que les structures rencontres, le CERT SANTE propose une démarche de durcissement du SI basé sur un support qui permet de guider les opérationnels de la sécurité des SI.

L'objectif étant de mettre en oeuvre des solutions concretes de sécurisation des des sauvegardes, hyperviseurs, du cloisonnement réseau, de l'administration...
Il est présenté sous la forme de fiches et de questions permant ainsi d'identifier les mesures à mettre en oeuvre ainsi que de prendre en compte leurs temps.

Ces mesures sont basées sur les recommandations de l'ANSSI

En savoir plus
ANSSI

Ce document rédigé par l’ANSSI présente les « Recommandations de sécurité relatives.
Il présente les meilleurs choix de paramètres pour la bonne sécurisation d’un réseau Wi-Fi

Il est essentiel de définir des mesures de sécurité pour garantir : 
- La confidentialité des données transmises sur la liaison Wifi ; 
- Le contrôle d’accès au SIS via l’accès Wifi ; 
- Le cloisonnement strict de l’accès invités vis-à-vis du SIS ; 
- Le respect de la réglementation en matière d’accès à Internet ouvert au public.

En savoir plus
kit rgpd

Ce kit rassemble les ressources utiles pour se mettre en conformité avec le RGPD.

Il est composé d'un autodiagnostic d'entrée permettant d'établir un état d'avancement de votre mise en conformité et propose un plan d'actions à réaliser pour répondre aux exigences du RGPD. Le kit est complété par un ensemble d'outils pour la mise en oeuvre.

En savoir plus
memento

Ce guide a pour objectif d’éclairer les décideurs sur la sécurité des systèmes d’information, d’en préciser les enjeux, le contexte réglementaire et les actions clés à mettre en oeuvre.

Un mémo-quizz « plan d’actions SSI » est disponible à la fin du document et propose des repères afin de faciliter la mise en oeuvre de plans d’action.

En savoir plus

RESSOURCES À DESTINATION DES PROFESSIONNELS DE SANTÉ ET DU PERSONNEL MÉDICAL

ans

Pour mobiliser l'écosystème autour des enjeux de cybersécurité, le ministre des Solidarités et de la Santé a lancé au mois de juin 2021 la campagne nationale de sensibilisation et d’information sur les risques numériques en santé, avec un seul mot d’ordre : "Tous cybervigilants !"

Il incite ainsi tous les acteurs à relayer les messages clés de la campagne, autour de trois axes de sensibilisation et d'information :

- Encourager les acteurs à mieux protéger leur outil de travail numérique et les données de santé qu’ils utilisent ; leur donner les bons réflexes en matière d’hygiène numérique et diffuser les bonnes pratiques.
- Contribuer à la prise de conscience du rôle, à la fois individuel et collectif, de tous les professionnels, de santé ou non, en matière de cyber vigilance.
- Améliorer la connaissance des piliers opérationnels de cyber sécurité pour le secteur de la santé.

En savoir plus
cybermalveillance

Pour informer et sensibiliser les publics sur les menaces numériques, le dispositif Cybermalveillance.gouv.fr met à disposition divers contenus thématiques.

Des supports variés pour  comprendre les cybermenaces et savoir comment y réagir, ainsi que des bonnes pratiques à adopter pour assurer votre sécurité numérique.

Le kit de sensibilisation est composé de 9 thématiques, déclinées en 6 formats : fiches pratiques et réflexes, mémos, affiche A2, BD, vidéos, quiz, infographies. 

En savoir plus
CNIL

Pour aider les utilisateurs, à construire leurs mots de passe, la CNIL (Commission Nationale de l'Informatique et des Liberté) a récemment mis en ligne cet outil.

Il est important de suivre les 8 recommandations suivantes :

- R1 : Utilisez des mots de passe différents pour vous authentifier auprès de systèmes distincts.
En particulier, l’utilisation d’un même mot de passe pour sa messagerie professionnelle et pour sa messagerie personnelle est à proscrire impérativement.
- R2 : Choisissez un mot de passe qui n’est pas lié à votre identité (mot de passe composé d’un nom de société, d’une date de naissance, etc.).
- R3 : Ne demandez jamais à un tiers de créer pour vous un mot de passe.
- R4 : Modifiez systématiquement et au plus tôt les mots de passe par défaut lorsque les systèmes en contiennent.
- R5 : Renouvelez vos mots de passe avec une fréquence raisonnable. Tous les 90 jours est un bon compromis pour les systèmes contenant des données sensibles.
- R6 : Ne stockez pas les mots de passe dans un fichier sur un poste informatique particulièrement exposé au risque (exemple : en ligne sur internet), encore moins sur un papier facilement
accessible.
- R7 : Ne vous envoyez pas vos propres mots de passe sur votre messagerie personnelle.
- R8 : Configurez les logiciels, y compris votre navigateur web, pour qu’ils ne se "souviennent" pas des mots de passe choisis. 

En savoir plus
ans

Afin d’assurer la protection des données de santé des patients et d'accompagner les professionnels de santé, l'ANS met à  disposition un guide de bonnes pratiques pour les professionnels de santé en exercice libéral.

Ce mémento rassemble les règles d’hygiène informatique de base ne nécessitant pas de connaissance technique approfondie.
Ces règles une fois appliquées de façon stricte et régulière, permettent de se prémunir contre la majorité des attaques informatiques, ou à défaut d’en limiter les impacts. Car tout professionnel de santé peut un jour être la cible de ce type d’attaque.

