Congrès APSSIS 4 avril 2018

AGENDA

AGENDA

« Les enjeux majeurs de la sécurité

à l’heure de la digitalisation de la santé »

Quels sont les Top 3 des risques structurels inhérents à notre industrie et au

SAAS ?

Comment adressons-nous ces risques au quotidien ?

Comment l’évolution de l’industrie et notamment d’un point de vue

réglementaire (RGPD, certification HDS …) va impacter notre quotidien ?

Placer le sous-titre ici

COREYE HEALTHCARE

250 collaborateurs

+ de 17 ans

d’expérience

+15% de croissance vs

2016

23,4 M€ de CA

dont 4M€ en santé

Agences à Lille et

à Paris

Références Santé

Références Santé

COREYE Healthcare Ecosystème Santé

Réseaux Santé

Intégrateurs & Conseils

Editeurs innovants

Industriels qui nous

recommandent

Présentation Doctolib

3 ambitions de Doctolib pour contribuer à l’amélioration du système de santé

9

OR

GA

NIS

AT

ION

DE

S

ST

RU

CT

UR

ES

R

ELA

TIO

N

PA

TIE

NT

/ P

RA

TIC

IEN

RE

LA

TIO

N P

RA

TIC

IEN

/

PR

AT

ICIE

N

2. Améliorer

l’efficience des

structures de soins

3. Collaboration entre

professionnels et

établissements de

santé

1. Fluidifier l’accès aux

soins et construire

une nouvelle

expérience patients

• Conseil sur mesure en optimisation de l’activité de consultation

• Logiciel d’agenda nouvelle génération (paramétrage des

vacations, planification du parcours patient, communication entre

utilisateurs…)

• Outils de lutte contra l’absentéisme (mails & SMS de confirmation

et rappel, liste d’attente, liste noire)

• Adressage de patients entre praticiens avec possibilité de

communiquer de l’information lors de l’adressage

• Réseau de praticiens correspondants

• Transparence de l’information via le contenu présent sur Doctolib.fr

• Prise de RDV en ligne 24h/24 et 7j/7 sur tous supports avec liste d’attente

• Compte patient sur Doctolib.fr pour gérer ses RDV (annulation,

modification)

• Outil de CRM patient pour les professionnels de santé (mails & sms

contenant de l’information médicale, sms en cas de retard du praticien)

Doctolib - Strictement confidentiel

APSSIS – Avril 2018

450 salariés en France et en Allemagne

45 000 praticiens et 950 établissements équipés

15 millions de français chaque mois sur

Doctolib.fr

Les chiffres clés de Doctolib aujourd’hui

Doctolib - Strictement confidentiel

APSSIS – Avril 2018

Top 3 des risques structurels inhérents à notre industrie et au

SAAS ?

Risque sur la disponibilité de l'application de

santé

Attaque DDOS sur la couche réseau ou

applicative

Risque sur la confidentialité et l'intégrité de la

donnée de santé

Attaque générique ou ciblée sur l’application

Risque sur la non détection des incidents de

sécurité

Exploitation du cloisonnement des

événements de sécurité

Une politique de sécurité des données articulée autour de 3 types de risques

60K utilisateurs qui se connectent quotidiennement sur le logiciel Doctolib :

✓ Gestion des mots de passe (double authentification, complexité, identification CPS…)

✓ Expiration des sessions ouvertes (30 min d’inactivité)

✓ « Doctolib access zone »

✓ Système d’alertes sur actions critiques et historique des actions

✓ Granularité des droits utilisateurs

450 employés qui ont accès aux organisations des praticiens & établissements de santé :

✓ Soumis contractuellement au secret médical (à l’identique d’une secrétaire dans un cabinet)

✓ Gestion des mots de passe

✓ Anonymisation complète des données

✓ Chiffrement des disques durs

Hébergement en mode SAAS et interfaces avec des logiciels tiers :

✓ Double hébergement chez des hébergeurs agréés par l’ASIP

✓ Tests d’intrusion effectués chaque trimestre (note de 85/100 délivrée par Cyrating)

✓ Données cryptées via le protocole TLS 1.2

✓ Interfaces sécurisées via VPN ou échanges par HTTPS couplé à un chiffrage HMAC

1

2

3

Doctolib - Strictement confidentiel

APSSIS – Avril 2018

Comment adressons-nous ces risques au

quotidien ?

Nos technologies :

Centre de sécurité

Spécialiste des services Managés Notre centre de services

Surveillance permanente

des infrastructures en Datacenters

des accès réseau

des plateformes clients

des applicatifs

des flux

des Web services

des sauvegardes

des mises à jour OS

Centre de Service

24/7/365

Equipes locales Lille / Paris

Proximité Datacenters

Amélioration continue Lean Management

Comment l’évolution de l’industrie et

notamment d’un point de vue réglementaire (RGPD, certification HDS …) va impacter notre quotidien ?

L’impact du RGPD sur notre organisation

Investissements RH :

✓ Recrutement d’un CSO (auparavant CSO chez Winamax)

✓ 2 postes ouverts pour composer une équipe dédiée à la sécurité des données

✓ Identification d’un DPO

Devenir force de conseil auprès de nos praticiens et établissements partenaires :

✓ Plan de montée en compétences des équipes sur le sujet

✓ Fiches de traitement type communiquées aux clients pour intégration dans leur registre des

activités de traitement (art. 30 RGPD)

Être plus fin et mieux rôdé sur notre politique de conservation des données :

✓ Durée de conservation générique :

➢ 10 ans de conservation des données pour les libéraux

➢ 20 ans de conservation des données pour les établissements de santé

✓ Possibilité de ne pas conserver certaines données sur demandes ad hocs (ex: AP-HP)

✓ Procéder à la suppression des données max 3 mois après une suppression de compte (patient

ou professionnel)

✓ Demande de consentements pour recevoir des mails & SMS sans création de compte patient

1

2

3

Doctolib - Strictement confidentiel

APSSIS – Avril 2018

Notre engagement Conformité

Mise en place d'un Système de Management de la

Sécurité de l’Information (SMSI) selon les exigences de

la norme ISO 27001:2013

Certification ISO 27001 obtenue en juin 2016

Agrément HADS obtenu en janvier 2013 et renouvelé en 2017

Conseils et mise en conformité ASIP Santé

Conseil, analyse, mesures de sécurité

Juridique : partenariat cabinet d’avocat

Accompagnement RGPD (applicable à compter

du 25 Mai 2018)

4 axes de conformité

Directive NIS

Accompagnement à la gestion des risques

Accompagnement dans la gestion des incidents

Pragmatisme vs Dogmatisme

A chaque GHT son contexte particulier

Etat des lieux

Externalisation(s) Certification(s)

Vers la certification des GHT

COREYE Healthcare conseille et organise la montée en puissance

des GHT avec une vision ITIL : organisation des

étapes vers la certification, chefferie

de projet, COPILs

Accompagnement organisationnel et chefferie de projet

Sécurité externalisée

PRA/PCA Sauvegardes

COREYE Healthcare dispose d’un SOC

permettant d’externaliser le

volet sécurité de la certification HDS

Après une analyse de risque, COREYE

Healthcare proposera un PRA/PCA adapté

aux réels besoins du GHT.

COREYE Healthcare dispose de mécanismes simples de sauvegarde

notamment avec Veeam Cloud Connect ou avec

des solutions sur mesure pour les volumétries plus

importantes.

SOC as a service PCA

Questions / Réponses