Accueil > Espace utilisateur > Cybersécurité

01 En cas d’incident

Les bons réflexes en cas d’intrusion sur un système d’information  

Ce document général est destiné à toutes les personnes qui ont en charge l’administration d’ordinateurs reliés à un réseau de type internet. Il recense, de manière non exhaustive, les bons réflexes à acquérir lorsque l’on soupçonne une intrusion sur l’un ou plusieurs de ces ordinateurs. 

On considère qu’il y a intrusion sur un système d’information lorsqu’une personne réussit à obtenir un accès non autorisé sur ce système. Dans de nombreux cas d’intrusion, une personne n’ayant pas de droit d’accès au système d’information parvient à s’octroyer les droits de l’administrateur.



Vous souhaitez signaler un incident de sécurité ? 

Les établissements de santé doivent déclarer, sans délai, toute action ou suspicion d’action malveillante ayant un impact sur le fonctionnement normal de l’établissement. 

Il peut également s’agir d’incidents : 

  • Sur la sécurité des soins ; 
  • Sur la confidentialité ou l’intégrité des données de santé ; 
  • Sur le fonctionnement normal des établissements, de l’organisme ou d’un service. 

La déclaration se fait en ligne au travers du portail de signalements : ici , choisir « Vous êtes un professionnel de santé » puis en bas de page « Cybersécurité ». 

En cas de violation de données à caractère personnel, l’incident doit être signalé à la CNIL : ici 

Si l’établissement de santé est OSE, il doit faire une déclaration directement auprès de l’ANSSI à l’aide du formulaire disponible sur cette page.



Démarche pour signaler une violation / destruction de données personnelles à la CNIL 

Le règlement général sur la protection des données (RGPD) a rendu obligatoire la notification à la CNIL de toute violation de données à caractère personnel engendrant un risque pour les droits et libertés des personnes concernées. 

Une violation de données est  »une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ». 

Cette notification auprès de la CNIL doit être réalisée dans les 72 heures, par l’organisme responsable de traitement ou par son représentant.



Vous recevez des messages indésirables ? 

Signal Spam est un partenariat public-privé qui donne la possibilité aux internautes de signaler tout ce qu’ils considèrent être un spam dans leur messagerie. 

Dans le but de l’assigner ensuite à l’autorité publique ou au professionnel qui saura le mieux prendre l’action qui s’impose pour lutter contre le spam signalé. 



Vous souhaitez vous faire aider par un prestataire en réponse aux incidents ? 

La qualification est la recommandation par l’État français de prestations de services éprouvés et approuvés par l’ANSSI. La qualification d’un prestataire de service atteste de sa conformité aux exigences de l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

Elle juge de la compétence d’un prestataire de services sur le long terme et permet de démontrer son aptitude à identifier et maîtriser les menaces et risques pour satisfaire les exigences inscrites dans des référentiels métiers.

Vous trouverez sur cette page une liste de prestataires de réponse aux incidents de sécurité qualifiés.



Vous souhaitez signaler un contenu illicite ? 

Toute personne peut signaler aux services de police et de gendarmerie un contenu illégal (site, vidéo…) se trouvant sur internet. 

Le site PHAROS, géré par des policiers et gendarmes spécialisés, permet de signaler les contenus illicites se trouvant sur internet. Ils vérifient que les contenus et comportements signalés constituent bien une infraction à la loi française. 

Leur mission est de les traiter et d’alerter les services compétents tels la Police nationale, la Gendarmerie nationale, les Douanes, la Direction Générale de la Concurrence, de la Consommation et de la Répression des Fraudes (DCCRF) en France et à l’étranger (en passant par Interpol).

02 Accompagnement national

Service Audit de Cybersurveillance  

L’Agence du Numérique en Santé (ANS) propose via le CERT Santé un service de cyber-surveillance, cette plateforme recherche et détecte de façon préventive les vulnérabilités sur les domaines exposés sur Internet des structures de santé.

