Conférences et Conférenciers CNSSIS 2018
Pierre-François LAGET est ancien Assistant des Universités - Assistant des Hôpitaux de Paris. Après un passage dans le privé, il a été Clinical Pathologist dans un hôpital militaire sous administration américaine en Arabie Saoudite. L’expérience acquise, notamment dans le domaine du management opérationnel et quantitatif de la Qualité, l’a fait intégrer un grand groupe comme Consultant senior. Diplômé en Management hospitalier et en Gestion/Finance, il a été responsable de l’Information médicale dans un important Centre hospitalier régional jusqu’à la fin de son activité professionnelle.
Membre de l’Association France-Estonie, il a étudié l’estonien à l’Inalco, et préside l’Atelier Estonie du forum d’ingénieurs Forum Atena. Il est également opérateur à la Sécurité Civile. Il s’intéresse particulièrement aux mathématiques appliquées, à la cybersécurité, et à la cryptographie. Enfin il a une activité artistique sous un nom de scène comme interprète dans divers courts-métrages, et est actif dans le mécénat en musique classique.
Conférence 2 –Table ronde Institutionnelle - « Plan d'action SSI - HDS - Guides et référentiels - Stratégie 2018-2019 »
Résumé de la conférence
L’année 2018 sera chargée : poursuite des mises en œuvre opérationnelles des politiques de sécurité en environnement GHT, instruction 309 « Plan d’action SSI » semestre 3, déclinaison du RGPD dans le contexte santé, nouvelles règles du jeu sur l’hébergement de données de santé, … Devenue l’un des rendez-vous du Congrès, la table-ronde institutionnelle réunit cette année le Ministère de la Santé et des Solidarités, la DGOS, l’ASIP Santé et la CNIL. Ce moment permettra de faire un tour de l’actualité réglementaire, un point sur les différents calendriers, et permettra aux Institutionnels de décrire la stratégie SSI 2018-2019.
Philippe LOUDENOT est Fonctionnaire de Sécurité des Systèmes d’Information (FSSI) des ministères chargés des affaires sociales et de la Santé. Ancien responsable national de la sécurité des systèmes d’information du service de santé des armées, et ancien FSSI des Services de Matignon, il dispose d’une connaissance approfondie du monde de la santé.
Ancien auditeur de l’institut des hautes études de la défense nationale, il est chargé de cours SSI au profit de différentes universités et écoles d’Ingénieurs. Présent dans la vie associative des experts en Sécurité du Système d’Information, il est membre du conseil d’administration de l’Association des Réservistes du Chiffre et de la Sécurité de l’Information (ARCSI), du CESIN et du club EBIOS.
Jean-François PARGUET est Ingénieur diplômé de l’Ecole Française Electronique Informatique (EFREI). Son parcours professionnel est le suivant: De 1984 à 1990, successivement chez Steria puis Telesystemes, Jean-François PARGUET est en charge de la réalisation de grands projets informatiques : le nœud de transit international (NTI 2 G) de France Telecom, le système de commandement des missiles HADES (CORHAD) pour Thomson DTC, etc.
De 1991 à 2002, il intègre le Groupe ON-X Consulting, au sein duquel il est successivement associé du pôle « systèmes d’information » puis directeur associé du « pôle sécurité ». En complément des activités de gestion du centre de profit, il exerce le rôle de directeur opérationnel des projets de réalisation ou de conseil, les plus sensibles au profit de ses clients, parmi lesquels : la CNAMTS, le Ministère de la Défense, la Fédération Nationale du Crédit Agricole, le renseignement militaire, Pernod-Ricard, BNP- Paribas, …
De 2002 à 2006, il est Chef du département Sécurité, Réseau et Marchés, AQSSI (Autorité qualifiée SSI), et membre du comité de direction, de l’Agence pour l’Informatique Financière de l’Etat (AIFE - Ministère des Finances). Il est en charge, plus particulièrement, de la sécurité des programmes Accord et Chorus.
En 2006, Jean-François PARGUET intègre le GIP DMP, actuelle ASIP Santé, en tant que Responsable de la Sécurité des Systèmes d’Information (RSSI) et Directeur des Référentiels, de l’Architecture et de la Sécurité.
Michel RAUX a rejoint, en août 2015, le Bureau des systèmes d’information des acteurs de l’offre de soins de la DGOS, au Ministère des Affaires Sociales et de la Santé. Il a en particulier pour mission d’y suivre les questions relatives à la sécurité des systèmes d’information dans les établissements de santé. Il a auparavant exercé pendant une trentaine d’années au Centre Hospitalier de Versailles, notamment en tant que Directeur des Systèmes d’Information. Durant cette période, il a également participé aux travaux du GMSIH comme conseiller technique, créé le Collège des DSIO de CH, qu’il a présidé de 2001 à 2010, et co-organisé les Forums annuels des DSIO de CH à l’ENSP de 2002 à 2008. Il est également intervenu à l’ENSP et au CNAM, en particulier pour des retours d’expérience sur le développement des systèmes d’information hospitaliers. Un de ses centres d’intérêt est d’étudier un modèle « Corpus » qui confronte entre-elles les logiques de conformité, d’organisation, de gestion des risques, de bonnes pratiques et d’usages réels des technologies de l’information. Michel Raux est ingénieur de l’école des Hautes études d’ingénieur (HEI-Lille) et docteur-ingénieur en génie biomédical (Lille 2 – Droit et santé).
