Conférences et Conférenciers CNSSIS 2021

9ème Congrès National de la Sécurité des Systèmes d'Information de Santé

Conférence 1 –Table ronde Institutionnelle - « Actualité institutionelle 2021 »

Dominique PON pilote pour le ministère de la santé le virage numérique de la stratégie de transformation du système de santé. Il est responsable stratégique de la transformation numérique en santé en tant que collaborateur du ministre.

Jean-François PARGUET est Ingénieur diplômé de l’Ecole Française Electronique Informatique (EFREI). Son parcours professionnel est le suivant : de 1984 à 1990, successivement chez Steria puis Telesystemes, Jean-François Parguet est en charge de la réalisation de grands projets informatiques : le nœud de transit international (NTI 2 G) de France Telecom, le système de commandement des missiles HADES (CORHAD) pour Thomson DTC, etc.

De 1991 à 2002, il intègre le Groupe ON-X Consulting, au sein duquel il est successivement associé du pôle « systèmes d’information » puis directeur associé du « pôle sécurité ». En complément des activités de gestion du centre de profit, il exerce le rôle de directeur opérationnel des projets de réalisation ou de conseil, les plus sensibles au profit de ses clients, parmi lesquels : la CNAMTS, le Ministère de la Défense, la Fédération Nationale du Crédit Agricole, le renseignement militaire, Pernod-Ricard, BNP- Paribas, …

De 2002 à 2006, il est Chef du département Sécurité, Réseau et Marchés, AQSSI (Autorité qualifiée SSI), et membre du comité de direction, de l’Agence pour l’Informatique Financière de l’Etat (AIFE - Ministère des Finances). Il est en charge, plus particulièrement, de la sécurité des programmes Accord et Chorus.

En 2006, Jean-François Parget intègre le GIP DMP, actuelle Agence du Numérique en Santé, en tant que Responsable de la Sécurité des Systèmes d’Information (RSSI) et Directeur des Référentiels, de l’Architecture et de la Sécurité.

En 2021 il prend la fonction de Fonctionnaire de Sécurité des Systèmes d’Information (FSSI) du Ministère des Solidarités et de la Santé.

Depuis fin décembre 2019, Charlotte DRAPEAU est cheffe du bureau Santé et Société à l’ANSSI.

Avant cela, elle travaillait sur des problématiques de sécurisation de l’information au sein des établissements de santé après un passage dans la cybersécurité des systèmes industriels. Elle a commencé sa carrière par la connaissance métier, en tant qu’attachée de direction d’un établissement de santé.

Michel RAUX a rejoint, en août 2015, le Bureau des systèmes d’information des acteurs de l’offre de soins de la DGOS, au Ministère des Solidarités et de la Santé. Il a en particulier pour mission d’y suivre les questions relatives à la sécurité des systèmes d’information dans les établissements de santé. Il a auparavant exercé pendant une trentaine d’années au Centre Hospitalier de Versailles, notamment en tant que Directeur des Systèmes d’Information. Durant cette période, il a également participé aux travaux du GMSIH comme conseiller technique, créé le Collège des DSIO de CH, qu’il a présidé de 2001 à 2010, et co-organisé les Forums annuels des DSIO de CH à l’ENSP de 2002 à 2008. Il est également intervenu à l’ENSP et au CNAM, en particulier pour des retours d’expérience sur le développement des systèmes d’information hospitaliers. Un de ses centres d’intérêt est d’étudier un modèle « Corpus » qui confronte entre elles les logiques de conformité, d’organisation, de gestion des risques, de bonnes pratiques et d’usages réels des technologies de l’information. Michel Raux est ingénieur de l’école des Hautes études d’ingénieur (HEI-Lille) et docteur-ingénieur en génie biomédical (Lille 2 – Droit et santé).

Conférence 2 – « Réalisez votre première analyse de risque avec EBIOS RM »

Résumé de la conférence

Les analyses de risque n’ont pas toujours très bonne réputation : chères, fastidieuses, documentation volumineuse, réservées aux spécialistes en cybersécurité, etc. Stéphane aide les ingénieurs et architectes système du Groupe Thales à réaliser leur 1ères analyses de risques avec une approche agile, collaborative et plutôt amusante. L’analyse se fait dans la bonne humeur, avec des posters et des post-its, en présentiel ou en distanciel. Le rapport final est un modèle de sobriété (14-15 pages). Riche de son expérience d’accompagnement en interne Thales, Stéphane vous propose de mener une mini-analyse de risque en direct. A l’issue de cette présentation interactive, vous aurez peut-être envie, vous aussi, d’essayer cet exercice au sein de votre entité…

Stéphane PAUL est chercheur et formateur occasionnel en cybersécurité à Thales Research & Technology, situé à Palaiseau, en région parisienne. Depuis 2010, son thème principal de recherche est l’analyse de risque. Le cœur de ses préoccupations est d’outiller les évaluations de risques, et de les rendre facilement accessibles à tous, aux experts en cybersécurité comme aux architectes ou ingénieurs de développement. Il a longuement coopéré avec la société ALL4TEC pour le développement des outils Cyber Architect et Agile Risk Manager. Sa dernière innovation s’appelle Obérisk, une approche agile à la méthode EBIOS - Risk Manager du type Obeya.

C’est ce qu’il va vous présenter maintenant… avec votre participation active !

