-
Un réseau international puissant et intégré
Un réseau international fédéré autour d’une promesse commune Go Beyond – Allons plus loin ensemble.
-
Digital Audit - Audit Data Analytics
A l’instar de nos clients, de toutes tailles et opérant dans toutes les industries, notre activité audit se transforme et innove, en adoptant et en développant des technologies pour une innovation pragmatique et partagée.
-
Doctrine comptable
Le département Doctrine Comptable intervient en soutien des équipes Grant Thornton pour l’accompagnement de leurs clients dans leurs problématiques de reporting comptable et financier, et dans l’appréhension des nouveaux chantiers comptables.
-
L’Audit au cœur des territoires par Grant Thornton
Grâce à une implantation au cœur des territoires (24 bureaux), nos équipes Audit accompagnent les groupes internationaux côtés, les ETI et entreprises familiales, les organisations du secteur public, les associations aux quatre coins de l’Hexagone.
-
Public - Economie sociale - Protection Sociale (PEPS)
Notre offre pour les secteurs Public, Économie sociale et logement social, Protection Sociale couvre l’ensemble de nos métiers et expertises dont l’Audit. Grant Thornton est l’auditeur légal de nombreux hôpitaux, établissements publics, collectivités, OPH, mutuelles…
-
Financial Services
Nos équipes d’audit accompagnent les établissements financiers, les sociétés de gestion d’actifs et les entreprises d’assurance.
-
People & Culture
Chez Grant Thornton, nous vous offrons l’occasion de vivre l’Expérience de la Confiance en révélant le meilleur de vous-même au sein d’équipes conviviales et soudées.
-
Audit contractuel – Diagnostic
Un large spectre d’audits contractuels et de diagnostics couvrant l’ensemble des attentes des acteurs économiques.
-
Audit Durabilité et Audit extra-financier
Notre offre au service d’un développement durable dorénavant au centre de la stratégie des entreprises, source de création de valeur et de sens.
-
Audit des systèmes d’information (SI)
Dans un monde toujours plus digital, les auditeurs spécialistes en systèmes d’information de Grant Thornton accompagnent nos clients dans la gestion des risques liés à leurs SI.
-
Accompagnement à l’application de la directive CSRD
Nous vous proposons de mieux appréhender les nouveautés de la CSRD. Nos Experts vous permettront de préparer la réalisation de ce futur exercice dans les meilleures conditions.
-
Expertise indépendante
Les Associés experts judiciaires de Grant Thornton sont régulièrement désignés par les Cours ou Tribunaux en qualité d’experts, mais également par les Parties comme arbitres, tiers évaluateurs ou experts techniques.
-
Capital Markets
L’équipe Capital Markets de Grant Thornton accompagne les émetteurs dans la maîtrise de la réglementation boursière et de leur communication financière.
-
Certification des comptes de collectivités territoriales
Nos expertises en matière d’Audit et de certification des comptes de collectivités territoriales.
-
Commissariat aux apports et à la fusion
Régulièrement désigné Commissaire aux apports ou à la fusion, Grant Thornton a constitué une équipe dédiée pluridisciplinaire susceptible de répondre à tous les types d’opérations.
-
Digital Audit - Audit Data Analytics
A l’instar de nos clients, de toutes tailles et opérant dans toutes les industries, notre activité audit se transforme et innove, en adoptant et en développant des technologies pour une innovation pragmatique et partagée.
-
Institutions européennes et internationales
Pour répondre aux enjeux des institutions européennes et internationales, Grant Thornton propose des missions d’audit (financiers, des SI, de projets).
-
Transaction Services
Transaction services : un ensemble de compétences et de services au service des transactions réalisées par les acteurs du capital-investissement, les investisseurs et les entreprises
-
Restructuring Services
Nos services de prévention et restructuration appelés Restructuring Services, mieux anticiper pour favoriser le traitement des difficultés des entreprises
-
Valuation Services
Nos Experts accompagnent les acteurs du capital-investissement, les entreprises acquisitives et les investisseurs en matière d’évaluation d’entreprise
-
Operational Deal Services
Des services adressant les enjeux opérationnels au cœur des deals
-
Finance
Notre activité en Conseil Finance rassemble des experts spécialisés dans la transformation de la fonction Finance. Nous accompagnons les Directions financières des entreprises de toute taille dans leur transformation globale.