Ce mémento propose aussi un ensemble de questionnaires permettant de vérifier, avec leurs fournisseurs de service ( par exemple fourniture d'applications de gestion de cabinet ou d’officine, de prise de rendez-vous, de téléconsultation ou encore prestations d'installation ou de maintenance de matériel informatique), différents points d’attention concernant les services informatiques fournis

En savoir plus

FORMATIONS

ANSSI

L’ANSSI (Agence nationale de la sécurité des systèmes d’information) est l’autorité nationale en matière de sécurité et de défense des systèmes d’information. À ce titre, elle mène une politique de formation à la cybersécurité en France.

Elle est notamment impliquée dans plusieurs programmes de reconnaissance de formations initiales et continues dans le domaine de la sécurité des systèmes d’information.

En savoir plus
ans

L'Agence du numérique en santé a lancé sa plateforme de formation e-santé. Le but étant de proposer des contenus courts et pédagogiques sur différentes thématiques en rapport avec la sécurité opérationnelle des SI : 

- La sécurité informatique Approfondissement
- Identifier les arnaques par email
- Gérer ses mails en toute sécurité
- Améliorer la sécurité de vos mots de passe
- Le portail Cyberveille-sante
- Les étapes du traitement des signalements

--> Nécessite une inscription
- Le signalement des incidents graves de sécurité des systèmes d'information
- Demander un audit de cybersurveillance et consulter les résultats

En savoir plus
videos

Le dispositif cybermalveillance a publié une série de vidéos courtes permettant de s'informer et de se sensibiliser sur les différents risques liés à la cybersécurité via la plateforme dailymotion.

En savoir plus
webinaires

L'Agence du Numérique en Santé  propose un programme de webinaires autour de tous les projets phares de la e-santé notamment la cybersécurité.

Diverses thématiques sont proposés :
- Enjeux de la cybersécurité pour la transformation numérique
- Service de cyber-surveillance : bilan après 18 mois et évolutions
- Actions d'appui proposées par la cellule d’Accompagnement à la Cybersécurité des Structures de Santé (ACSS)
- Sécurité des systèmes vulnérables sur Internet et des services de messagerie
- Actions préventives pour réduire les risques de compromission massive en cas d’attaque par rançongiciel
- Retours sur la menace des groupes de rançonneurs sur les secteurs sanitaire et médico-social

En savoir plus

S'INFORMER SUR LA CYBERSÉCURITÉ

cert santé

CERT santé crée par la cellule d’accompagnement cybersécurité des structures de santé (ACSS) de l’agence du numérique en santé (ANS) permet de renforcer la cybersécurité des établissements de santé et médico-sociaux

Il apporte un appui aux établissements de santé, aux organismes et services exerçant des activités de prévention, de diagnostic ou de soins, ainsi que les établissements et services médico-sociaux dans la réponse à un incident de sécurité des systèmes d’information. Il assure une mission de prévention et d’alerte face aux menaces de cybersécurité

En savoir plus
Agence du numérique en santé

Le corpus documentaire de la politique Générale de Sécurité des Systèmes d’information de santé (PGSSI-S) permet d’offrir un cadre de référence nécessaire à la mise en œuvre des règles de sécurité en matière de e-santé.

Ses objectifs :
- aider les porteurs de projet dans la définition des niveaux de sécurité attendus
- permettre aux industriels de préciser les niveaux de sécurité de leurs offres
- soutenir les établissements de santé dans le choix et l'application de leur politique de sécurité

La PGSSI-S s’applique aussi bien au secteur public qu’au secteur privé, aux professionnels de santé, du médico-social et social, aux établissements de soin et aux offreurs de service.

En savoir plus
ANSSI

L'ANSSI apporte son expertise et son assistance technique aux administrations et aux entreprises avec une mission renforcée au profit des opérateurs d'importance vitale (OIV). Elle assure un service de veille, de détection, d'alerte et de réaction aux attaques informatiques. 

Elle est l’autorité nationale en matière de sécurité des systèmes d’information et, à ce titre, en matière de défense des systèmes d’information :
- elle propose au Premier ministre les mesures destinées à répondre aux crises affectant ou menaçant la sécurité des systèmes d’information vitaux de la Nation et coordonne l’action gouvernementale en matière de défense des systèmes d’information ;
- elle anime, coordonne les travaux interministériels en matière de sécurité du numérique et élabore les mesures de protection des systèmes d’information, veillant à l’application de celles-ci notamment par le biais d’inspections ;
- elle délivre des agréments aux dispositifs et aux mécanismes de sécurité destinés à protéger, dans les systèmes d’information, les informations couvertes par le secret de la défense nationale ;
- elle assure la formation des personnels qualifiés dans le domaine de la sécurité des systèmes d’information.Elle favorise la prise en compte de la sécurité dans le développement des technologies de l’information et de la communication. Elle comprend : la SDO assure la mise en œuvre de la fonction d’autorité de défense des systèmes d’information dévolue à l’ANSSI. Son action s’exerce en priorité au profit des administrations de l’État et des opérateurs d’importance vitale
- elle participe à l’orientation de la recherche, des études et du développement, contribuant à la promotion des technologies et des savoir-faire nationaux en matière de sécurité des systèmes d’information ;
- elle se prononce sur la sécurité des dispositifs de protection des systèmes d’information et des prestataires de services de confiance.

En savoir plus
CNIL

La protection des données à caractère personnel fait partie intégrante des droits au respect de la vie privée. Dès 1978, la France, avec la loi « informatique et liberté » et la création de la Commission Nationale Informatique et Libertés (CNIL), a obligé les organismes à se responsabiliser dans le traitement des données collectées.

La loi pose l’interdiction de traiter des données à caractère personnel qui révèlent la prétendue origine sociale ou l’origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne physique ou de traiter des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.

En savoir plus