Dans les entrailles de la future certification HDS
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Dans les entrailles de la future certification HDS
5 avril 2017
#APSSIS2017
1. Enjeux et impératifs de protection des SI de santé je n’aurai pas
beaucoup le temps d’en parler … mais d’autres l’ont déjà fait avant moi
2. Certification des hébergeurs de données de santé
Sébastien Herniote
Manager cybersécurité
Evaluateur technique COFRAC
#EnjeuxSSIS
Sécuriser les SI et les données de santé
Une Une
nécessité obligation
Une Une
opportunité incitation
Sécuriser les SI et les données de santé : une nécessité
Les données de santé ont de la valeur et peuvent se monétiser
Prix d’un dossier médical personnel sur intérêts et
Des assureurs, laboratoires, industries
de 50 à 100 $ le dark web pharmaceutiques
convoitises
Le bon fonctionnement des SI de santé est critique
Coûts journaliers directs pour un
17 000 $ payés par un hôpital pour récupérer ses
fichiers chiffrés 10 000 € établissement paralysé par un
rançongiciel
Sécuriser les SI et les données de santé : une nécessité
Paralysie / indisponibilité Fuites de données
Piratage d’équipements
Piratage de SI
2016-2017- …
Sécuriser les SI et les données de santé : une obligation
Certification des ES RGS
LPM
HDS GHT
… PGSSIS
RGPD
Instruction 309
Instruction 340
Sécuriser les SI de santé : une incitation
Sécuriser les SI de santé : une opportunité
Objets connectés Big Data
dispositifs implantables médecine personnalisée
dispositifs médicaux pharmacovigilence
#CertificationHDS
De l’agrément à la certification des hébergeurs de données de santé
L’agrément HDS
HDS Dossier de demande
P1 à P6 Comité d’agrément (CAH)
Instruction dossier
Politique de sécurité (6 à 8 mois)
Organisation
Respect du droit des personnes
Ressources humaines
Limites de l’agrément HDS Contrôle d'accès
Télécommunications
Dossiers de demande déclaratifs Traçabilité
Gestion des incidents
Pas de niveau de sécurité réellement fixé Sauvegarde et archivage des données
Agrément HDS
Archivage (3 ans)
Exigences sur la sécurité physique ?
Continuité de service
Longs délais d’instruction (6 à 12 mois) Gestion des évolutions
Conformité
Des périmètres très variables
PGSSI-SDe l’agrément à la certification des hébergeurs de données de santé
La certification HDS
Organisme de
certification (OC)
Evalue
Accrédite compétence ISO 17021 HDS
ISO 17021 impartialité ISO 27006
ISO 27006 fiabilité
Certifie
Systèmes de management Comment Sur la base de quoi Référentiel de
SMQ (ISO 9001) Audit initial étape 1 (doc) certification HDS
SMSI (ISO 27001) Audit initial étape 2 (sur site) ISO 27001
SMS (ISO 20000) Audit de surveillance (annuel) ISO 20000
… SMSI-HDS dans le cas présent Audit de renouvellement (3 ans) ISO 27017
ISO 27018
ISO 27001 : Système de management de la sécurité de l’information
ISO 20000 : Exigences du système de management des services Exigences spécifiques santé
ISO 27017 : Code de pratique pour les contrôles de sécurité de l'information fondés sur l'ISO/CEI 27002 pour les services du nuage
ISO 27018 : Code de bonnes pratiques pour la protection des informations personnelles identifiables (PII) dans l'informatique en nuage public agissant comme processeur de PIIL’entrée en vigueur de la certification HDS
Un scénario possible …
Janvier Septembre Janvier Janvier
2017 2017 2018 2019
Ordonnance Décret Entrée en vigueur Entrée en vigueur
2017-27 du 12 « Certification HDS » (espérée) certif. HDS (au plus tard) certif. HDS
janvier 2017 (espéré)
+
Arrêté ministériel
Certifications HDS
« Référentiel certif. HDS » Certifications HDS hors accréditation
« Parcours » du décret sous accréditation
Conseil d’Etat
Organismes de
Concertation des partenaires Accrédite
certification
Consultation CNIL
Formation des évaluateurs COFRAC
