Tout organisme qui traite des données de santé a vécu ou vivra une situation de violation des données pouvant entrainer une crise cyber parfois importante. Cette formation vous permettra de comprendre ce qu’implique une violation des données personnelles au sens du RGPD ainsi que les modalités d’une crise cyber.
Objectifs
- Savoir ce qu’est une violation de données
- Comprendre les enjeux et connaitre les causes d’une violation des données
- Connaitre les acteurs qui informent, font de la veille et sont un appui lors d’une situation de crise liée à une violation des données
- Réagir à une crise cyber et savoir mettre en place une procédure en cas de violation des données
- Prévenir le risque de la violation des données
Programme de la formation
Introduction
- Tour de table
- Contexte de la violation des données, cybersécurité et RGPD
La violation des données à caractère personnel
Qu’est-ce qu’une violation de données ?
- Perte de confidentialité, d’intégrité, de disponibilité
- Les données sensibles et de santé
Les causes de la violation des données
- Les attaques de phishing
- Les malwares et les ransomwares
- Les erreurs humaines
- Les actes de malveillance et vol industriel
Conséquences de la violation des données
- Pour les personnes concernées (risque pour les patients : fuite des données de santé)
- Pour l’organisme (mode dégradé d’un hôpital/calendrier des opérations)
Les acteurs de la sécurité des données
Les acteurs institutionnels
- L’ANSSI pour la cybersécurité
- La CNIL pour la conformité du RGPD
- L’ANS et le CERT santé pour les professionnels de santé
Les acteurs au seins de l’organisme
- Le DPO, coordonne les moyens organisationnels
- Le RSSI, met en place les outils techniques
- Les collaborateurs, observent les bons comportements
Atelier – Mise en place de la cellule de crise
- Mettre en place les moyens techniques, organisationnels et comportementaux
Faire face à une situation de crise d’origine cyber
Réagir efficacement à la crise
- Alerter, mobiliser et endiguer
- Maintenir la confiance et comprendre l’attaque
- Relancer les activités métiers et durcir les systèmes d’information
- Tirer les leçons de la crise et capitaliser
Procédure de violation des données à caractère personnel
- Le registre des violation des données
- Aviser la CNIL
- Informer les personnes concernées
- Faire une enquête interne
- Prendre des mesures correctives
- Réviser la politique de sécurité de l’organisme
La prévention des violations de données de santé
Hygiène informatique
- La sécurité des mots de passe et l’authentification à deux facteurs
- Les mises à jour des logiciels et des systèmes d’exploitation
- La sécurité des réseaux et des appareils
La sécurité est une pratique collective
- La sensibilisation et la formation des employés
- Se couvrir avec une assurance cyber sécurité adéquate
- Bien connaître ses collaborateurs et prestataires
Informations pratiques
Durée : 1 jour soit 7 heures de formation
Tarification : 1 000 € HT/TTC par personne en inter-entreprise. Pour les tarifs intra-entreprise, nous contacter.
Prérequis : aucun prérequis n’est exigé.
Méthodes pédagogiques : support pédagogique, mises en application, partages d’expériences, fiches-outils.
Méthodes d’évaluation : questionnaire préalable de positionnement avant la formation, quiz avec correction collégiale en fin de formation.
Délais d’accès : quatre semaines
Niveau : initiation.
Accessibilité aux personnes en situation de handicap (PSH) : oui, nous contacter.
Formateur
Pierre Le Guellec est DPO avec une certification de l’AFNOR selon les référentiels de la CNIL. Il est « Référent cybersécurité TPE/PME » selon le référentiel de l’ANSSI. Biochimiste de formation, il est titulaire de quatre diplômes universitaires en Protection des Données à Caractère Personnel (Université Paris V), Télémédecine (Bordeaux), E-santé et Médecine Connectée (Hôtel-Dieu Paris) et en recherche clinique (Université Paris V). Pierre Le Guellec est consultant RGPD spécialisé dans les données de santé et DPO externalisé pour une quinzaine d’entreprises. Il est également chargé d’enseignement du RGPD à la Faculté de Droit de Paris-Descartes (Université Paris Cité), au sein du Master Droit du numérique, parcours Protection de données personnelles.
Les informations recueillies par Yec’Hed Mat Conseil font l’objet d’un traitement informatique destiné à vous informer sur les services et les prestations de l’entreprise : conseil, audit, coaching et formation. Ces informations seront conservées pour une durée de un an. Conformément à la loi Informatique et Libertés et au Règlement Européen sur la Protection des Données (RGPD), vous disposez d’un droit d’accès et de rectification aux informations qui vous concernent. Si vous souhaitez exercer ce droit et obtenir communication des informations vous concernant, vous pouvez le faire en l’indiquant via le formulaire ci-dessus, ou bien par courrier postal : Yec’Hed Mat Conseil, 256 rue de Bègles, 33800 Bordeaux. Pour en savoir plus, reportez-vous à notre Politique de protection des données à caractère personnel.