Conférence 3 – Conférence spéciale de l'ASINHPA
Conférence 4 – « Sécurité des données de santé : Comment un éditeur de logiciel fait face à la nouvelle règlementation, à la cybercriminalité et à l'évolution des technologies ? »
Résumé de la conférence
Les informations patients sont des données éminemment sensibles et très convoitées. Les hôpitaux sont régulièrement attaqués. Ce phénomène s’accélérant, la protection des données est désormais au cœur du débat public. A l’aube des nouvelles dispositions européennes sur la protection des données, les établissements de santé doivent se mettre en conformité. Entre les certifications, la PGSSI-S ou la RGPD, de nombreux changements organisationnels vont être opérés.
Au-delà des processus à revoir ou à créer, les directions informatiques – plus précisément les Responsables de la Sécurité des Systèmes d’Information (RSSI) – doivent pouvoir s’appuyer sur les éditeurs de logiciels et les technologies proposées. Au vu de leur métier, ces derniers doivent anticiper au maximum les évolutions réglementaires, adapter leur solution afin d’être prêts pour accompagner les établissements. Une démarche essentielle qu’Enovacom propose d’aborder pendant cette conférence. Spécialiste dans l’édition et l’intégration des logiciels d’interopérabilité et de sécurité depuis maintenant 15 ans, l’équipe Enovacom expliquera quelle organisation est mise en place pour tester et évaluer ses propres solutions logicielles. La sortie de la nouvelle solution Single Sign On (SSO) Enovacom Secure Login sera utilisée en tant que cas concret.
La conférence sera enrichie par l’intervention de Julien Valiente, directeur et consultant en sécurité des systèmes d’informations depuis 2001 pour le cabinet Cyberwings. Il interviendra notamment pour décrypter les bonnes pratiques à avoir face aux dernières évolutions du marché. Etape par étape il expliquera l’accompagnement mis en place avec Enovacom pour être en conformité avec les dernières réglementations.
Julien VALIENTE est Consultant en sécurité des systèmes d’informations depuis 2001, Professeur Associé en charge des réseaux et de la cybersécurité à Polytech Marseille, et Dirigeant du cabinet de sécurité et de hacking éthique Cyberwings. @JulienValiente
Jean-Yves HAGUET est Ingénieur en Sécurité Informatique, ENOVACOM. Fort d’une solide expertise dans la Sécurité des Systèmes d’Information, il a travaillé durant de nombreuses années sur la réalisation d’audit et d’études préalable au niveau de la sécurité du SI, incluant l’analyse de risque dans le secteur bancaire. Il a une vision globale des enjeux de la sécurité des applications dans l’ère du numérique.
Conférence 5 – Sept habitudes d’attaquants hautement efficaces
Résumé de la conférence : Cette intervention illustrée de cas d’étude anonymisés extraits des affaires traitées par le CSIRT Orange Cyberdefense (Computer Security Incident Response Team), aborde les techniques d’attaque ‘en vogue’ utilisées par les attaquants modernes, des cybercriminels aux groupes d’espionnage industriel ou étatiques.
Du ‘fileless malware’ à l’effacement de fichiers journaux en passant par la manipulation de processus et le vol d’identifiants en mémoire, cette présentation proposera un état des lieux de l’attaque en 2017, et des prospectives sur les menaces principales de 2018.
Après 5 ans d’expériences internationales en investigation numérique et en réponse à incident dans des contextes PCI-DSS, de cybercrime et d’attaques étatiques, Robinson Delaugerre mène depuis un peu plus d’un an les activités du CSIRT (Computer Security Incident Response Team) Orange Cyberdefense. Ses activités passées incluent les tests d’intrusion, le conseil en sécurité de l’information, la modélisation des risques et l’analyse de protocoles réseau. Il a pour ambition de permettre à son équipes d’experts en réponse à incidents et investigation numérique d’occuper une place de leader français, voire européen, en y cultivant l’excellence technique et une approche qualité.