Consultation Commission Européenne
Evaluations initiale des OC
Consultation Ordres des PS
Actions correctives par OCLe référentiel d’exigences de la certification HDS (1/3)
Le périmètre : Est considérée comme prestation d’hébergement le fait d’exercer
pour le compte du responsable de traitement, ou un de ses sous-traitants, tout ou
partie des activités ci-dessous
La couche applicative n’est clairement plus
dans le périmètre de la certification HDS
Elle relève de la responsabilité du responsable
de traitement
Recentrage sur le métier d’hébergement
Les questions d’authentification (forte) des acteurs de santé ne sont
donc plus du ressort de la certification HDSLe référentiel d’exigences de la certification HDS (2/3)
ISO 27001
Système de management de la sécurité de l’information
Plan Do Gouvernance
Gestion de la documentation
Processus
Act Check
Gestion des Politique sécurité
risques
La 27001 est à la sécurité ce que la 9001 est à la qualité
La certification ISO 27001 ne sanctionne pas un niveau de sécurité
mais des bonnes pratiques de gestion de la sécuritéLe référentiel d’exigences de la certification HDS (3/3)
ISO 27001
Système de management de la sécurité de l’information
Traitement des risques : Déclaration d’application (DDA)
Politique de sécurité de l’information Planification de nouveaux services
Organisation de la sécurité de l’information Tests avant mise en production des releases
Prise en compte de la sécurité dans les projets Continuité et disponibilité des services
Sécurité dans la relation avec les tiers Surveillance et test de la continuité et disponibilité
Gestion des incidents de sécurité Gestion de la capacité
Sécurité dans les ressources humaines Consentement des personnes concernées
Contrôle d’accès Finalité
Gestion des actifs Utilisation, conservation et communication
Cryptographie Responsabilité
Sécurité physique et environnementale Sécurité des données
Sécurité liée à l’exploitation Localisation des données
Sécurité des communications PGSSI-S
Gestion de la continuité de l’activité informatique Communication des rapports d’audit
Conformité Liste des contacts clients
Régionalisation
ISO 27002 ISO 20000 ISO 27018 Spécifique secteur santéAnalyse économique
Agrément HDS Certification HDS
Dossier de demande initial : 60 j.h Mise à niveau de l’équipe projet : certification L.I. / L.A. ISO 27001 du chef de
projet SMSI + achat des normes ISO
Dossier de demande de renouvellement : 20 j.h
Mise en place du SMSI-HDS : de 12 à 18 mois, 0,5 ETP
Analyse d’écart / Feuille de route / Exécution
Audit de renouvellement : 10 K€
Audit interne annuel : 5 j.h Audits de certification HDS : cf. tableau
Audit interne et entretien SMSI annuels : 50 j.h
Sur 1 cycle de 3 ans 80 j.h - 20 K€ Sur 1 cycle de 3 ans 250 j.h - 100 K€Analyse économique
Comparaison avec les schéma de labellisation de prestataires de l’ANSSI
RGS LPM
Accrédite
ISO 17021
Habilite Accrédite Habilite qualifie
PSCO
Organisme de qualifie Organisme de
certification (OC) PSCO certification (OC)
Evalue Ref. d’exigences spécifiques Evalue Ref. d’exigences spécifiques
PSCE PSHE PASSI PDIS PRIS CloudComparaison avec le référentiel SecNumCloud de l’ANSSI
Périmètre : services d’informatique en nuage (IaaS, PaaS et SaaS)
Vise l’atteinte d’un niveau de sécurité :
• 2, même (niveau « Essentiel » et niveau « Avancé »)
• Contrairement à la certification HDS
Tradition de l’ANSSI de viser des niveaux de sécurité :
• ADN historique du classifié de défense (SD, CD, DR)
• Produits de sécurité (CC, CSPN), prestataires, guides
• Extrait de SecNumCloud : « Le présent référentiel s’appuie
notamment sur la norme ISO27001 dont il reprend d’ailleurs la
structure de l’annexe A »
• Extrait du référentiel PDIS : « Il est recommandé que le prestataire
