DES RESSOURCES ET DES OUTILS AU SERVICE DES ACTEURS ET DES PROFESSIONNELS.

Responsable de la sécurité des systèmes d'information de santé (DU)

Autre titre inscrit sur demande au RNCP (niveau 7)

Niveau de qualification : 7 - Savoirs hautement spécialisés
Bac + 5 et plus
[Code Certif Info N°115135]
 Logo Certif'Info
Type de titre / diplôme
Certification active

Descriptif, Objectif et Programme

Descriptif

Le Responsable de la Sécurité des Systèmes d’Information de Santé assure le pilotage de la démarche de sécurité de l’information au sein de l’organisation de santé. Il définit ou décline, selon la taille de l’organisation et les résultats de l’analyse de risques, la politique de sécurité des systèmes d’information (prévention, protection, détection, résilience, remédiation) et veille à son application. Il assure un rôle de conseil, d’assistance, d’information, de formation et d’alerte, en particulier auprès des référents métiers et/ou de la direction de l'organisme. Il s’assure de la mise en place des solutions de sécurité en prenant en compte toutes les dimensions (technique, organisationnelle, humaine, juridique, réglementaire) pour garantir la protection des données et le niveau de sécurité des systèmes informatiques en santé.

 

Objectif

Compétences attestées :

  • Identifier les réglementations relatives à la cybersécurité et s’appliquant à la protection des données de santé en France en utilisant les informations mises à disposition (plateforme institutionnelle, plateforme de veille active,…)
  • Déterminer le rôle et planifier les missions des référents métier de l’organisme, en étant attentif au personnel de statut RQTH, pour organiser efficacement la gestion et la mise en œuvre des mesures de sécurité de l’information
  • Rédiger et communiquer la politique de sécurité des systèmes d’information (PSSI), les procédures de sécurité et les guides composant le Système de Management de la Sécurité de l’Information en respectant le formalisme et le mode de transmission requis par la norme ISO27001.
  • Définir et piloter les activités, les projets et l’ensemble des moyens humains, organisationnels, financiers, et techniques nécessaires à assurer la sécurité du SI de santé telle que décrit dans la norme ISO27001.
  • Animer des réunions avec une ou plusieurs équipes projet pour le déploiement des mesures de sécurité organisationnelles et techniques (en collaboration avec des spécialistes comme les informaticiens, juristes, services généraux…)
  • Rédiger un cahier des charges techniques et fonctionnelles (CCTP) ou une demande de proposition (Appel d’offres) afin de trouver les fournisseurs adaptés pour maitriser les risques de sécurité de l’information
  • Construire, alimenter et mettre à jour des tableaux de bord pour assurer le suivi de la performance du système de management de la sécurité de l’information de santé.
  • Évaluer le niveau de sécurité du système d’information sur la base de rapports et résultats d’audits techniques interne ou externe et des solutions de sécurité en place.
  • Préparer et conduire des audits par rapport à des référentiels internes ou externes relatifs à la sécurité de l’information.
  • Animer des interviews avec les référents métiers, en étant attentif au personnel de statut RQTH, afin de recueillir les besoins de sécurité et identifier les écarts aux obligations requises par l’ANSSI, en prenant en compte toutes les dimensions (technique, organisationnelle, humaine, juridique, réglementaire).
  • Rédiger un rapport d’audit proposant des actions d’améliorations organisationnelles et techniques afin de sécuriser le SI de santé.
  • Identifier et analyser les risques pesant sur les systèmes d’information de santé en appliquant la méthode d’analyse de risques de l’ANSSI, Expression des Besoins et Identification des Objectifs de Sécurité (EBIOS).
  • Évaluer les risques pesant sur les systèmes d’information de santé en prenant en compte leur probabilité d’occurrence et les impacts en termes de disponibilité, intégrité et confidentialité sur les informations de santé.
  • Prioriser les risques et proposer des solutions organisationnelles et techniques pour traiter les risques conformément à la méthode d’analyse de risques EBIOS.
  • Rédiger les documents synthétisant les besoins de sécurité, les menaces, les objectifs de sécurité ainsi que le plan de traitement des risques en respectant les attendus de la méthode EBIOS.
  • Organiser et animer des réunions pour présenter les résultats de l’analyse de risques à des décideurs non experts en sécurité de l’information afin de les convaincre d’investir dans la sécurisation des systèmes d’information de santé (direction de l’établissement, partenaires…).
  • Piloter un programme de sensibilisation à la cybersécurité et de conduite du changement auprès des utilisateurs finaux pour favoriser l’adoption des bonnes pratiques et améliorer la culture de sécurité de l’organisme.
  • Réaliser une veille technologique du SI sur les dernières vulnérabilités, les menaces et une veille technique relative aux solutions de sécurité.
  • Élaborer une méthodologie de réponse à incident pour faire face aux risques de sécurité physique ou numérique et réagir rapidement et efficacement en cas d’attaques.
  • Établir les procédures relatives à la prévention et réactions à un incident de sécurité telles que la procédure de gestion des incidents, le plan de reprise d’activité ou le plan de sauvegarde du système d’information de santé
  • Assurer la formation et l'entraînement des référents métiers, en étant attentif au personnel de statut RQTH, afin d'améliorer la capacité de l'organisme de santé à réagir à une cyberattaque et limiter les impacts de celle-ci.
  • Définir un processus d’escalade et une organisation de crise afin de traiter les incidents urgents de sécurité conformément à la réglementation en vigueur concernant les systèmes d’information de santé.
  • Communiquer les étapes de résolution de l’incident aux parties intéressées
  • Organiser des retours d’expériences afin de capitaliser sur les incidents passés et améliorer le traitement des incidents à venir (clients, managers, direction générale, institutions…)
     