Conférence 6 - « Datamining et cybersécurité »
Michel DUBOIS est responsable nationale de la cybersécurité du service du commissariat des armées. Ingénieur en informatique, titulaire d’un mastère spécialisé en Sécurité des Systèmes d’information et docteur en cryptologie, Michel exerce depuis plus de vingt ans des fonctions de responsable de la SSI au sein du Ministère des Armées. Il est, par ailleurs enseignant chercheur au sein du laboratoire de Cryptologie et de Virologie Opérationnelles à Laval. Il est membre du club des experts de la sécurité de l'information et du numérique (CESIN), du club de la sécurité de l'information français (CLUSIF) et membre du conseil d’administration de l’association des réservistes du chiffre et de la sécurité de l'information (ARCSI).
Conférence 7 - « Que signifie vraiment le métier d’infogéreur dans le cadre de la nouvelle certification HDS ? Quel apport pour la sécurité opérationnelle des structures de santé ? »
Résumé de la conférence : Le Ministère de la Santé a changé par sa certification le métier d’hébergeur santé en supprimant par exemple le contrôle de l’application. Quelles sont les nouvelles responsabilités de l’infogéreur et quel est l’apport en sécurité de ce dernier ? Claranet propose de répondre à ces questions.
Christophe JODRY est le directeur de l'offre e-santé chez Claranet France. Il démarre sa carrière comme ingénieur d'exploitation en société de service puis chef de projet dans le monde de l'hébergement et de l'infogérance. Il bascule à partir de 2010 dans le domaine de la sécurité informatique et devient le RSSI de Runiso, premier hébergeur PCI DSS en France et également hébergeur agréé données de santé. Avant son arrivée chez Claranet, Christophe JODRY travaillait à l'ASIP Santé où il était en charge de la Politique Générale de Sécurité des Systèmes d'Information de Santé.
Adèle ADAM, a travaillé 6 ans en tant que consultante en Cybersécurité, protection des données personnelles et gestion de risques. Elle est intervenue pour des clients de divers secteurs d’activité, parmi lesquels la banque, l’assurance, l’énergie, le secteur public. Depuis 3 ans chez Claranet, une société d’hébergement et d’infogérance d’applications critiques, Adèle est Data Protection Officer et responsable de la conformité de l’offre Claranet e-Santé.
Conférence 8 - Biologie médicale : concentration du marché et impact sur la sécurité des données informatiques. Cas d’étude : Laboratoire Biosites
Résumé de la conférence
La réforme de la biologie médicale de 2010 (Ordonnance n° 2010-49 du 13 janvier 2010) n'a pas seulement entraîné une hausse importante des coûts de gestion ; elle a également amené à une profonde concentration du secteur biomédical. Ainsi, en l’espace de sept ans seulement, le nombre de structures de proximité a été divisé par deux, pour laisser place à des établissements de taille industrielle.
SynAApS, hébergeur Cloud agréé Santé (HADS) et Agfa HealthCare, éditeur de Systèmes d’Information de Santé, se sont rapprochés dès début 2017 afin d’aider les laboratoires de biologie médicale à réaliser des économies d’échelle et de leur permettre de bénéficier d’un accompagnement sur mesure dans l’externalisation de leurs systèmes d’information.
Quels sont les impacts de la concentration du marché sur la gestion sécurisée des données des laboratoires ? Arthur THEVENET (SynAApS - Ciril GROUP) et Nicolas BEAUBIER (Agfa HealthCare) répondront ensemble à cette question, en s’appuyant sur le cas d'étude concret du laboratoire biomédical Biosites.
Arthur THEVENET est ingénieur d’affaires pour la division SynAApS de Ciril GROUP et expert de la sécurité des systèmes d’informations et de l’hébergement d’applications & données informatiques.
Nicolas BEAUBIER est Directeur des Ventes de la division LIS (Laboratory Informatic Systems) d'Agfa HealthCare. 21 ans d’expérience dans l’édition logicielle pour la biologie médicale.
Conférence 9 - « Le RGPD « par ceux qui ont les mains dedans, pour ceux qui y sont jusqu’au cou » »
Résumé de la conférence : Avril 2018 débute, il nous reste moins de 2 mois pour se mettre en conformité avec le RGPD. Si vous n’avez encore rien commencé, il est important de retenir que la France n’a de convention d’extradition qu’avec 78 pays sur les 193 reconnus par l’ONU, il est donc urgent pour vous de prendre un billet d’avion… Pour ceux qui sont plus ou moins bien avancés, il est peut-être temps de faire un point d’étape, afin de comptabiliser les trous dans les raquettes respectives, et lister les plus larges ou les plus urgents à boucher. La vision systémique du projet en mode PDCA – roue de Deming – a l’immense mérite de balayer large. Certaines questions complexes apparaissent, certains points durs transparaissent, la dualité RSSI/DPO qui a pas mal occupé le débat courant 2017 n’est en fait qu’une question mineure. Quelle est la cartographie des traitements ? Entre l’établissement qui déclare ses logiciels, et celui qui se focalise sur les traitements, la masse de travail change considérablement. Quel socle commun à mettre en place, sans oublier que les patients ne sont pas les seuls dont les données sont traitées ? Quels sont les traitements sensibles ? Et parmi eux, quels sont ceux qui engendre un risque de non-conformité ? Comment traiter la question des enquêtes et des requêtes en mode évaluation ? Comment traiter les équipements en mode « boite noire » type biomédical ? Par qui faire signer l’étude d’impact sur la vie privée du DPI ? Comment aborder la question des fichiers bureautiques sauvages ? Enfin, comment traiter la question des avenants aux contrats ? Entre un simple fournisseur de progiciel en mode On Premise, et un fournisseur de solution SaaS, voire un sous-traitant complet de traitement, entre le simple courrier de rappel, l’accord de confidentialité et l’avenant, la stratégie n’est pas la même. Mais surtout, comment réduire le risque de non-conformité dans un contexte où aucune entreprise ne sera prête à 100 %, et comment faire pour que le RGPD soit une chance pour le RSSI ou le DPO, et pas un boulet ?
