Conçu et élaboré par Cédric Cartau, RSSI/DPO du CHU de Nantes et Vice-président de l’APSSIS, ce guide se veut à la fois accessible, technique et pratique.
Très complet, ce livret intitulé « Gouvernance - Le guide du RSSI intergalactique », présente le profil de poste d’un RSSI, ses projets, son quotidien…
Le Mipih a participé à sa rédaction en présentant une approche métier aussi complexe que la gouvernance face aux cybermenaces.
La sanctuarisation des données : la recommandation du Mipih
Aujourd’hui, les attaques informatiques dans le domaine de la santé se multiplient. Il est donc primordial de disposer d’un système de sauvegarde fiable. La sauvegarde est la pierre angulaire du système d’information des établissements de santé pour faire face aux enjeux de la perte des données, en voici les prémices.
La règle de sauvegarde 3-2-1
Pour augmenter ses chances de récupérer des données perdues ou corrompues, la « Sauvegarde 3-2-1 » est une solution. Règle fiable qui réduit au maximum la possibilité de perdre ses données sensibles :
• 3 - Conserver 3 copies de toutes ses données : 1 primaire et 2 sauvegardes.
• 2 - Conserver ses données sur 2 types de supports différents.
• 1 - Stocker 1 copie des données, hors site.
La sauvegarde hors site, via un cloud sécurisé
L’utilisation du cloud répond à cette exigence de sauvegarde hors site. Dans le cas de données sensibles comme les données de santé, il est important de choisir un hébergeur certifié HDS et souverain. Cela permet de bloquer la captation des données, via des réglementations extraterritoriales qui peuvent notamment autoriser une administration étrangère hors UE, disposant d’un mandat, d’accéder aux données hébergées dans les serveurs informatiques situés dans d’autres pays.
La sauvegarde des données dans le protocole S3
Le protocole S3, ou stockage objet, est la solution idéale qui allie souplesse, sécurité, disponibilité et robustesse. En effet, le stockage objet propose, à bas coût, des espaces de stockage (bucket) où les sauvegardes peuvent utiliser le modèle objet. Ainsi, chaque objet sauvegardé va pouvoir s’appuyer sur les caractéristiques du stockage objet.
De la sauvegarde externalisée au PRA externalisé, il n’y a qu’un pas !
La sauvegarde est un point crucial dans la stratégie et l’analyse de risque pour un établissement souhaitant assurer la sécurité de ses données, mais la restauration est tout aussi importante !
Le PRA (Plan de Reprise d’Activité) est donc l’étape suivante d’une démarche de sauvegarde externalisée.
Un grand merci à l’APSSIS pour sa confiance !
Bravo à Pierre Barel et Eric Mesere du Mipih, mais aussi à Guillaume Bues Responsable de la Sécurité du Système d’Information au Centre Hospitalier des Vallées de l’Ariège, pour leurs contributions à cet ouvrage !
Retrouvez le guide intégral ici.