Poursuite et débouchées

Débouchés

Secteurs d’activités :

Dans le secteur Santé, le RSSI exerce au sein de :

  • Établissements de santé publics et privés (CHRU, hôpitaux, cliniques, laboratoires, maison de santé, EHPAD, …)
  • Groupements Hôspitaliers de Territoire (GHT) ou Groupements d’Intérêt Public (GIP) en Santé
  • Agence du Numérique en Santé (ANS) ou Agence Regional de Santé (ARS)
  • Industrie pharmaceutique, cosmétique / bien-être
  • Service (éditeur logiciel, télémédecine, …)
  • Structures de conseil ou d’audit en Santé

Type d'emplois accessibles :

  • Responsable Sécurité des SI dans un Groupement de Coopération Sanitaire ou un Groupement Hospitalier de Territoire
  • Responsable de la sécurité de systèmes d’information (RSSI) ou Référent Sécurité de l’Information (RSI)
  • Gestionnaire de la sécurité des données, des réseaux et des systèmes
  • Expert(e) sécurité informatique
  • Administrateur(trice) sécurité informatique
  • Consultant(e) ou auditeur(trice) en sécurité de l’information de santé

 

Autres informations

RNCP
Inscrit sur demande Fiche n° 37767
https://www.francecompetences.fr/recherche/rncp/37767
Certificateur
  • Université d'Angers
Valideur
  • Université d'Angers
    1ère habilitation Début validité Fin validité
    19/07/2023 19/07/2026
Pour en savoir plus
https://formations.univ-angers.fr/fr/offre-de-formation/diplome-d-universite-3eme-cycle-DUC3/sciences-technologies-sante-STS.html
Session de l'examen
Année de la première session Année de la dernière session
Information non communiquée Information non communiquée
Domaine(s) de formation
31045 : Cybersécurité
31008 : Système information
42881 : Risque criminel entreprise
Lien(s) vers les métiers (ROME)

Domaine de spécialité (NSF)
326 : Informatique, traitement de l'information, réseaux de transmission des données
Accessibilité
Formation initiale Formation continue Apprentissage Contrat de pro VAE ou par expérience Demande individuelle
Non Oui Non Non Oui Non
Textes officiels
Publication : 19/07/2023
Descriptif : Décisions d'enregistrement aux répertoires nationaux (Juillet 2023) - mercredi 19 juillet 2023 - Suite aux avis conformes de la Commission de la certification professionnelle portant sur des demandes d’enregistrement, avis produits lors de la séance du 18 juillet 2023, le Directeur général de France compétences a procédé à des décisions d’enregistrement aux répertoires nationaux. Ces décisions sont publiées sur le site de France compétences et seront ultérieurement publiées au journal officiel de la République française.
URL : https://urlz.fr/mS6c
Publication : 01/09/2023
Descriptif : Décision du 4 août 2023 portant enregistrement au répertoire national des certifications professionnelles et au répertoire spécifique
Code NOR : MTRD2322070S
URL : http://www.legifrance.gouv.fr/WAspad/UnTexteDeJorf?numjo=MTRD2322070S
Informations mises à jour le 26/07/2023 par Certif Info.
https://www.intercariforef.org/formations/certification-115135.html