Cédric CARTAU est RSSI et CIL au CHU de NANTES, et est chargé de cours à l’Ecole de Hautes Etudes en Santé Publique (EHESP). Il réalise également des audits de systèmes d’information (www.siconcept.fr) pour le compte d’établissements publics ou privés dans différents secteurs d’activité. Il collabore régulièrement à DSIH et a publié les ouvrages suivants :
- - La sécurité du système d’information des établissements de santé, Presses de l’EHESP, 2012
- - Guide pratique du système d’information, Presses de l’EHESP, 2013
- - Stratégies du système d’information, vers l’hôpital numérique, Presses de l’EHESP, 2014
- - L’informatique d’entreprise au quotidien, Presses de l’EHESP, 2014
- - L’informatique de santé, coauteur, Eyrolles, 2015
- - La sécurité du système d'information des établissements de santé, presses de l’EHESP, 2018
Conférence 10 - Nouveaux environnements numériques au sein des établissements de santé : freins et avancées
Résumé de la conférence : Développement de l’hôpital numérique, réorganisation du maillage territorial du secteur santé, entrée en vigueur du GDPR & gestion des données de santé… : 2018 sera marqué par de profondes mutations.
Dans ce contexte, la protection du système de santé et des environnements biomédicaux s’impose comme une priorité. Comment les établissements de santé et leurs sous-traitants se positionnent-il dans ce nouveau schéma de gouvernance du SSI mis en place à la demande du Ministère de la Santé ? Au travers d’un débat réunissant différents profils d’acteurs, dont le CH de la Ferté Bernard et le GCS e-Santé Pays de la Loire, cette table-ronde tentera d’apporter un éclairage et des réponses concrètes.
Loïc Guézo est CyberSecurity Strategist chez Trend Micro. Il supervise le développement stratégique de Trend Micro auprès de ses clients et partenaires dans la zone Europe du Sud ; il intervient également auprès des médias en tant qu’expert dans le domaine de la cyber-sécurité.
Loïc représente l’entreprise au sein de l’écosystème, notamment pour la France auprès du CESIN (Club des Experts de la Sécurité de l'Information et du Numérique), de l’ISA-France et de l'EXERA (pour les aspects de cyber-sécurité en environnement industriel SCADA). D’autre part, il est membre du Cercle Européen de la Sécurité et des Systèmes d’Information, cercle référent des décideurs en cyber-sécurité.
Il est par ailleurs membre-invité du pôle de compétitivité mondial “Systematic Paris-Region”, membre de l'ARCSI (Association des Réservistes du Chiffre et de la Sécurité de l'Information) et administrateur du CLUSIF (Club de la Sécurité de l’Information Français), notamment en charge des relations internationales.
Avant de rejoindre Trend Micro, Loïc Guézo a occupé différentes fonctions dans le secteur informatique depuis 1988, notamment chez Sagem (Ingénieur d’Etude pour l’OTAN), au sein de l’Agence Française de Développement (Responsable Informatique Outre-Mer) et chez IBM France (CTO Security Services).
Loïc Guézo (CISSP #80376) est diplômé de l’Université Paris XIII, d’un Mastère Spécialisé « Open Source & Sécurité » de l’Ecole Centrale Paris. Il intervient régulièrement dans différents MBAs ou séminaires institutionnels.