-
Achats
Notre activité en Conseil Achats et Supply Chain rassemble des experts en achats spécialisés sur toutes les catégories et en conseil pour l’optimisation et la structuration de la fonction Achats / Approvisionnements.
-
RH - Talents et Organisation
Notre activité en Conseil RH, Talents & Organisation, rassemble des experts spécialisés en matière d’organisation, de processus et de solutions digitales, pour accompagner la transformation des entreprises sur l’ensemble des thématiques liées aux Ressources Humaines.
-
DSI
Notre activité en Conseil IT, rassemble des experts spécialisés en matière d’organisation, de processus et de solutions technologiques pour accompagner les DSI dans la définition et la mise en œuvre de la transformation digitale de l’entreprise.
-
Risk Management
La gestion des risques au service de la performance.
-
Compliance and Forensic
Compliance and Forensic
-
Cybersécurité
Définition de votre stratégie de sécurisation et mise en place de solutions techniques, dans une optique de rationalisation des investissements.
-
Data & Automation – La technologie au service de la performance
Chez Grant Thornton, nous accompagnons les Directions Métiers et des Systèmes d’Information sur l’ensemble des problématiques liées à la Data et l’hyper-automation.
-
Automated Reporting and Data Analytics
Optimiser le pilotage financier et opérationnel de votre activité en automatisant la génération de rapports grâce à des outils de reporting dynamiques et des fonctionnalités avancées d’analyse de données et de data visualization comme Power BI.
-
Expertise Comptable
Sécuriser vos obligations réglementaires…et bien. Dans un environnement réglementaire complexe et changeant, nos experts vous accompagnent pour sécuriser vos opérations.
-
Contrôle de gestion
Piloter sa stratégie de développement grâce au contrôle de gestion.
-
Paie, Conseil social & RH
Paie, Conseil social & Ressources Humaines
-
Le Diag Transmission
Le Diag Transmission
-
Assistance opérationnelle aux directions financières
Assistance opérationnelle aux directions financières
-
Accompagnement des acteurs du Capital Investissement
Accompagnement des acteurs Capital Investissement
-
Accompagner les entreprises innovantes
Accompagner le développement des start-up
-
BFR & Cash Management
BFR & Cash Management
-
Le Diagnostic Expert 360°™
Le Diagnostic Expert 360°™ : un nouvel outil de création de valeur pour les dirigeants, à chaque étape de la vie de l’entreprise.
-
Stratégie RSE et Accompagnement CSRD
Définir la stratégie RSE / de transformation durable d’une organisation avec Grant Thornton et accompagner les entreprises dans l’application de la CSRD.
-
Accompagnement opérationnel RSE
Offres d’accompagnement opérationnel en transformation durable aidant les organisations à agir pour un développement durable efficace, pérenne et concret.
-
Conseil en transaction
Services de Conseil en transaction de Grant Thornton : due diligences ESG et environnementale, accompagnement des entreprises du portefeuille au respect des critères extra-financiers.
-
Audit Durabilité et Audit extra-financier
Notre offre au service d’un développement durable dorénavant au centre de la stratégie des entreprises, source de création de valeur et de sens.
-
Finance durable
Services de Conseil en transaction de Grant Thornton : due diligences ESG et environnementales, accompagnement des entreprises du portefeuille au respect des critères extra-financiers
-
Formation et sensibilisation
Services de formation et sensibilisation aux bonnes pratiques du développement durable, de la santé environnementale et de la sécurité sanitaire.
-
Assistance and Advisory
Assistance and Advisory
-
Accountancy and Administration
Accountancy and Administration
-
Compliance
Compliance
-
Payroll Services
Payroll Services
-
Global Compliance and Reporting Solutions
Global Compliance and Reporting Solutions
-
Japan Desk
Le Japan Desk accompagne des entreprises japonaises s’implantant en France et, propose des services aux entreprises françaises ciblant le marché japonais.
-
ジャパン デスク
ジャパン デスク - Japan Desk
-
Country Desks
Country Desks, International Desks
-
An introduction to our other services
An introduction to our other services
-
Newsletter Quarterly Deals n°35Dans cette édition de la newsletter du métier Conseil Financier de Grant Thornton, retrouvez une rétrospective du premier semestre 2024, ainsi que nos dernières opérations.