A l’issue de l’audit un rapport de cybersurveillance est délivré, celui-ci présente : 

  • Une cartographie des systèmes détectés, 
  • Une synthèse des vulnérabilités affectant les services exposés, 
  • Un plan d’actions de remédiation. 

Ce programme répond au prérequis PS2.2 du programme SUN-ES concernant la « réalisation d’un audit externe de cybersurveillance ».  

Démarche 

Pour accéder à ce service il vous suffit d’envoyer un mail à cyberveille@esante.gouv.fren précisant : 

  • Le ou les noms de domaine exposés,  
  • Une adresse e-mail de réception du rapport d’audit,  
  • Un numéro de mobile pour la réception du mot de passe d’accès au rapport.

Service Audit ADS (Active Directory Security)  

L’ANSSI propose un service d’audit Active Directory, cette plateforme propose de mesurer le niveau de sécurité de votre annuaire Active Directory.  

A l’issue de l’audit un rapport détaillé est délivré, celui-ci présente :

  • Les différents points de contrôle qui ont révélé des vulnérabilités à corriger ou des défauts de configuration pouvant entrainer des risques de sécurité,  
  • Un plan d’actions correctives pour maintenir un niveau de sécurité satisfaisant de votre annuaire AD. 

Démarche 

Pour accéder à ce service il vous faudra remplir le formulaire de demande à l’adresse suivante, en précisant le numéro de FINESS et le nom de votre établissement : Pour plus d’informations sur ce service cliquez ici

03 Ressources pratiques

Portail de veille et d’alerte du CERT Santé sur les nouvelles failles à destination des RSSI
Corpus documentaire de la politique générale de sécurité des systèmes d’information de santé
Guide proposant 42 règles de sécurité à destination des RSSI
Présentation d’une démarche de renforcement par étape de la sécurité du SI
Recommandations de sécurité relatives aux réseaux WI-FI
Kit pour se mettre en conformité avec le RGPD
Mémento de cybersécurité à destination des directeurs d’établissements de santé
Mémento de sécurité informatique pour les professionnels de santé en exercice libéral
CERT Santé, service d’appui à la gestion des cybermenaces
L’ANSSI, acteur majeur de la cybersécurité
Loi du 20 juin 2018 relative à la protection des données personnelles

04 Sensibilisation des professionnels de santé et du personnel médical 

La plate-forme de sensibilisation du GRADeS 

Vous êtes RSSI, DSI, DPO dans un établissement sanitaire d’Occitanie ? 

  • Vous voulez développer la culture de protection de l’information et cybersécurité dans votre organisation ; 
  • Vous avez déjà mené quelques opérations de sensibilisation mais vous êtes conscients de la nécessité d’intensifier l’effort et de le maintenir dans la durée ; 
  • Vous voulez vous inscrire dans une démarche d’amélioration permanente et mesurable ;
  • Vous n’avez pas l’expérience pour lancer ce type de processus et vous souhaitez vous appuyer sur un partenaire ; 
  • Vous souhaitez pouvoir vous « benchmarker » par rapport aux organisations du même secteur. 

Nous vous simplifions la sensibilisation de vos collaborateurs en vous aidant à définir et mettre en œuvre votre programme. 

Cette offre s’appuie sur 3 piliers :  

  • Une plate-forme de sensibilisation proposant des questionnaires d’évaluation des connaissances, des capsules d’e-learning et la possibilité de réaliser des tests de phishing. Il s’agit de la solution logicielle « Sensiwave » conçue et développée par Conscio technologies qui offre :

    • Diversité des modules de sensibilisation (format, durée…)
    • Certains contenus spécifiques au secteur de la santé  
    • Accès web des modules à travers un portail  
    • Export des modules possible au format SCORM pour diffusion sur votre intranet 
  • L’équipe cyber du GRADeS :
     
    • Paramétrage et administration des campagnes de sensibilisation
    • Mise à disposition des statistiques des campagnes et d’éléments de benchmarking 
  • Un Club utilisateurs inter-GRADeS permettant d’assurer un renouvellement des contenus de sensibilisation à la cybersécurité sur le secteur spécifique de la santé. 