Conférence 3 – « CERT Santé : un appui aux établissements face aux menaces de cybersécurité »

Résumé de la conférence

Depuis 2017, le CERT Santé (anciennement cellule ACSS) est devenu un partenaire de confiance des établissements sanitaires et médico-sociaux en matière de sécurité opérationnelle. L’ANS a obtenu fin 2020 la reconnaissance par l’ANSSI et l’InterCERT-FR de la maturité du CERT Santé dans la réponse aux incidents et la veille sur la menace de cybersécurité. Le CERT Santé présentera ses activités d’accompagnement en se basant sur une intervention réalisée au profit du CH de la Ferté-Bernard.

Emmanuel SOHIER - Responsable de l’ex. Cellule ACSS

Lionel PRAT - Expert sécurité à l’Agence du Numérique en Santé

Conférence 4 – « Voyage au centre de la donnée de santé : duplication, distribution, décentralisation »

Résumé de la conférence

Auparavant, un praticien / clinicien utilisait "uniquement" ses connaissances pour estimer les taux de réussite selon les traitements associés pour un patient.

Elles lui permettaient de prendre des décisions sur les moyens mis en œuvre pour la bonne réussite d’une opération, d’un traitement, des risques associés, …

Aujourd'hui, le praticien / clinicien s'appuie sur des données plus larges : celle de l'établissement.

Ces données sont brutes et c'est à lui, toujours par sa connaissance, de réaliser les études et de prendre les bonnes décisions.

Demain, ce même praticien / clinicien devra s'appuyer sur des données encore plus larges : celles de sa spécialité.
Ces données sont multi-établissements, en France, en Europe, au niveau mondial. L'intelligence artificielle l'aidera à prendre les bonnes décisions.

Par exemple, la contextualisation a été récemment développée avec les concepts de "patient d'intérêt" (POI) et de "patient de référence" (POR). Les données POI se rapportent à un patient donné, objet d'une décision clinique. Les POR composent un sous-groupe pertinent dans une base de données, partageant généralement les caractéristiques du POI. Ils font l'objet d'une modélisation statistique. Cette distinction reflète les différents traitements de données, liés à la prise de décision clinique pour les POI, et à la modélisation mathématique pour les POR, et façonne l'architecture de données des applications médicales informatiques. 

L'année dernière, nous vous avons présenté le risque à la duplication de la donnée. Pour continuer dans cette perspective, nous allons avec Pierre-Antoine GOURRAUD vous présenter :

  • Les possibilités et le choix retenu pour déplacer et traiter les données des différents centres,
  • Les gains de l'IA et le potentiel que nous ouvrent ces solutions, tout en laissant la maitrise au centre de référence de la donnée.

Venez partager avec SIGMA et le CHRU de Nantes ce retour d'expérience sur l’évolution du traitement des données de santé et ce que l’IA va permettre.

Conférence 5 – « Une migration pragmatique de votre réseau vers une architecture Zero trust »

Résumé de la conférence

La (micro)segmentation du réseau n'est pas une nouveauté, elle est déjà prise en charge par les réseaux LAN et WLAN depuis de nombreuses années. Mais la généralisation de cette pratique a été freinée par un manque de compréhension des applications et IoT médicaux qu'elle est censée protéger ainsi qu’une trop grande complexité des fonctionnalités disponibles dans les équipements réseau et des architectures qui les combinent. Pour cette raison, les initiatives de micro-segmentation réseau sont souvent considérées "trop difficiles" et non abouties. Jusqu'à présent en tout cas. Cette présentation abordera une méthode la plus simple possible, en 5 étapes, pour segmenter le réseau et obtenir une architecture Zero trust, conforme aux nouvelles exigences en matières de cybersécurité tout en assurant la continuité des activités.

Laurent BOUCHOUCHA est Vice-Président Développement Commercial dans la division Réseau d’Alcatel-Lucent Enterprise.

 Laurent dirige une équipe internationale dont les responsabilités incluent le Marketing Solutions, les Architectures Techniques et le Développement Commercial.

 Au cours de 20 ans d’expérience internationale focalisée sur les réseaux d’entreprise, Laurent a été en charge du marketing et du développement commercial pour la start-up 6WIND, spécialisée dans les logiciels réseaux embarqués. Laurent a également été Directeur du Marketing Produit pour les produits de commutations et d’administration de réseau chez Enterasys Networks (maintenant Extreme Networks)

Philippe Loudenot est ancien fonctionnaire de sécurité des systèmes d’information des ministères chargés des affaires sociales, il œuvre pour la protection des informations et la sécurité du numérique depuis de nombreuses années. Il est depuis fin 2020 le Référent Cybersécurité de la Région des Pays de la Loire.

Conférence 6 – Conférence spéciale de Michel DUBOIS

Michel DUBOIS est directeur scientifique et technique au sein de la direction de la cybersécurité du Groupe La Poste. Ingénieur en informatique, titulaire d’un mastère spécialisé en Sécurité des Systèmes d’information et docteur en cryptologie, Michel a exercé pendant près de trente ans des fonctions de responsable de la SSI au sein du Ministère des Armées. Il est, par ailleurs enseignant chercheur au sein du laboratoire de Cryptologie et de Virologie Opérationnelles de l'ESIEA à Laval. Il est membre du club des experts de la sécurité de l'information et du numérique (CESIN), du conseil d’administration de l’association des réservistes du chiffre et de la sécurité de l'information (ARCSI) et du club de la sécurité de l'information français (CLUSIF).

Conférence 7 – « Gestion de la sécurité numérique des équipements biomédicaux dans les établissements de santé »

Résumé de la conférence

L’informatisation croissante des équipements médicaux et la nécessité d’une intégration toujours plus importante au système d’information hospitalier et au dossier patient ont placé la sécurité numérique au cœur des préoccupations des ingénieurs biomédicaux.

