Vous êtes dans : Accueil > Actualités > E-Santé >

Taguer les postes à risques

DSIH, Propos recueillis par Valentine Bellanger , LUNDI 11 DéCEMBRE 2017

Le RGPD est partout. En véritable star, il a sa page Wikipédia et son compte Twitter. Applicable à compter du 25 mai 2018 dans les 28 pays de l’Union européenne, il alimente les discussions et fait couler beaucoup d’encre. Il a ses fervents défenseurs et ses détracteurs. DPO, Privacy by Design, sanctions… ses obligations et son cadre strict inquiètent souvent les structures. Les études semblent démontrer que peu d’entre elles seront prêtes en mai 2018. Pourtant, des mesures existent. Entretien avec Marion Godefroy, Marketing and Communication Manager chez ITrust.

DSIH : Les structures sont-elles suffisamment informées ? Les sentez-vous inquiètes ?

Marion Godefroy : Oui, on sent clairement sur le terrain que les entreprises sont inquiètes. Nous avons une demande croissante de formation au RGPD, d’audit de conformité et d’accompagnement. Toutes les structures du secteur privé et du secteur public sont concernées. Certaines pensent ne pas être impactées. Malheureusement, elles le sont toutes à plus ou moins grande échelle. À partir du moment où vous gérez un fichier avec des données à caractère personnel (nom, adresse, date de naissance…), informations qui permettent d’identifier un individu, vous devrez obligatoirement être en conformité avec le règlement.

Pour les établissements de santé qui génèrent des millions de données sensibles, la tâche est pharaonique. Comment aidez-vous les structures à s’y préparer ?

Nous avons élaboré une proposition d’accompagnement en quatre étapes : la formation au RGPD, l’audit de conformité au RGPD, l’accompagnement à la mise en conformité et, enfin, l’accompagnement à la communication interne comme externe de la mise en conformité puisqu’il faut non seulement protéger les données, mais aussi être en capacité de prouver à l’autorité compétente que toutes les mesures ont été prises pour les sécuriser ! En cas de fuite de données, l’autorité compétente est en droit de demander des comptes, et l’établissement doit pouvoir prouver qu’il a tout fait pour sécuriser les données en sa possession.

Ikare, votre scanner de vulnérabilité, permet de réduire de 90 % le risque de piratage. Une aide de poids dans la mise en conformité !

Tout à fait. Ikare évalue en continu le niveau de sécurité du parc informatique ainsi que les équipements contenant des données sensibles. Dans notre solution, nous avons implémenté des « tags RGPD », à savoir la possibilité pour les structures de « taguer » leurs machines qui traitent les données sensibles et les données à caractère personnel. Ainsi, Ikare va cartographier les vulnérabilités présentes sur le parc, et les postes les plus à risques seront identifiés, puis dotés d’un coefficient plus important qui impactera fortement la note finale. De plus, Ikare établit régulièrement des rapports concernant la vulnérabilité du système informatique qui peuvent servir de preuve en cas de contrôle des autorités compétentes. Pour rappel, la Cnil, l’autorité de contrôle en France, se base sur le guide d’hygiène établi par l’Anssi*.

Que contient ce guide ?

On y retrouve 42 règles. Ikare permet de répondre à un certain nombre d’entre elles. La liste n’est pas exhaustive mais, à titre exemple, la solution identifie la connexion d’appareils étrangers au système d’information (règle 7) et détecte aussi bien les mots de passe triviaux actifs sur le réseau que les mots de passe par défaut sur les équipements et les services (règles 10 et 12). Elle peut également scanner la sécurité des équipements impliqués dans le wi-fi (règle 20) et déceler en mode authentifié les problèmes d’obsolescence de la grande majorité des composants (règle 34).

* https://www.ssi.gouv.fr/guide/guide-dhygiene-informatique/

Retrouvez également les neuf conseils d’ITrust sur https://www.itrust.fr/rgpd-9-conseils-itrust
Pour en savoir plus :

Godefroy Marion, Marketing and Communication Manager  E-mail : mgodefroy@itrust.fr

 www.itrust.fr

#RGPD#itrust #ikare##sécurité#ssi#formation

Les plus lus

1 semainesem
1 mois
1 an

Dictionnaire légèrement décalé de l’informatique et de la cyber

Les technologies qui améliorent la santé du monde médical

La parole à… Grégoire de ROTALIER «L’interopérabilité au service d’une vision territoriale des parcours de soins»

Maincare accélère sa stratégie en imagerie médicale et annonce le lancement de sa solution M-RIS en partenariat avec Thera soft

Surveillance épidémiologique : un décret acte la création de LABOé-SI

Dictionnaire légèrement décalé de l’informatique et de la cyber

Maincare accélère sa stratégie en imagerie médicale et annonce le lancement de sa solution M-RIS en partenariat avec Thera soft

Détecter et contrer en 5 minutes la « nouvelle » technique de vol d’informations d’accès du groupe TA577

Plusieurs mises en demeure de la Cnil sur la sécurité et la confidentialité de l’accès au DPI

Surveillance épidémiologique : un décret acte la création de LABOé-SI

Alerte - fuite de données : 16 000 adresses mails de professionnels de santé français concernées

Surveillance épidémiologique : un décret acte la création de LABOé-SI

Alimentation du DMP : un arrêté précise les obligations des médecins et des biologistes

Droit d’accès gratuitement à son dossier médical : la CJUE se prononce

Perte de données Doctolib, petits rappels RGPD

Lettre d'information

Inscription gratuite

Offres d'emploi
e-santé

11/10/2022 - GIP Centre-Val de Loire e-Santé - (45)
Chargé(e) déploiement des usages
11/10/2022 - GIP Centre Val de Loire e-santé - (45)
Référent en Identitovigilance
11/10/2022 - GIP Centre Val de Loire e-Santé - (45)
Ingénieur de production
19/09/2022 - GIP Centre-Val de Loire e-Santé - (45)
Chargé(e) d’accompagnement Ségur/ SI ESMS

Taguer les postes à risques

Chargé(e) déploiement des usages

Référent en Identitovigilance

Ingénieur de production

Chargé(e) d’accompagnement Ségur/ SI ESMS