Conférence 11 – « Mise en place d’un réseau communautaire inter-établissements sécurisé, flexible et disponible, grâce à la technologie SDWAN »
Résumé de la conférence : Avec l’adoption accélérée des solutions SaaS, avec la convergence des SI hospitaliers basés notamment sur le partage d’informations et de ressources, Les établissements de santé doivent repenser leurs réseaux privés d’interconnexion. Comment concilier la performance et la sécurité des réseaux privés de type VPN MPLS avec le besoin croissant de bande passante ? Comment optimiser la performance des applications, hébergées dans un cloud public ou privé ? Comment déployer et administrer facilement la sécurité des réseaux, données et applicatifs, une contrainte vitale pour les établissements de santé ? Comment interconnecter les sites distants d’un groupement d’établissements et les mises en relations avec les autres acteurs de l’écosystème de la santé ? Comment s’affranchir de la complexité des réseaux privés de type IPSEC tout en utilisant le réseau Internet ? Comment intégrer les solutions FTTx, les secours 4G, les liens satellites dans son réseau ? Au travers de cette conférence, Adista présente la technologie pour concevoir le réseau privé d’établissements de santé, de nouvelle génération, basée sur les solutions SD WAN (Software Defined Network), intégralement managée, gérée à distance, flexible et dynamique. Le SD-WAN intègre un niveau d’« intelligence » supplémentaire dans les réseaux, au bénéfice de la performance des applications et de leur sécurité. En associant management centralisé et pilotage au plus près des utilisateurs, le SD-WAN répond à l’exigence de maîtrise budgétaire des établissements de santé tout en garantissant la flexibilité indispensable à leurs besoins d’interconnexion.
Pascal CAUMONT est co-fondateur de la société Adista (CA 81 M €, 400 salariés, 25 agences), dont il assume la direction générale et technique, ainsi que la veille stratégique.
Ingénieur ENSEM, titulaire d’un DEA en informatique, il intervient régulièrement lors de colloques consacrés au développement du Très Haut Débit ou aux usages numériques professionnels, en s’appuyant sur plus de 30 années consacrées aux systèmes d’information et de communication des entreprises et collectivités publiques.
Pascal Caumont est également Vice-Président de la Fédération des Industriels des Réseaux d’Initiative Publique (FIRIP), regroupant près de 200 entreprises et 9000 emplois. La FIRIP représente les acteurs des réseaux très haut débit d’initiative publique auprès de l’ARCEP et des instances gouvernementales ; un marché pesant près de 2 milliards d’euros en France.
Conférence 12 – « Le Partage des responsabilités autour du Système d'Information de Santé : Un facteur clé de succès pour les offres d'OVH Healthcare »
Résumé de la conférence : Pour obtenir l’agrément relatif à l’hébergement de données de santé (HDS) fin 2016, OVH, en tant que fournisseur de solutions Cloud, a été amené à réaliser un important travail d’ingénierie contractuelle. Il s'agissait de concilier le respect des obligations réglementaires et les méthodes industrielles sur lesquelles reposent la spécificité d’OVH et l’accessibilité de nos solutions. Ce travail constitua un excellent entraînement pour les équipes, au vu du contexte actuel : mise en conformité avec le RGPD et avec le nouveau décret HDS.
Emmanuel MEYRIEUX est l'expert en charge de l’offre OVH Healthcare, agréée HDS fin 2016. Formé à l’école d’ingénieur ISIS (informatique et systèmes d’information pour la santé), il a été responsable qualité pour un hébergeur de données de santé, puis a fait du conseil en organisation. Ces expériences lui ont permis de contribuer à la création d’outils dédiés à l’étude automatisée de dossiers médicaux pour prévenir les iatrogénies. Il a travaillé sur la standardisation des flux logistiques hospitaliers, l’intégration de multiples normes dans les systèmes de management de diverses entreprises, ainsi que sur la gestion de risques tant SI (certifié ISO 27005) que d’autres natures.
Conférence 13 – « Les enjeux majeurs de la sécurité à l’heure de la digitalisation de la santé »
Résumé de la conférence : Quel est le Top 3 des risques structurels inhérents aux industriels de santé et au mode SaaS ? Comment Coreye et Doctolib adressent ces risques au quotidien, dans le cadre de leurs partages de compétences ? Enfin, comment l’évolution de l’industrie, poussée par un puissant volet réglementaire, dont le RGPD, va impacter notre quotidien ?
Francis BRICHET - Directeur du developpement - Coreye Healthcare
Conférence 14 – « Sécurité Positive & Expérience utilisateur dans un contexte Hospitalier exigeant H24 »
Résumé de la conférence : L’actualité de la cyber Sécurité nous a démontré l’importance d’impliquer les utilisateurs dans leur interaction avec les outils internet mis à leur disposition. Olfeo propose un retour d’expérience à travers une vision à 360 degrés lié à la Sécurité Positive & au Facteur Humain.
Lionel PASCAUD a participé avec succès chez différents éditeurs de logiciels à la création de plusieurs cellules commerciales dédiées à garantir la fidélité et la croissance du parc clients. Animé par la passion de l'informatique, du web et des nouvelles technologies, il est aujourd’hui Directeur Commercial chez Olféo. Il dirige l'ensemble des équipes commerciales qu'elles soient en charge des prospects, des clients et des partenaires.