Cette présentation restitue les conclusions et recommandations de l’Association française des ingénieurs biomédicaux (AFIB) pour une meilleure intégration des exigences informatiques dans les procédures d’achats et dans la gestion du cycle de vie des équipements. 

Valérie MORENO est ingénieure diplômée de l’Université de Technologie de Compiègne. Elle exerce les fonctions d’ingénieur biomédical au CHU de Bordeaux et y a occupé différents postes depuis 2002. Elle a été élue au Conseil d’Administration de l’AFIB, Association Française des Ingénieurs Biomédicaux en 2018. Elle en est la Présidente depuis octobre 2019.

Sandrine ROUSSEL est docteur en Sciences de la vie et de la santé, ingénieure biomédicale au CHU de Besançon. Membre élue du comité d’administration de l’AFIB, en charge des questions relatives à la sécurité numérique et au domaine des laboratoires, elle a dirigé en 2020 un groupe de travail sur la sécurité numérique des équipements biomédicaux, qui a abouti à la publication d’un rapport et de recommandations à destination des services biomédicaux des établissements de santé.

Conférence 8 – « Clinical Zero Trust: Comprendre et relever les défis spécifiques du secteur de la Santé en matière de Cybersécurité »

Résumé de la conférence

De nos jours, on ne peut parler de la Cybersécurité sans parler du « Zero Trust » (zéro confiance). Il y a tellement de bruit autour du « Zero Trust » qu'il est difficile de savoir exactement de quoi il s'agit

et ce que cela implique, en particulier pour le secteur de la Santé. Notre présentation aidera à mieux comprendre ce modèle de sécurité et, surtout, comment il peut protéger la technologie au cœur des soins cliniques. 

Nous aborderons les points suivants :

  • À quoi ressemble le « Zero Trust » pour les établissements de Santé
  • Les défis liés à la mise en place d'un modèle « Zero Trust »
  • Comment relever ces défis & les étapes à suivre

Hervé BOURGEOIS, pionnier de la Cybersécurité ayant démarré l'activité de Check Point en Europe en 1995 comme Vice President Sales EMEA et depuis ayant rejoint différentes start-ups dans le domaine du Cloud comme CTERA or de la Cybersécurité comme Guardicore et depuis 18 mois Medigate.

Offir LEVY travaille avec l'équipe Produit, le R&D et l'équipe Data à Medigate pour aider les établissements de Santé à sécuriser et gérer leurs réseaux. Ayant servi 12 ans dans les Forces de Défense Israéliennes 

Il utilise son expérience en Cybersécurité afin d'analyser des systèmes complexes avec des technologies de pointe afin de solutionner des problèmes réels qui touchent les établissements hospitaliers.

Conférence 9 – « Cartographie & visibilité: socle essentiel de la cyber-sécurité en environnement de santé »

Résumé de la conférence

On ne peut protéger que ce qu’on connait et maîtrise.

Toute stratégie cyber doit donc s’appuyer sur la cartographie comme socle fondamental, en priorité avant d'autres briques de sécurité.

La visibilité doit être totale - sur les actifs, leurs activités, les vulnérabilités, comportements à risque et menaces - et doit couvrir TOUS les actifs: IT managé comme non managé, biomédical, IoT, GTB, téléphonie, infra réseau, etc. même virtuel et Cloud si besoin !

Dans cette conférence, Mauro Israel, expert consultant RSSI, fera une analyse stratégique du sujet, et Frederic Benichou montrera comment la solution Armis répond précisément à ce besoin prioritaire.

Frédéric BENICHOU a plus de 20 ans d’expérience dans le domaine de la Cyber Sécurité, ayant démarré l’activité en France de plusieurs jeunes sociétés technologiquement innovantes.

Il a récemment rejoint la société Armis, qui se veut un leader mondial dans le domaine du Management Cyber des Assets et de la sécurité des devices sans agent – avec un focus particulier dans le secteur de la santé.

Précédemment, Frederic dirigeait la société SentinelOne en France, dans le domaine de l’EDR. Avant cela, il avait monté et dirigé la filiale française de plusieurs sociétés innovantes : Elastica (CASB), Zscaler (sécurité dans le Cloud), IronPort (sécurité de la messagerie), et Alteon WebSystems (load-balancing).

Mauro ISRAEL est expert en cybersécurité. Il intervient depuis plus de 30 ans lors de sensibilisations à la sécurité, effectue des audits de sécurité et du consulting.

Diplômé de l'Institut Supérieur du Commerce, Mauro a obtenu les certifications professionnelles de Programmeur de l'Armée Française, Master CNE Novell, Microsoft Certified Professional, proCSSI de l'Université Léonard de Vinci, MASTER ISO27001 et Certified Lead Auditor et Implementer.

Dans sa carrière, Mauro a déjà réalisé plus d'une centaine de missions de conseil et d'audit, notamment pour les centrales nucléaires d'EDF, Ariane Espace, Alcatel, Ford, Crédit Immobilier de France, Peugeot PSA, Bosch, Institut Curie, Bureau Veritas, Valeo, Société Générale, SFR, Ferrero, Bank of Africa, Commission Européenne, Oceanet, BOAD et ORPEA.

Il est l'auteur de plusieurs livres et articles parus dans de nombreux magazines spécialisés sur la sécurité informatique, « CYBER SECURITY INSTINCT » (Lulu Press éditeur). Il dispense des conférences, entre autres, aux Assises de la Sécurité, Infosecurity et NetFocus. Il a enseigné la sécurité de l'information à l'Ecole Nationale Supérieure des Télécommunications de Paris, ainsi qu'à la Commission Européenne et à l'Université d'Economie de Lille. 