soit certifié ISO-27001 sur l’intégralité du périmètre du service [...] »Illustrations
Certification HDS SecNumCloud
Revue des droits d’accès utilisateurs
Il convient que les propriétaires d’actifs revoient les Le prestataire doit réviser annuellement les droits d’accès
droits d’accès des utilisateurs à intervalles réguliers des utilisateurs sur son périmètre de responsabilité. Le
prestataire doit réviser trimestriellement […] les comptes
techniques mentionnés dans l’exigence 9.2.b)
Authentification
Lorsque la politique de contrôle d’accès l’exige, il convient Le prestataire doit mettre en place un système
que l’accès aux systèmes et aux applications soit contrôlé d’authentification à double facteur pour l’accès aux
par une procédure de connexion sécurisée […] méthodes interfaces d’administration utilisées par le prestataire et
d’authentification autres que l’utilisation de mots de passe aux interfaces d’administration dédiées aux clients
Sauvegarde
Il convient de réaliser des copies de sauvegarde de Le prestataire doit mettre en œuvre
l’information, des logiciels et des images systèmes, et une politique de sauvegarde et de restauration des
de les tester régulièrement conformément à une politique données [...] Cette politique doit prévoir une sauvegarde
de sauvegarde convenue. quotidienne de l’ensemble des donnéesIllustrations
Certification HDS SecNumCloud
Journalisation des évènements
Il convient de créer, de tenir à jour et de revoir Le prestataire doit documenter et mettre en œuvre une
régulièrement les journaux d’événements enregistrant les politique de journalisation incluant au minimum les
activités de l’utilisateur, les exceptions, les défaillances et éléments suivants : […]. Le prestataire doit générer et
les événements liés à la sécurité de l’information collecter les événements suivants : […]. Le prestataire doit
conserver les événements issus de la journalisation
pendant une durée minimale de six mois
Revue indépendante de la sécurité des SI
Il convient de procéder à des revues régulières et Le prestataire doit mettre en œuvre un programme
indépendantes de l’approche retenue par l’organisation d’audit sur trois ans [...] Il doit inclure un audit qualifié par
pour gérer et mettre en œuvre la sécurité de l’information an réalisé par un PASSI qualifié. L’ensemble du programme
[…] à intervalles définis ou lorsque des changements d’audit doit notamment couvrir :
importants sont intervenus. - l’audit de la configuration des serveurs et équipements
réseau inclus dans le périmètre du service
- le test d’intrusion des accès externes au service
- si le service bénéficie de développements internes,
l’audit de code source portant sur les fonctionnalités de
sécurité implémentées.La certification HDS, en conclusion
Points forts Points faibles
Norme « socle » internationalement reconnue et N’atteste pas d’un niveau de sécurité particulier. Un
adoptée (ISO 27001) système de management est différent de la SecOp
Repose sur un schéma de labellisation fiable et Modèle plus couteux pour les HDS candidats
ayant fait ses preuves (COFRAC, OC, audit sur site) avec un ticket d’entrée plus élevé
Clarifie nettement ce qui relève de l’hébergeur de La certification HDS pourra être trompeuse dans la
ce qui relève du responsable du traitement mesure où des prestataires n’assurant que des
(suppression de la partie applicative) services d’infogérance (i.e.) pourront être certifiés.
Un calendrier ambitieux et une implication forte Un (forte) probabilité de dérive calendaire et d’une
des entités concernées : OC, COFRAC situation transitoire allongée de certifications hors
accréditation
Risque de faire le ménage chez les HDS candidats à Risque de faire le ménage chez les HDS candidats à
a certification a certificationVous pouvez aussi lire