A ce jour, cette offre est en phase de tests et s’adresse dans un premier temps aux établissements sanitaires d’Occitanie.

Vous êtes RSSI, DSI, DPO dans un établissement sanitaire d’Occitanie et vous souhaitez en savoir plus ?

Contactez-nous : cybersécurité@esante-occitanie.fr



Ressource utile : « Tous cybervigilants ! » 

Pour mobiliser l’écosystème autour des enjeux de cybersécurité, le ministre des Solidarités et de la Santé a lancé au mois de juin 2021 la campagne nationale de sensibilisation et d’information sur les risques numériques en santé, avec un seul mot d’ordre : « Tous cybervigilants ! » 

Il incite ainsi tous les acteurs à relayer les messages clés de la campagne, autour de trois axes de sensibilisation et d’information :

  • Encourager les acteurs à mieux protéger leur outil de travail numérique et les données de santé qu’ils utilisent ; leur donner les bons réflexes en matière d’hygiène numérique et diffuser les bonnes pratiques. 
  • Contribuer à la prise de conscience du rôle, à la fois individuel et collectif, de tous les professionnels, de santé ou non, en matière de cyber vigilance.
  • Améliorer la connaissance des piliers opérationnels de cyber sécurité pour le secteur de la santé.



Ressource utile : Kit de sensibilisation par le dispositif Cybermalveillance.gouv.fr

Pour informer et sensibiliser les publics sur les menaces numériques, le dispositif Cybermalveillance.gouv.fr met à disposition divers contenus thématiques.

Des supports variés pour comprendre les cybermenaces et savoir comment y réagir, ainsi que des bonnes pratiques à adopter pour assurer votre sécurité numérique.

Le kit de sensibilisation est composé de 9 thématiques, déclinées en 6 formats : fiches pratiques et réflexes, mémos, affiche A2, BD, vidéos, quiz, infographies.



Ressource utile : Vidéos de sensibilisation sur les risques cyber 

Le dispositif cybermalveillance a publié une série de vidéos courtes permettant de s’informer et de se sensibiliser sur les différents risques liés à la cybersécurité via la plateforme Dailymotion. 



Ressource utile : Un outil pour générer des mots de passe forts et simples

Pour aider les utilisateurs, à construire leurs mots de passe, la CNIL (Commission Nationale de l’Informatique et des Liberté) a récemment mis en ligne cet outil.

Il est important de suivre les 8 recommandations suivantes :

  • R1 : Utilisez des mots de passe différents pour vous authentifier auprès de systèmes distincts. 
    En particulier, l’utilisation d’un même mot de passe pour sa messagerie professionnelle et pour sa messagerie personnelle est à proscrire impérativement.  
  • R2 : Choisissez un mot de passe qui n’est pas lié à votre identité (mot de passe composé d’un nom de société, d’une date de naissance, etc.).  
  • R3 : Ne demandez jamais à un tiers de créer pour vous un mot de passe. 
  • R4 : Modifiez systématiquement et au plus tôt les mots de passe par défaut lorsque les systèmes en contiennent. 
  • R5 : Renouvelez vos mots de passe avec une fréquence raisonnable. Tous les 90 jours est un bon compromis pour les systèmes contenant des données sensibles. 
  • R6 : Ne stockez pas les mots de passe dans un fichier sur un poste informatique particulièrement exposé au risque (exemple : en ligne sur internet), encore moins sur un papier facilement 
    accessible. 
  • R7 : Ne vous envoyez pas vos propres mots de passe sur votre messagerie personnelle 
  • R8 : Configurez les logiciels, y compris votre navigateur web, pour qu’ils ne se « souviennent » pas des mots de passe choisis.

Besoin d’aide ?

Vous rencontrez un problème pour vous connecter ?
Vous souhaitez être accompagné dans la prise en main de fonctionnalités ?

Vous pouvez contacter notre Centre de Services :