Congrès APSSIS · contenant de l’information médicale, sms en cas de retard du praticien)...
-
Upload
truongkhanh -
Category
Documents
-
view
212 -
download
0
Transcript of Congrès APSSIS · contenant de l’information médicale, sms en cas de retard du praticien)...
AGENDA
AGENDA
« Les enjeux majeurs de la sécurité
à l’heure de la digitalisation de la santé »
Quels sont les Top 3 des risques structurels inhérents à notre industrie et au
SAAS ?
Comment adressons-nous ces risques au quotidien ?
Comment l’évolution de l’industrie et notamment d’un point de vue
réglementaire (RGPD, certification HDS …) va impacter notre quotidien ?
250 collaborateurs
+ de 17 ans
d’expérience
+15% de croissance vs
2016
23,4 M€ de CA
dont 4M€ en santé
Agences à Lille et
à Paris
COREYE Healthcare Ecosystème Santé
Réseaux Santé
Intégrateurs & Conseils
Editeurs innovants
Industriels qui nous
recommandent
3 ambitions de Doctolib pour contribuer à l’amélioration du système de santé
9
OR
GA
NIS
AT
ION
DE
S
ST
RU
CT
UR
ES
R
ELA
TIO
N
PA
TIE
NT
/ P
RA
TIC
IEN
RE
LA
TIO
N P
RA
TIC
IEN
/
PR
AT
ICIE
N
2. Améliorer
l’efficience des
structures de soins
3. Collaboration entre
professionnels et
établissements de
santé
1. Fluidifier l’accès aux
soins et construire
une nouvelle
expérience patients
• Conseil sur mesure en optimisation de l’activité de consultation
• Logiciel d’agenda nouvelle génération (paramétrage des
vacations, planification du parcours patient, communication entre
utilisateurs…)
• Outils de lutte contra l’absentéisme (mails & SMS de confirmation
et rappel, liste d’attente, liste noire)
• Adressage de patients entre praticiens avec possibilité de
communiquer de l’information lors de l’adressage
• Réseau de praticiens correspondants
• Transparence de l’information via le contenu présent sur Doctolib.fr
• Prise de RDV en ligne 24h/24 et 7j/7 sur tous supports avec liste d’attente
• Compte patient sur Doctolib.fr pour gérer ses RDV (annulation,
modification)
• Outil de CRM patient pour les professionnels de santé (mails & sms
contenant de l’information médicale, sms en cas de retard du praticien)
Doctolib - Strictement confidentiel
APSSIS – Avril 2018
450 salariés en France et en Allemagne
45 000 praticiens et 950 établissements équipés
15 millions de français chaque mois sur
Doctolib.fr
Les chiffres clés de Doctolib aujourd’hui
Doctolib - Strictement confidentiel
APSSIS – Avril 2018
Risque sur la disponibilité de l'application de
santé
Attaque DDOS sur la couche réseau ou
applicative
Risque sur la confidentialité et l'intégrité de la
donnée de santé
Attaque générique ou ciblée sur l’application
Risque sur la non détection des incidents de
sécurité
Exploitation du cloisonnement des
événements de sécurité
Une politique de sécurité des données articulée autour de 3 types de risques
60K utilisateurs qui se connectent quotidiennement sur le logiciel Doctolib :
✓ Gestion des mots de passe (double authentification, complexité, identification CPS…)
✓ Expiration des sessions ouvertes (30 min d’inactivité)
✓ « Doctolib access zone »
✓ Système d’alertes sur actions critiques et historique des actions
✓ Granularité des droits utilisateurs
450 employés qui ont accès aux organisations des praticiens & établissements de santé :
✓ Soumis contractuellement au secret médical (à l’identique d’une secrétaire dans un cabinet)
✓ Gestion des mots de passe
✓ Anonymisation complète des données
✓ Chiffrement des disques durs
Hébergement en mode SAAS et interfaces avec des logiciels tiers :
✓ Double hébergement chez des hébergeurs agréés par l’ASIP
✓ Tests d’intrusion effectués chaque trimestre (note de 85/100 délivrée par Cyrating)
✓ Données cryptées via le protocole TLS 1.2
✓ Interfaces sécurisées via VPN ou échanges par HTTPS couplé à un chiffrage HMAC
1
2
3
Doctolib - Strictement confidentiel
APSSIS – Avril 2018
Spécialiste des services Managés Notre centre de services
Surveillance permanente
des infrastructures en Datacenters
des accès réseau
des plateformes clients
des applicatifs
des flux
des Web services
des sauvegardes
des mises à jour OS
Centre de Service
24/7/365
Equipes locales Lille / Paris
Proximité Datacenters
Amélioration continue Lean Management
Comment l’évolution de l’industrie et
notamment d’un point de vue réglementaire (RGPD, certification HDS …) va impacter notre quotidien ?
L’impact du RGPD sur notre organisation
Investissements RH :
✓ Recrutement d’un CSO (auparavant CSO chez Winamax)
✓ 2 postes ouverts pour composer une équipe dédiée à la sécurité des données
✓ Identification d’un DPO
Devenir force de conseil auprès de nos praticiens et établissements partenaires :
✓ Plan de montée en compétences des équipes sur le sujet
✓ Fiches de traitement type communiquées aux clients pour intégration dans leur registre des
activités de traitement (art. 30 RGPD)
Être plus fin et mieux rôdé sur notre politique de conservation des données :
✓ Durée de conservation générique :
➢ 10 ans de conservation des données pour les libéraux
➢ 20 ans de conservation des données pour les établissements de santé
✓ Possibilité de ne pas conserver certaines données sur demandes ad hocs (ex: AP-HP)
✓ Procéder à la suppression des données max 3 mois après une suppression de compte (patient
ou professionnel)
✓ Demande de consentements pour recevoir des mails & SMS sans création de compte patient
1
2
3
Doctolib - Strictement confidentiel
APSSIS – Avril 2018
Notre engagement Conformité
Mise en place d'un Système de Management de la
Sécurité de l’Information (SMSI) selon les exigences de
la norme ISO 27001:2013
Certification ISO 27001 obtenue en juin 2016
Agrément HADS obtenu en janvier 2013 et renouvelé en 2017
Conseils et mise en conformité ASIP Santé
Conseil, analyse, mesures de sécurité
Juridique : partenariat cabinet d’avocat
Accompagnement RGPD (applicable à compter
du 25 Mai 2018)
4 axes de conformité
Directive NIS
Accompagnement à la gestion des risques
Accompagnement dans la gestion des incidents
Pragmatisme vs Dogmatisme
A chaque GHT son contexte particulier
Etat des lieux
Externalisation(s) Certification(s)
Vers la certification des GHT
COREYE Healthcare conseille et organise la montée en puissance
des GHT avec une vision ITIL : organisation des
étapes vers la certification, chefferie
de projet, COPILs
Accompagnement organisationnel et chefferie de projet
Sécurité externalisée
PRA/PCA Sauvegardes
COREYE Healthcare dispose d’un SOC
permettant d’externaliser le
volet sécurité de la certification HDS
Après une analyse de risque, COREYE
Healthcare proposera un PRA/PCA adapté
aux réels besoins du GHT.
COREYE Healthcare dispose de mécanismes simples de sauvegarde
notamment avec Veeam Cloud Connect ou avec
des solutions sur mesure pour les volumétries plus
importantes.
SOC as a service PCA