Antoine BONNET, fort de 20 ans d'expérience en Cyber Sécurité, Antoine accompagne les principaux établissements de santé Français dans la définition des besoins et la conception d'une politique de sécurité globale basée sur les savoirs faire Olfeo et en adéquation avec la philosophie d'un groupe de travail piloté par les Dsis ou Rssis ou Dpo. "Un projet bien pensé sur toutes les étapes de conception sont simples à faire vivre par la suite".
Nicolas CABARET côtoie le monde de l’informatique depuis 17 ans. Cet univers est en perpétuel évolution donc on doit avancer et apprendre continuellement. Cela me permet de comprendre et d’accompagner les clients sur les évolutions technologiques . En tant qu’Ingénieur Commercial du secteur Santé chez Olfeo, j’accompagne et conseille les clients sur les évolutions produit, la protection de navigation.
Conférence 15 – « La pédagogie de la crise SSI : une réponse agile aux menaces sur les SIS »
Résumé de la conférence : Protéger les données des patients semble une évidence ; analyser les risques, mettre en place des protections pour limiter les menaces sont des actions aujourd’hui classiques mais les menaces évoluent vite et un jour, la crise arrive : « Nous n’avons plus d’accès aux ordinateurs ! Que se passe-t-il ? Nos données sont cryptées ? Nous subissons un déni de service ? Notre annuaire a été corrompu ? Pourtant nous avions plein de protections ! Vous ne savez pas par où commencer ? En plus, on nous demande une rançon ! Personne n’est capable de couper immédiatement internet ? On a nos applications dans le cloud ? Qui doit-on alerter ? Qui peut nous aider ? ... Help ! » Locky, Wannacry, Petya, attaques sur les scada, prise de contrôle de dispositifs médicaux connectés… une infinité d’évidences à anticiper. Et si vous vous étiez préparés avant ? Seront abordées la préparation et la pédagogie de la crise, car au-delà de répondre à des situations complexes d’incidents, se préparer à la gestion de crise conduit l’ensemble des acteurs à identifier des scénarios possibles, des points faibles, et amène donc à améliorer de nombreux éléments conduisant à rendre pragmatiques les PCA et PRA souvent existant, mais peu fiables. Une crise de sécurité affectant le système d’information peut prendre des formes variables et inattendues : cyber attaques, sinistres naturels, erreurs de maintenance, coupure de fibres optiques lors de travaux de voierie en sont des exemples. Le conseil donné aux établissements et entreprises qui souhaitent mettre en place un management de la sécurité, voire une certification ISO27001 est généralement de commencer par la mesure de sécurité la plus urgente : préparez-vous à la gestion de crise du SI. La mise au point de 2 jeux de rôles « scène de crise » et « cyber battle » permettront d’immerger les acteurs en situation de risque. Nous proposerons une immersion pour éprouver la pédagogie de la crise. Les menaces sont agiles, les crises sont inévitables, préparons-nous pour maîtriser ses situations !
Un parcours très varié passant par l’industrie (MICHELIN), l’Enseignement supérieur et la Recherche (Universités d’Auvergne et de la Méditerranée), la Santé et des domaines d’activité balayant une grande diversité des métiers du SI (process industriel, développement, méthodes, formation) ont amené Philippe TOURRON à la sécurité et surtout à la gestion des risques avec une volonté de transversalité.
Après la mise en place de la PSSI à l’Université de la Méditerranée et la participation au déploiement national d’un kit PSSI pour les Universités, il s’est tourné vers un secteur où l’enjeu de sécurisation est vital pour les patients : la santé. Trois agréments Hébergeur de Données de Santé de l’APHM et la certification ISO 27001 pour ce périmètre marquent une construction de 5 années avec un fil rouge constant depuis 15 ans la formation à la gestion des risques (à l’Université et à l’APHM).
Conférence 16 – « RGPD : de la réglementation à la réalité »
Blandine DELAPORTE est ingénieur diplômée de l’ESIGELEC. Après 6 ans en tant qu’ingénieur réseaux et sécurité chez Fininfo (Six Telekurs), elle a ensuite passé 9 ans chez SFR où elle a exercé plusieurs métiers de responsable de projet à manager d’équipe, toujours dans le domaine des réseaux et de la sécurité. Fin 2015, Blandine fait le choix de passer du côté éditeur en intégrant Check Point, leader mondial en cybersécurité, où elle a la responsabilité d’une équipe avant-vente en charge des partenaires, des GSI et de l’activité Territory. Blandine est membre du CEFCYS (CErcle des Femmes de la CyberSécurité), association dont l’objectif est de promouvoir et faire progresser la présence et le leadership des femmes dans les métiers relatifs à la sécurité des systèmes d’information.