-
La lettre des décideurs N°32 Economie de guerre et financement de la BITD ?Découvrez l’article de Nicolas Tixier dans La Lettre Des Décideurs numéro 32
-
Article Et si la défense nous sauvait des dangers de la désindustrialisation ?Pour refondre la politique de Défense, la France a besoin d’un outil industriel à réadapter, à relocaliser.
-
Article Application du devoir de vigilance aux entreprises de l’armementDécouvrez l’article de Nicolas Guillaume sur l’application du devoir de vigilance aux entreprises de l’armement pour l’utilisation des matériels de guerre exportés
-
Assurance
La plateforme Grant Thornton dédiée à l’assurance et aux mutuelles.
-
Banque et Asset Management
Accompagner les institutions bancaires pour construire les fondamentaux de leurs nouveaux business models.
-
Secteur public
Grant Thornton, partenaire des acteurs publics
-
Economie sociale
Nos offres de services Grant Thornton dédiées aux secteurs médico-social et de l’habitat social.
-
Protection Sociale
Nos offres de services Grant Thornton dédiées aux mutuelles, institutions de prévoyance, organismes de sécurité sociale et de retraite complémentaire.
Ces dernières années la cybersécurité dans le secteur de la santé est devenue un enjeu majeur. Les établissements de santé sont régulièrement la cible de cyber attaques. Actuellement, un dossier médical peut se revendre jusqu’à 300 euros sur le darknet1 ! Le vol de données de santé est donc une activité très attrayante pour les personnes malveillantes (cybercriminels).
Quelles sont les réglementations, normes et mesures existantes au niveau national et européen pour lutter contre les actes criminels (parmi d’autres) ciblant ce secteur ?
Rappel de quelques fondamentaux.
Au niveau national :
En France, de nombreux organismes et services ont été mis en place pour aider les établissements de santé à faire de la veille, et signaler et répondre aux incidents de sécurité.
Voici une liste (non exhaustive) de différents contacts :
- Portail de veille, d’alerte et d’échange : www.cyberveille-sante.gouv.fr
- CERT santé : cyberveille@esante.gouv.fr et +33 (0) 9 72 43 91 25
- Haut fonctionnaire de défense et de sécurité (HFDS) et fonctionnaire de sécurité des systèmes d’information (FSSI) : ssi@sg.social.gouv.fr
- L’Agence nationale de la sécurité des systèmes d’information (ANSSI) : Cert-fr.cossi@ssi.gouv.fr
- Pour déclarer un incident : https://signalement.social-sante.gouv.fr
Programmes gouvernementaux
Le gouvernement met en place depuis plusieurs années des programmes visant à développer et moderniser les systèmes d’information hospitalier tout en incluant une démarche de sécurisation. A titre d’exemples, les programmes « Hôpital Numérique2 » de 2012 à 2017 et « HOP’EN3 » (lancé en 2019 et qui devrait arriver à son terme fin 2023). Également, le programme « SUN-ES4 » relatif à la transmission de documents de santé de l’espace numérique de santé « monespacesante.fr ». Pour participer à ce programme, les établissements de santé doivent valider des prérequis5 notamment en matière de cybersécurité. En mars 2023, la Direction Générale de l’Offre de Soins (DGOS) annonçait que 64% des établissements sanitaires éligibles au programme avaient validé ces prérequis.
Plan de préparation aux incidents cyber
Fin 2022, le gouvernement avait annoncé un plan de préparation aux incidents cyber imposant que tous les établissements prioritaires aient réalisé de nouveaux exercices de crise d’ici mai 2023. L’objectif de ce plan a ensuite été décliné en février à tous les établissements désignés comme opérateurs de services essentiels (OSE) et 50% des autres établissements.
Le guide cybersécurité de l’Agence du Numérique en Santé (ANS)
L’Agence du Numérique en Santé (ANS) a pour but d’accompagner la transformation numérique du système de santé avec tous les acteurs de celui-ci. Dans ce contexte, l’ANS a publié le 9 novembre 2022 un guide à destination des Etablissements et Services Sociaux et Médico-Sociaux (ESSMS) afin d’aider à améliorer le niveau de cybersécurité de ceux-ci.
Ce guide (La Cybersécurité pour le Social et le Médico-Social en 13 questions) est disponible au format PDF à l’adresse suivante : https://esante.gouv.fr/sites/default/files/media_entity/documents/ANS_GUIDECYBER_PHASE%201-EXE%20-V2. Pdf
Certification des établissements de santé pour la qualité des soins6
Chaque établissement de santé doit être certifié par la Haute Autorité de Santé. La procédure est quadri annuelle et indépendante de l’établissement certifié. Cette certification porte sur la qualité et la sécurité des soins délivrés aux patients mais possède également un objectif en lien avec la cybersécurité.
