La structure CAPSI
En 2019, l’ARS PACA a fait de la sécurité une des thématiques phares de son schéma directeur régional des systèmes d’information.
« L’enquête auprès des établissements sanitaires et médico-sociaux a montré une forte hétérogénéité des acteurs en matière de sécurité informatique : Le secteur médico-social en particulier dispose de peu de ressources pour la sécurité informatique et pour l’informatique en général. Il est de plus difficile pour certains établissements de recruter des profils d’expertise en sécurité informatique alors que ceux-ci font rare. En conséquence les acteurs du territoire ont exprimé la volonté de bénéficier d’une aide « opérationnelle » de l’ARS afin de permettre la montée en maturité des établissements sur ce sujet. »
Les objectifs régionaux en termes de sécurité sont ainsi fixés :
- Établir un état des lieux régional sur le niveau de sécurité et de conformité RGPD.
- Accompagner les acteurs de santé de la région PACA (hospitaliers, ville, médico-social et structures de coordination) dans leur démarche qui vise à atteindre un niveau de sécurité adapté et à se mettre en conformité RGPD.
Innovation e-Santé Sud (ieSS), la maîtrise d’ouvrage déléguée de l’ARS, est donc missionnée pour créer la cellule régionale pour la sécurité des systèmes d’information.
En 2020, ieSS annonce la création de CAPSI, la Cellule d’Appui à la Protection des Systèmes d’Information.
Les missions de CAPSI
S’assurer de la réalisation des projets SSI inscrits au schéma directeur.
S’assurer du niveau de sécurité et de la conformité RGPD des outils régionaux.
Cartographier l’offre SSI disponible en région.
Établir un état des lieux et assurer le suivi de la maturité SSI des acteurs de santé.
Conseiller les acteurs et les aider dans leurs démarches.
Inciter les acteurs à faire de la sécurité une priorité et leur mettre à disposition un panel d’outils.
Intervenir dans d’autres projet pour accompagner les acteurs (ex : dans leurs démarches visant à atteindre les pré-requis HOP’EN).
Les services proposés par CAPSI
Animation régionale (avec la création d’un réseau RSSI-DPO et de groupes de travail thématiques).
Sensibilisation et formation des acteurs du système de santé.
Veille réglementaire et technique avec diffusion d’alertes et d’informations.
Mise à disposition d’outils (serious game, logiciel de gestion du registre de traitements et d’analyse de risques).
Mise à disposition d’une base documentaire.
Appui à la gestion des incidents de sécurité et de violations de données.
Audit et conseil auprès des structures sanitaires et médico-sociales.