Conférence 10 – « Comment construire un service SOC Santé sans multiplier les outils ? »

La mise en place d'un service SOC est très complexe/coûteuse et la prise en charge des spécificités du métier de la Santé est souvent mise de côté. Grâce à l'innovation des solutions Cortex de Palo Alto Networks et du service d'Orange CyberDéfense, il est désormais possible de mettre en place efficacement et rapidement, un centre de pilotage de la Sécurité qui prendra en compte : IT Traditionnel, IT Santé (Biomed, Flux métier comme le DICOM/HL7) et aussi les flux IT Industriel (GTC-GTB) afin de détecter les compromissions et les comportements suspects sans multiplier les outils de préventions et détections. Cette conférence fera référence à de nombreux retours d'expérience terrain.

Conférence 11 – « Comment appliquer une politique de cyber-hygiène pour protéger vos applications, utilisateurs et données ? »

Ghaleb ZEKRI est Senior Security Architect au sein de l'équipe d'architecte SDDC EMEA de VMware. Il travaille en étroite collaboration avec les clients dans la phase de conception, de construction et de mise en œuvre de leur Software-Defined Data Centre et de leurs stratégies cloud, en utilisant le modèle d'architecture de sécurité intrinsèque VMware pour créer des environnements multi-cloud plus sécurisés, adaptatifs et agiles.

Ghaleb a plus de 18 ans d'expérience dans l'industrie de la sécurité et de l'ingénierie des systèmes, ayant occupé des postes de direction dans de grandes entreprises et des organisations de fournisseurs. Avant de rejoindre VMware en 2015, il a passé 5 ans chez Juniper Networks, où il est devenu ingénieur conseil en sécurité au Juniper Networks Center of Excellence. Auparavant, il était architecte de solutions de sécurité chez IBM, où il a joué un rôle important dans le développement des systèmes de sécurité Internet au sein d'IBM Global Technology Services.

Conférence 12 – Table ronde de l'ASINHPA - « Sécurité des SIS et Obligations des structures de santé : enjeux des certifications (HDS, MaturiN-H), de leur opposabilité et des audits de contrôle »

Résumé de la conférence

La sécurité des SIS tient en place essentielle dans la stratégie numérique du Gouvernement, comme l’a rappelé le Président Emmanuel MACRON en février 2021. Suite aux nombreuses attaques subies par les structures de santé, ce sont 350 M€ du Ségur de la santé qui seront consacrés au renforcement de la sécurité des SIS, et 5 à 10% des budgets globaux des projets numériques devront être dédiés à leur sécurité. La création d’un observatoire permanent du niveau de sécurité des établissements de santé ainsi que la montée en puissance du service national de cybersurveillance en santé font également partie des objectifs court terme, tout comme l’intégration d’un programme de sensibilisation des professionnels de santé à la cybersécurité au sein des cursus de formation. Plusieurs questions se posent : Comment le futur référentiel MaturiN-H va intégrer le volet sécurité des SI, à l’heure où les 135 GHT ont été désignés OSE ? Quelle sera le poids de la sécurité des SI au sein d’un référentiel intégrant 7 thématiques, dont la qualité et la performance du SI, l’éthique et l’usage ? Quel message envoie l’exemption annoncée de la certification HDS pour les GHT, remplacée par la notion de coresponsabilité des traitements partagés ? Comment assurer la chaîne de sécurité de bout en bout, c’est-à-dire de l’éditeur à l’utilisateur final, en intégrant l’hébergeur, l’infogéreur, l’établissement de santé et quel homogénéité dans les obligations et les responsabilités de chacun ? Quelles modalités de contrôles seront in fine déployées, intégrant des audits internes et des audits externes indépendants et quelles seront les opposabilités réglementaires ?

Conférence 13 – « L’appli carte Vitale et ENS : au cœur de la sécurité des données de santé du citoyen »

Résumé de la conférence

L’appli carte Vitale a pour ambition de devenir un système de référence pour l’identification électronique, et tout particulièrement dans le secteur Santé Social.

L’Espace Numérique de Santé va permettre de stocker et de partager ses données de santé pour être mieux soigné, il s’inscrit dans la continuité du Dossier médical partagé (DMP) en y ajoutant une messagerie sécurisée de santé, un agenda santé et un catalogue de services numériques en santé.

La complémentarité est évidente : l’un servant de clef d’accès à l’autre.

Cette présentation permettra de partager avec l’auditoire les enjeux sécurité de ces systèmes et certains challenges de sécurité rencontrés.

Seront notamment abordés les sujets suivants : le règlement eIDAS, la vérification d’identité à distance (et le nouveau référentiel ANSSI associé), les deepfake, les modalités d’accès à l’ENS (usagers et professionnels de santé) ainsi que les principaux chantiers et enjeux de sécurité. 

Emmanuel DEBOFFLES est responsable du département sécurité des systèmes d'information à la Caisse Nationale d'Assurance Maladie depuis 2017. A ce titre, il est en charge des équipes de management de la sécurité du SI, expertise technique sécurité et fabrication de produits de sécurité. De formation ingénieur ISEN à LILLE, il a travaillé sur différents projets d'informatique temps réel embarquée avant de rejoindre la Cnam en 1998 pour y exercer des responsabilités techniques et de développement puis de pilotage de la sécurité du SI.