L’objectif 3.67 du manuel de certification de la Haute Autorité de Santé concernant la réponse opérationnelle aux risques auxquels l’établissement peut être confronté, contient un critère sur les risques numériques. Les établissements de santé doivent respecter les points suivants :
- Avoir un système d’information sécurisé,
- Prévoir un plan d’action de continuité,
- Sensibiliser l’ensemble des professionnels,
- Mettre en place une veille de sécurité numérique suivant les recommandations de l’ANSSI.
Le référentiel de maturité numérique des établissements sanitaires (MaturiN-H)
MaturiN-H est un référentiel en cours de création par la DGOS (Direction Générale de l’Offre de Soins) depuis 2019 permettant de certifier les systèmes d’information des établissements de santé publics comme privés.
Initialement prévu pour 2021, il devrait être finalisé fin 2023 et contenir 142 critères relatifs à la sécurité des systèmes d’information.
Pour l’élaboration, plusieurs textes sont pris en compte tels que les prérequis de SSI des programmes HOP’EN et SUN-ES, les mesures du guide d’hygiène de l’ANSSI, celles de la directive NIS, le référentiel ISO 27001, etc.
France Relance
Dans le but de relancer l’économie affectée par la crise sanitaire, le dispositif France Relance est lancé en septembre 2020. Ce dernier comporte un volet cybersécurité de 136 millions d’euros et son pilotage a été confié à l’ANSSI. Parmi ses objectifs se trouve celui du renforcement de la sécurité des établissements de santé.
En lien avec ce dispositif, l’ANSSI propose aux établissements de santé une offre de « parcours de cybersécurité8 ». Un pré diagnostic cyber permet d’orienter le bénéficiaire vers le plus adapté entre les quatre niveaux proposés : Fondation, Intermédiaire, Avancé et Renforcé.
Chaque parcours s’articule autour des huit volets suivants adaptés à chaque bénéficiaire :
- Sensibilisation et organisation face au risque numérique,
- Maîtrise des accès au SI,
- Sécurisation des données, applications et services numériques,
- Sécurisation des équipements de travail,
- Protection du réseau,
- Intégration des enjeux de la sécurité numérique à la politique d’administration et d’exploitation,
- Connaissance des vulnérabilités du SI,
- Capacité à détecter et à réagir aux évènements de sécurité.
Loi de Programmation Militaire (LPM) relative au sous-secteur « Produits de santé »
La LPM fixe les orientations stratégiques en matière de politique de défense. Elle soumet les Opérateurs d’Importance Vitale (OIV) à un renforcement des capacités de protection, de détection et réaction face aux cyberattaques. Le secteur de la santé est une activité réputée comme stratégique pour la nation, ce qui veut dire que certains acteurs peuvent être classés comme OIV et doivent donc respecter les règles en vigueur concernant ce domaine.
Comme défini dans l’arrêté du 10 juin 2016, les établissements concernés doivent suivre un total de 20 règles concernant entre autres :
- La politique de sécurité des systèmes d’information,
- La cartographie des systèmes d’information d’importance vitale (SIIV),
- La détection et le traitement des incidents de sécurité,
- La gestion de crise,
- Les droits d’accès.
La liste complète est détaillée dans l’arrêté du 10 juin 2016 disponible ici : https://www.legifrance.gouv.fr/loda/article_lc/LEGIARTI000036942932
La certification pour les hébergeurs de données de santé
Tous les organismes publics ou privés qui hébergent, exploitent le SI de santé, ou réalisent des sauvegardes pour le compte d’un établissement de santé ou d’un tiers de santé doivent être certifiés HDS, à l’exception des services d’archivages informatiques qui ne sont pas concernés par ces obligations. Les établissements de santé qui gèrent leur propre Système d’Information de santé n’ont pas la nécessité d’être certifié HDS.
Pour l’obtenir, l’hébergeur doit être audité par un organisme accrédité qui délivrera un certificat de conformité valable 3 ans. De plus, un audit de surveillance annuel doit être effectué.