Jordan TREHOUT a rejoint Check Point il y a 1 an et demi en tant qu’Ingénieur Avant-Vente pour le Secteur Public dont la santé, sur les régions du Grand Ouest et de l’Ile de France.
Après avoir effectué ses études en alternance et obtenu un master en sécurité informatique, il décide d’apporter ses compétences et ses connaissances afin de sécuriser les données personnelles des organisations publiques.
Conférence 17 – « APT : étapes d'une attaque et contre-mesures opérationnelles en environnement médical »
Résumé de la conférence
Les données des patients hébergées dans un système d’information constituent des informations très sensibles et le règlement européen sur la protection des données personnelles, le RGPD, applicable à partir du 25 mai 2018, prévoit de lourdes peines pour un établissement qui aurait laissé exfiltrer ce genre de données en raison d’une insuffisance de protection imputable à lui-même ou à un sous-traitant. Les menaces persistantes avancées (ou APT – Advanced Persistent Threats) représentent l’un des risques à redouter. Elles ciblent les informations qui peuvent compromettre une organisation, procurer un atout à la concurrence ou encore rapporter de l’argent aux cybermalfaiteurs. Elles sont persistantes car, une fois l’attaque réussie, le vol des données peut avoir lieu pendant une longue période. Et elles sont avancées, non par leur sophistication, mais par la phase redoutable d’ingénierie sociale qui les précède.
Gérard PELIKS est expert en sécurité de l’Information. Il préside l’atelier sécurité de l’association Forum ATENA, dans lequel il organise de grands évènements autour de sujets comme la cybersécurité, le futur de l’Internet et la cyberstratégie. Il coordonne l’écriture de livres collectifs sur la sécurité de l’information. Il est membre du conseil d’administration de l’ARCSI (Association des Réservistes du Chiffre et de la Sécurité de l’Information), membre de la réserve citoyenne de cyberdéfense de la gendarmerie nationale, et anime les « Lundi de l’IE » du Cercle d’Intelligence Economique du Medef Ile-de-France. Gérard Peliks est chargé de cours sur différentes facettes de la sécurité, dans le cadre de Mastères de l’Institut Mines-Télécom et du Pôle Léonard de Vinci
Conférence 18 – L’irrésistible ascension de la SSI Santé : Gouvernance - camp 3, Sécurité - camp de base
Résumé de la conférence : La multiplication des référentiels de sécurité applicables au secteur de la santé et la réorganisation des établissements en GHT forcent les organisations à (re)-penser la gouvernance de la sécurité. Conséquences : des avancées et une montée en maturité déjà observées ou prévisibles. Pourtant le challenge de la mise en œuvre opérationnelle reste un vrai défi. Derrière ce titre imagé, les intervenants vous feront part de leur expérience dans les établissements de santé et vous proposerons des axes d’amélioration concrets pour organiser et piloter une sécurité forte au quotidien.
Nicolas PIERRE est consultant sécurité au sein du pôle Conseil d’Advens. Il possède 10 ans d’expérience dans la cyber sécurité et intervient principalement dans les domaines de la gouvernance et de la gestion des risques SSI. Nicolas a accompagné RSSI et DSI de presque tous les secteurs d’activité, dont le domaine de la santé, fort en besoins et législation, principalement au travers d’homologation RGS. Certifié ISO 27001 Lead Auditor, il prépare notamment les établissements de santé à la certification HDS.
Jérémie JOURDIN est responsable de l’innovation au sein de la Direction Technique d’Advens. Avec ses équipes, il conçoit et développe des approches techniques innovantes pour adresser les nouvelles problématiques de sécurité. En particulier, la détection de menaces actuellement invisibles pour les systèmes de détection traditionnels. Son terrain de jeu est le SOC nouvelle génération d’Advens, « mySOC », au sein duquel il élabore de nouveaux algorithmes « intelligents », basés sur des techniques de machine learning. Jérémie est également mainteneur du Firewall Applicatif « Vulture », unique WAF Open Source implémentant des techniques de détection et de blocage basées sur du machine learning.
Conférence 19 – Quelle sécurité pour les équipements médicaux ?
Résumé de la conférence : Un panorama des dernières vulnérabilités et attaques affectant les équipements de santé sera présenté, ainsi que les différents principes à prendre en considération lors de l’acquisition et de l’exploitation de ce type d’équipement.
Helmi RAIS est un expert en Cybersécurité ayant une quinzaine d’années d’expérience. Il est actuellement Responsable des offres Cybersécurité chez Axians Cybersecurity Paris et responsable de l’équipe AlliaCERT (Alliacom Computer Emergency Response Team). Il est orateur et paneliste dans une cinquantaine d’événements relatifs à la cybersécurité (TEDx, ITU, FIRST, OIC-CERT, TFCSIRT, CCDF, CNIS Mag, Securiday). Il est membre fondateur de plusieurs entités : ANSI, AlliaCERT, TUNCERT, OIC-CERT, AfricaCERT DevTeam, et membre du bureau de l’ISC2 Chapter en France.