Benoît CALMELS est le RSSI du GIE SESAM-Vitale. Son périmètre couvre la maîtrise des risques des services sous responsabilité du GIE, ainsi que la mise en œuvre des chaînes cryptographiques critiques, en particulier liées à la carte Vitale.
Avec 20 ans d’expérience dans le milieu de la SSI, il a commencé sa carrière en tant qu’ingénieur R&D dans le laboratoire de sécurité et cryptographie d’Orange Labs, puis il a occupé le poste d’expert sécurité au sein du Ministère de l’Intérieur dans une direction opérationnelle (cybercriminalité, forensics). Il a ensuite rejoint le GIE Cartes Bancaires où il a notamment travaillé à la mise en place de standards de sécurité internationaux en monétique (PCI, Critères Communs), avant d’intégrer le GIE SESAM-Vitale en 2014.
Il est diplômé de l’Ecole Centrale Marseille et de l’Ecole Supérieure d’Electricité.

Conférence 14 – « La sécurité à l’ère du cloud – Enjeux et étapes pour une transformation digitale réussie »

Résumé de la conférence

La transformation digitale est entrée dans une phase de croissance exponentielle ces dernières années et la pandémie Covid-19 s’est révélée un puissant accélérateur de l’adoption et de l’extension de l’utilisation du cloud.

Le cloud devient la nouvelle norme. Cela engendre toutefois de nouvelles menaces auxquelles il faut faire face dans un contexte où le périmètre réseau, de fait, s’affaiblit.

Vous découvrirez comment appréhender ce voyage vers le cloud tout en sécurisant les applications, les données et les utilisateurs.

Conférence 15 – « HDS et SecNumCloud : quels impacts sur la sécurité des services publics de santé ? »

Résumé de la conférence

Dans sa nouvelle version, la doctrine cloud de l'Etat promeut l'utilisation de solutions qualifiées SecNumCloud. Elle est applicable aux services publics, les Organismes d'Importance Vitale et les Opérateurs de Services Essentiels. 

Cela se traduit dans le secteur de la santé par des infrastructures qui porteront deux certifications/qualifications : HDS et SecNumCloud. Il s'agit ainsi d'un nouveau standard de sécurité à implémenter sur les traitements de données liés aux service publics de santé. Fort de nos qualifications SecNumCloud et certifications HDS, nous vous proposons un retour d'expérience sur la mise en œuvre de ces référentiels de sécurité.

Emmanuel MEYRIEUX est responsable sécurité client chez OVHcloud. L'équipe sécurité client se charge de l'adaptation des services OVHcloud aux métiers des clients, par l'analyse des normes, standards et réglementations applicables à leurs secteurs d'activité, et notamment pour le secteur de la santé. L'équipe est aussi en charge de la publication de la documentation de sécurité et la réponse aux questions des clients relatives à la sécurité des produits.

Formé à l’école d’ingénieur ISIS (Informatique et Systèmes d’Information pour la Santé) et dans une école d'ingénieurs généraliste. Il a été responsable qualité pour l'un des premiers hébergeurs agréé pour les données de santé, puis a fait du conseil en organisation. Il enseigne dans plusieurs écoles d'ingénieur la modélisation et la sécurité de l'information.

Conférence 14b – « Retour d'expérience: Votre établissement de santé a été attaqué ? Comment s'y préparer et mieux s'en relever ? »

Résumé de la conférence

Axians a accompagné des Etablissements de Santé qui se sont fait attaquer par un logiciel malveillant, afin de les aider à retrouver un système d’information opérationnel .

De l’identification du type de l’attaque à la récupération des données , jusqu’à la remise en route des applications, nous vous proposons ce retour d’expérience sur une démarche qu’il faut anticiper.

Aurélien AMBERT est consultant architecte au sein du pôle Consulting d’Axians Bordeaux. Avec ses 15 années d'expérience dans les datacenter dans le monde de la santé et des industries, ses missions d'architectures se sont portées sur des infrastructures en flux tendu avec un niveau de services et de sécurité exigeants. Son attention c'est naturellement porté sur l'automatisation des infrastructures SDDC a des fins d'immutabilité, sécurité et de rapidité de déploiement. Cela lui a valu d'intervenir sur plusieurs infrastructures touchées par des cryptolocker, santé ou privé. Aurélien a de nombreuses certifications axé sur les cloud privé et public, VMWare, Microsoft, Cisco...

Sami MABROUK est responsable du pôle Services Opérationnels chez Axians Cyber Security Paris. Il a plus de 15 ans d’expérience dans le domaine de la sécurité; Expert en Gouvernance, Gestion des risques, Conformité, Services managés, PCA/PRA, SMCA, CERT, SOC, CSIRT, DFIR, Pentest, Purple teaming, VMgt, IAM, PAM, NAC, etc.
Durant ses années d'expérience, il a occupé différents rôles comme RSSI d’un opérateur télécom, Président du comité de sécurité globale, Responsable d'audit, Auditeur technique, Responsable du SMSI, Gestionnaire de risques, Architecte de sécurité, Formateur, Responsable du SOC/CSIRT, Chef de département sécurité et réseau, etc.
Sami a de nombreuses certifications et qualifications dans le domaine de la sécurité telles que GCFA (GIAC Certified Forensic Analyst), CISSP, Responsable d’audit PASSI RGS, Auditeur organisationnel et physique PASSI RGS, ISO27001 Lead Auditor, ISO22301 Senior Lead Implementer, LPI, WCE…

Conférence 15b – « Comment le centre hospitalier universitaire de Poitiers et plus de 120 établissements de santé luttent efficacement contre les cyberattaques avec Olfeo ? »

Résumé de la conférence

Découvrez de quelle manière créer un environnement de confiance sur internet pour le personnel hospitalier grâce à un taux de reconnaissance du web de + de 99 %.