Il existe deux périmètres de certificats9 en fonction du métier d’hébergement :
- Pour les activités de mise à disposition de locaux d’hébergement physique et d’infrastructure matérielle sera délivré le certificat « hébergeur d’infrastructure physique ».
- Pour les activités de mise à disposition d’infrastructure virtuelle, de mise à disposition de plateforme logicielle, d’administration/exploitation et de sauvegarde externalisée sera délivré le certificat « hébergeur infogéreur ».
Si les activités de l’hébergeur correspondent aux deux périmètres, l’obtention des deux certifications est nécessaire.
Un établissement de santé n’a pas l’obligation d’être certifié HDS, cependant s’il souhaite faire appel à un prestataire, celui-ci doit obligatoirement l’être.
Au niveau européen :
Directive Network and Information Security (NIS)
Certains établissements de santé, tels que tous les GHT (Groupements Hospitaliers de Territoires), sont considérés depuis février 2021 comme des Opérateurs de Services Essentiels (OSE). Ils doivent donc respecter la directive NIS adoptée le 6 juillet 2016 et qui vise à assurer un niveau de sécurité élevé et commun pour les réseaux et systèmes d’information de l’Union européenne.
La nouvelle version de cette directive a été publiée au Journal Officiel de l’Union européenne le 27 décembre 2022. La directive NIS 2 va élargir le périmètre d’applicabilité, ce qui signifie que de nouveaux établissements pourraient être concernés par cette directive. NIS 2 est en cours d’adaptation au niveau national et sera donc applicable au plus tard au deuxième semestre 2024.
Le Règlement Général sur la Protection des Données (RGPD)
Le RGPD est un règlement européen entré en application le 25 mai 2018. Il vise à harmoniser et encadrer les règles et pratiques en matière de traitement des données à caractère personnel. Il s’applique à toute organisation, publique ou privée, qui traite des données personnelles pour son compte ou non, dès lors qu’elle est établie sur le territoire de l’Union européenne ou que son activité cible directement des résidents européens. Tous les établissements de santé sont donc concernés par ce règlement.
En France, la Commission Nationale de l’Informatique et des Libertés (CNIL) joue un rôle de régulateur. Cette autorité administrative indépendante a pour mission dans le cadre du RGPD d’accompagner les organismes dans leur mise en conformité, mais également de les contrôler et sanctionner en cas de manquement.
Pour aider les organismes dans leur mise en conformité avec le RGPD, la CNIL met à disposition sur son site internet des cadres de référence : https://www.cnil.fr/fr/les-cadres-de-reference
Guide de l’Agence de l’Union européenne pour la cybersécurité
L’Agence de l’Union européenne pour la cybersécurité ou Enisa a publié en février 2020 un document intitulé « Procurement Guidelines for Cybersecurity in Hospitals ». Guide pour les hôpitaux, il rassemble des bonnes pratiques et recommandations en matière de cybersécurité concernant les processus d’approvisionnement. Il couvre différents sujets tels que les bonnes pratiques organisationnelles concernant l’hôpital en lui-même et les preuves de cybersécurité à demander aux fournisseurs lors de l’achat d’équipement et de services.
Le guide est disponible en téléchargement à cette adresse : https://www.enisa.europa.eu/publications/good-practices-for-the-security-of-healthcare-services
Abdel Farid ALE, Directeur Cybersécurité au sein du Département Public, Economie Sociale, Protection Sociale et Financial Services de Grant Thornton.
1. Marché illégal de ventes de données en ligne
2. https://sante.gouv.fr/systeme-de-sante/e-sante/sih/hopital-numerique/Hopital-Numerique
3. https://sante.gouv.fr/systeme-de-sante/e-sante/sih/hopen
4. https://sante.gouv.fr/systeme-de-sante/segur-de-la-sante/sun-es
5. https://sante.gouv.fr/IMG/pdf/dgos_sun_es_guide_des_prerequis_volet_1_et_2_300123.pdf
6. https://www.has-sante.fr/jcms/c_411173/fr/comprendre-la-certification-pour-la-qualite-des-soins
7. https://www.has-sante.fr/upload/docs/application/pdf/2022-10/manuel_certification_es_qualite_des_soins.pdf
8. https://www.ssi.gouv.fr/agence/cybersecurite/france-relance/etablissement-de-sante/
9. https://esante.gouv.fr/labels-certifications/hds/certification-des-hebergeurs-de-donnees-de-sante