Conférence 20 – « La sécurité des accès et des identités en milieu hospitalier : conjuguer protection, productivité et conformité »
Résumé de la conférence : Alors que la règlementation se durcit et que le secteur hospitalier est en pleine mutation avec la montée en puissance des GHT et ARS, la sécurité des accès aux systèmes informatiques et aux identités privilégiés dans les établissements de santé est un enjeu crucial.
Par ailleurs, le nombre de prestataires devant avoir accès aux SI des hôpitaux pour des opérations de télémaintenance est en constante augmentation, tout comme le personnel soignant devant travailler en télémédecine, où qu’il se trouve.
Il est donc désormais indispensable pour les centres de soin et les groupements hospitaliers d’être en mesure de protéger leurs accès à distance - cible de prédilection dans le cadre de cyber-attaques - et par conséquence, la disponibilité en continue des dispositifs médicaux logiciels et matériels, ainsi que l’intégrité des données patients. Une stratégie de défense solide protège donc les accès, systèmes, données et identités de connexion, tout en renforçant la productivité et en facilitant le respect des normes et règlementations telles que HIPAA, PCI-DSS ou RGPD.
Découvrez la méthodologie en six étapes proposées par Bomgar pour réduire la surface d’attaque en protégeant les chemins d’accès à vos systèmes critiques et les identités privilégiées et ainsi limiter les risques de compromissions sans que cela n’impacte l’efficacité de vos opérations.
William CULBERT est Directeur Commercial Europe du Sud chez Bomgar depuis Octobre 2017. Avant d’intégrer Bomgar, William a développé un large périmètre de compétences dans le domaine de l’informatique dont le devops, la sécurité, le cloud et la transformation numérique au sein de HP Software où il a travaillé pendant 7 ans.
En 2014, il a rejoint Bomgar, dont il fut l’un des premiers membres en Europe, et a occupé le poste de Directeur Technique EMEA pendant plus de 3 ans. Son rôle incluait la mise en place, la gestion et la direction de l’équipe Solutions Engineering EMEA. Il a notamment beaucoup collaboré avec l’équipe produit, les équipes commerciales locales, la direction et le marketing. Cela lui a permis de développer une grande connaissance de l’entreprise, des différents marchés en Europe et des problématiques clients par industrie. Ces différentes expériences lui ont ainsi permis d’accompagner ses clients, prospects et partenaires dans un grand nombre de secteurs et ainsi d’élargir ses connaissances tant techniques que commerciales.
Désormais, les principales missions de William Culbert consistent en la gestion des équipes et bureaux français (situés à Paris) et au développement des activités de Bomgar sur la région France et Europe du Sud.
Conférence 21 - Table ronde actualité juridique française et... européenne des SIS
Résumé de la conférence : « L’analyse macro juridique de l’environnement des GHT peut se modéliser selon 3 états : l’état solide, l’état gazeux et l’état liquide. L’état solide symbolise le schéma directeur du système d’information (SDSI) unifié, la charpente du GHT. L’état liquide représente la fluidité des mouvements de personnels, puis de patients, intra GHT. Enfin, l’état gazeux relève de l’absence de personnalité morale donnée au GHT et ses conséquences. La construction du GHT, de son SI et de ses ressources est une alchimie complexe. La recherche de celle-ci constituera l’objet de cette conférence et le sens des débats qui s’ensuivront. »
Vice-président de l’APSSIS, Maître Omar YAHIA, Avocat au barreau de Paris, s’est très tôt spécialisé en droit de la santé (droit hospitalier, droit médical et droit pharmaceutique). Il conseille, représente et défend les intérêts des établissements de santé, des professionnels de santé et des opérateurs/ prestataires. Formateur, chroniqueur et consultant, Maître YAHIA intervient tant en conseil qu’en contentieux, en droit de la santé numérique (télémédecine, e-santé, LAP/ LAD), droit financier et en ressources humaines.
Résumé de la conférence : « Protection des données dès la conception et par défaut : exigences, procédures et politiques internes (accountability), contractualisation et application du RGPD dans la durée »
Maître Marguerite BRAC DE LA PERRIÈRE, Directrice du département santé numérique du cabinet Alain BENSOUSSAN Avocats, a une activité dédiée au secteur de la santé et des nouvelles technologies. Elle conseille des groupements de coopération sanitaires, des autorités, des établissements de santé, des éditeurs, des hébergeurs, des groupes de grande consommation, des mutuelles et assurances ainsi que des startups, principalement en matière de :
• protection des données à caractère personnel
• partage et d’échange des données
• hébergement des données de santé
• télémédecine
• objets connectés
• et contrats informatiques et de licence