Pour réduire cette vulnérabilité, il est important d’investir dans des solutions solides et adaptées. C’est pourquoi, avec plus de 120 références dans le monde hospitalier, Olfeo est la solution de sécurité Web la plus déployée au sein des centres hospitaliers.

Dans cette conférence, vous découvrirez comment Olfeo  protège le centre hospitalier universitaire de Poitier des menaces du web grâce à sa passerelle de sécurité web.

Frédéric NAPOLEONE a fait toute sa carrière dans des fonctions commerciales au sein d’éditeurs de logiciels de premier plan, en particulier sur le secteur de la sécurité. Il manage et anime l’ensemble des équipes commerciales chez Olfeo: Channel, chasse et relation client. Spécialiste de la vente indirecte, il s’appuie sur sa connaissance du marché de la Cybersécurité et des réseaux de partenaires (intégrateurs et distributeurs) pour accélérer notre croissance sur ce marché et positionner Olfeo comme un acteur incontournable de la Cybersécurité en France et en Europe.

Conférence 16 – « Quand sécurité rime avec interopérabilité »

Résumé de la conférence

En tant que leader de l’interopérabilité en France, Enovacom est au cœur des hôpitaux et donc des données de santé. Cette expertise a été consolidée en 2018 avec notre intégration au groupe Orange Business Services, nous permettant de renforcer la sécurité de nos offres, grâce aux certifications Orange (ISO27K, ISO27001 et HDS). L’assurance d’une sécurité consolidée de nos offres, nous permet d’aller vers de nouvelles fonctionnalités et une nouvelle promesse : faciliter le quotidien des soignants et le parcours des patients selon un indicateur commun : le gain de temps.

Tout juste diplômé de l’EISTI, Laurent FRIGARA crée avec Renaud Luparia sa première société en 1997. Ils développent alors des logiciels pour la médecine de ville – leurs premiers pas dans la santé, un secteur d’activité qu’ils ne quitteront plus.

Fort de ce succès et après avoir cédé leur société, ils créent ensemble Enovacom en 2002. Leur mission : accompagner les structures de santé pour maîtriser leurs données afin de les aider à ouvrir leurs systèmes d’information.

Cette mission s’entoure également de la volonté de délivrer des solutions répondant de manière pragmatique à des besoins spécifiques. C’est de ces besoins qu’est né la suite de logiciels Enovacom, à ce jour la plus grande réussite de l’entreprise.

Fort d’une solide expertise dans le management des Systèmes d’Information de Santé, Olivier MERY a travaillé au sein de l’Institut Paoli-Calmettes en tant que DSIO Adjoint et Responsable Architecture pendant 17 années. Amené à travailler à la conduite du changement sur des projets d’informatisation avec les professionnels métiers, son expérience permet d’avoir une vision élargie des problématiques de l’informatique Santé.

Conférence 17 – Conférence spéciale de Cédric CARTAU

Cédric CARTAU est RSSI et CIL au CHU de NANTES, et est chargé de cours à l’Ecole de Hautes Etudes en Santé Publique (EHESP). Il réalise également des audits de systèmes d’information (www.siconcept.fr) pour le compte d’établissements publics ou privés dans différents secteurs d’activité. Il collabore régulièrement à DSIH et a publié les ouvrages suivants :

  • La sécurité du système d’information des établissements de santé, Presses de l’EHESP, 2012
  • Guide pratique du système d’information, Presses de l’EHESP, 2013
  • Stratégies du système d’information, vers l’hôpital numérique, Presses de l’EHESP, 2014
  • L’informatique d’entreprise au quotidien, Presses de l’EHESP, 2014
  • L’informatique de santé, coauteur, Eyrolles, 2015
  • La sécurité du système d'information des établissements de santé, presses de l’EHESP, 2018

Conférence 18 – « Cybersécurité et santé : anticiper pour mieux protéger et soigner »

Résumé de la conférence

Depuis le début de la crise sanitaire, les hôpitaux ont été particulièrement exposés aux risques cyber en tous genres. Les cyberattaques ciblant les hôpitaux et les établissements de santé ont bondi et montrent, si besoin en est, la nécessité d’être protégés car la continuité d’activité est essentielle à la protection des vies humaines. Si elle souhaite gagner en efficacité, la e-santé se doit donc d’être structurante favorisant, ainsi, l’accès à des soins personnalisés et à l’amélioration de la prévention. Cette transformation systémique passe par la maîtrise des risques, la collaboration, le partage et l’utilisation des données de santé dans un cadre souverain et éthique favorisant, ainsi, un pilotage dynamique de notre système de santé.

Ness LABANE bénéficie d’une expérience de plus de xx ans, acquise à des postes de Business Developer et de Direction Commerciale Grands Comptes, en Afrique francophone, pour le distributeur informatique Exclusive Networks et l’éditeur de logiciel CA Technologies (devenu Broadcom). Au sein d’EGERIE, qu’il a rejoint en 2017, Ness Labane est en charge du développement commercial autour de la cybersécurité des secteurs stratégiques banque & assurance et santé.

Béatrice BERARD est Officier de Sécurité pour les SI des Hospices Civils de Lyon et d GHT Rhône Centre, adhérente à l’APSSIS et au CEFSYS, membre du Club des RSSI de Santé et du collectif des femmes de santé, Expert en justice auprès de la Cour d’Appel de Lyon.

Philippe TOURRON a une longue carrière dans la gestion de la sécurité de l'information, couvrant les secteurs privés et publics ainsi que l'enseignement supérieur où il enseigne la gestion des risques et des crises, et est actuellement RSSI de l'Assistance Publique - Hôpitaux de Marseille et du GHT Hôpitaux de Provence. 

En plus de ce rôle, il est coordinateur du projet Européen (H2020) SAFECARE, un consortium regroupant acteurs de la santé, de la sécurité, scientifiques et industriels visant à développer une solution innovante pour assurer une sécurité cyber et physique adaptative et flexible des systèmes critiques de santé. Un des points clé pour Philippe Tourron et pour le projet SAFECARE est de montrer que la frontière entre les menaces physiques et cybernétiques de l’ensemble des périmètres biomédicaux, techniques et SIH est de plus en plus floue et qu'une approche intégrée est essentielle pour assurer la résilience face aux risques avec une communication/réaction agile entre les acteurs de la sécurité (locaux, régionaux, nationaux et Européens).

Conférence 19 – Conférence spéciale de Philippe TOURRON

Philippe TOURRON a une longue carrière dans la gestion de la sécurité de l'information, couvrant les secteurs privés et publics ainsi que l'enseignement supérieur où il enseigne la gestion des risques et des crises, et est actuellement RSSI de l'Assistance Publique - Hôpitaux de Marseille et du GHT Hôpitaux de Provence. 

En plus de ce rôle, il est coordinateur du projet Européen (H2020) SAFECARE, un consortium regroupant acteurs de la santé, de la sécurité, scientifiques et industriels visant à développer une solution innovante pour assurer une sécurité cyber et physique adaptative et flexible des systèmes critiques de santé. Un des points clé pour Philippe Tourron et pour le projet SAFECARE est de montrer que la frontière entre les menaces physiques et cybernétiques de l’ensemble des périmètres biomédicaux, techniques et SIH est de plus en plus floue et qu'une approche intégrée est essentielle pour assurer la résilience face aux risques avec une communication/réaction agile entre les acteurs de la sécurité (locaux, régionaux, nationaux et Européens).

Conférence 20 – « Retour d’expérience de Denis Deleuze ( RSSI du CESAME 49 ) sur la mise en place d’un projet d’automatisation d’envoi de données sensibles à destination de partenaires non équipés de MSS avec BlueFiles »

Résumé de la conférence

Depuis plusieurs années, nous œuvrons avec notre solution BlueFiles a équiper les acteurs du secteur de la santé ( établissements publics, privés, instituions, mutuelles, santé au travail etc… ) afin de répondre à leurs besoins grandissants d’échange des données médicales nominatives à destination de personnes non équipés de messagerie sécurisé de santé. Suite à des demandes clients, nous avons mis en œuvre un nouveau moyen pour permettre l’envoi de données sensibles à destination de personnes non équipés de MSS, l’automatisation des envois. Ce besoin est grandissant chez nos clients qui ont la nécessité d’automatiser certaines actions humaines pour des raisons de productivité, de présence ou encore de volume d’envoi.

Lors de cette intervention, Denis Deleuze du CESAME 49 nous fera part de son retour d’expérience. Mr Deleuze est à l’initiative de ce projet d’automatisation des envois BlueFiles, il nous expliquera également pour quels types de besoins/ cas d’usages, l’automatisation était nécessaire et dans quel cadre ce projet a été mis en œuvre.  

Florian JACQUOT est depuis septembre 2014 le responsable commerciale de la société Forecomm. Il est en charge de l’ensemble des aspects commerciaux, allant de la stratégie jusqu’à la relation client et la gestion opérationnelle des projets, Florian est l’interlocuteur privilégié de nos clients et partenaires. Pour le secteur de la santé, il est également l’interlocuteur privilégié de notre partenaire Enovacom pour la partie opérationnelle.

Après un parcours d’une dizaine d’années de Direction des Systèmes d’Information dans l’univers Presse/Média, Denis DELEUZE pilote depuis 2010 des SI hospitaliers, principalement pour des établissements spécialisés en psychiatrie, avec un passage de quelques années en MCO. Sa fonction au CESAME l’amène également à participer à la construction du SI du GHT49. 

Conférence 21 – « La sécurité, élément central du parcours patient au service de l'attractivité de l'établissement – Focus sur la sécurité biomédicale »

Résumé de la conférence

La numérisation des activités médicales apporte de nombreux bénéfices et nouveaux cas d’usages au service de l’amélioration et l’innovation médicale. Cependant cette numérisation est source de dépendances technologiques et donc nouvelles vulnérabilités. Elle étend la surface d’attaque. Le périmètre biomédical n’est pas toujours intégré dans les démarches « Cyber » mais ces systèmes, tout comme les objets connectés associés, sont des cibles potentielles pour nuire à l’établissement de santé. Advens et SHAM vous exposeront leurs solutions pour maitriser le risque Cyber sur ces nouveaux périmètres, les bonnes pratiques pour intégrer le biomédical dans la feuille de route du RSSI et leurs technologies disponibles pour faire face à ce nouveau challenge.

Laure EMIÉ a débuté sa carrière par le déploiement du DPI dans les hôpitaux de l’AP-HP. Elle s’est spécialisée dans la sécurisation des systèmes d’information en travaillant notamment pour de grands groupes français mais aussi auprès de nombreux acteurs du secteur Santé. Elle s’emploie aujourd’hui à développer l’offre Santé d’aDvens pour répondre aux enjeux et aux besoins de ses clients, tout en continuant son activité de consultante cybersécurité.

Ingénieur en Cyber sécurité, Cherif TOUSNI travaille depuis plus de 10 ans dans la cybersécurité. Son parcours commence dans un cabinet de conseil, puis chez un grand groupe Industriel Français. Il a ensuite travaillé chez un éditeur de solutions de Cyber Sécurité. Aujourd’hui chez Relyens, il œuvre à réduire le risque cyber au sein des établissements de santé et par conséquent à améliorer la sécurité des patients.

Conférence 22 – « De la SSI au RGPD, présentation de la démarche Conformité Numérique du GHT LMFI outillée par la CAIH »

Guillaume DERAEDT est le DPO du CHRU de Lille.

Conférence 23 – « Les atouts du DPO mutualisé au sein d’un GHT avec un retour d’expérience opérationnel sur la gestion d’une violation de données »

Résumé de la conférence

Léah PEREZ et Nadia FORT, docteurs en droit, présenteront les atouts de la mutualisation et de l’externalisation du DPO au sein d'un groupement d’établissements de santé au regard des enjeux de conformité et de gouvernance. Elles aborderont notamment l’intérêt de la mise en place d'un DPO mutualisé au travers de cas d’usage (mutualisation des analyses d’impact relative à la protection des données, harmonisation des politiques internes ...).

La Fondation Cognacq-Jay illustrera les élément clés de la prise de décision en la matière dans le cadre de son retour d’expérience relatif à la faille de sécurité Doctolib.

Léah PEREZ a effectué son parcours universitaire en droit à l’Université de Montpellier, achevé par l’obtention d’un doctorat en droit public économique. En parallèle de ses travaux de recherche, dont une part était consacrée à l’évolution des modes d’action de la CNIL vis-à-vis des opérateurs économiques, elle s’est progressivement spécialisée en droit de la protection des données. Elle est titulaire du certificat de spécialisation « Délégué à la protection des données » du CNAM et d’une certification DPO délivrée par l’AFNOR. Elle exerce depuis près de trois ans au sein du cabinet Lexagone où elle occupe le poste de responsable du pôle conformité. Dans ce cadre, elle conseille de nombreux clients dans leur démarche de mise en conformité à la réglementation applicable en matière de données personnelles, notamment dans le secteur de la recherche et de la santé.

Après une expérience de six ans en tant qu’analyste des décisions de la CNIL auprès de Lexisnexis, Nadia FORT a rejoint les rangs du cabinet Lexagone en tant que Consultante confirmée et Manager des projets il y a deux ans. Elle est titulaire d’un doctorat de droit public durant lequel elle enseigna le droit au sein de l’Université de Montpellier et à la Sorbonne. Elle a publié des articles de recherche portant notamment sur le droit de la protection des données personnelles. Elle accompagne aujourd’hui la mise en conformité de nombreux clients dans les secteurs publics et privés.

Nicolas SAMARCQ, CEO de Lexagone, accompagne des organisations depuis plus de 15 ans pour leurs projets innovants en e-santé. Il est administrateur à l’AFCDP (Association Française des Correspondants à la protection des Données à caractère Personnel) depuis 2014, où il a créé et animé le groupe de travail Données de Santé.

André ZAPHIRATOS, directeur des systèmes d’information coordonne les SI des 14 établissements de la Fondation Cognacq-Jay dans les secteurs de la santé, de l’éducation du médico-social. Organisée sur un modèle décentralisé, chaque structure dispose de ses propres installations pour son SI. Avec ~2000 utilisateurs réguliers sur les réseaux, André a fait le choix d’externaliser les fonctions de RSSI et de DPO en organisant les deux missions à travers notamment des comités communs.

Conférence 24 – Conférence de Monsieur Nicolas BOUZOU

Nicolas BOUZOU est un économiste et essayiste français, il a fondé le cabinet de conseil Asterès en 2006 qu’il dirige depuis et est directeur d’études au sein du MBA Law & Management de l’Université de Paris II Assas. Il a également créé le Cercle de Belém qui rassemble des intellectuels européens libéraux et progressistes. Il est régulièrement publié dans la presse française et étrangère. Nicolas Bouzou est l’auteur d’une douzaine d’ouvrages, dont « L’amour augmenté », publié en 2020 aux Editions de l’Observatoire. En mars 2021, il publie un ouvrage consacré à l'histoire de la santé humaine et intitulé « Homo Sanitas ».

Twitter : https://twitter.com/nbouzou
Facebook : https://www.facebook.com/BouzouNicolas/
LinkedIn : https://www.linkedin.com/in/nbouzou/ 

Conférence 25 – Séquence Juridique et Droit de la Santé

Vice-président de l’APSSIS, Maître Omar YAHIA, Avocat au barreau de Paris, s’est très tôt spécialisé en droit de la santé (droit hospitalier, droit médical et droit pharmaceutique). Il conseille, représente et défend les intérêts des établissements de santé, des professionnels de santé et des opérateurs/ prestataires. Formateur, chroniqueur et consultant, Maître YAHIA intervient tant en conseil qu’en contentieux, en droit de la santé numérique (télémédecine, e-santé, LAP/ LAD), droit financier et en ressources humaines.

Maître Marguerite BRAC DE LA PERRIÈRE, avocat associé chez LERINS & BCW, a une activité dédiée au secteur de la santé et des nouvelles technologies. Elle conseille des groupements de coopération sanitaires, des autorités, des établissements de santé, des éditeurs, des hébergeurs, des groupes de grande consommation, des mutuelles et assurances ainsi que des startups, principalement en matière de :
• protection des données à caractère personnel
• partage et d’échange des données
• hébergement des données de santé
• télémédecine
• objets connectés
• et contrats informatiques et de licence