#FASN - Faire avancer la santé numérique
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
#FASN
#LAB 4
SI : priorité à la sécurité
Animé par Frédéric Vilanova, Président, Clusir Aix-Marseille
• Philippe Barbot, Responsable de la sécurité informatique, CH de Bagnols
sur Cèze
• Claire Lenain, Directrice adjointe du pôle Urbanisation et services de
confiance, Coordination métiers, ASIP
• Philippe Tourron, Responsable de la Sécurité des Systèmes d’Information,
Assistance publique-hôpitaux de Marseille (AP-HM)
• Jean-Christophe Turbatte, Chargé de mission SI, ORU PACA
#FASN
#LAB 4
SI : priorité à la sécurité
Hébergement de données de santé, identitovigilance, ransonware, label
sécurité des logiciels,… la gestion par les risques et la maîtrise de la sécurité
informatique est au cœur des responsabilités des établissements de santé.
Comment assurer une sécurité maximale alors que l’hôpital s’ouvre chaque
jour davantage vers la ville ?
#FASN LAB 4. SI : Priorité à la Sécurité Frederic VILANOVA, Président Clusir Aix Marseille, VP Paca
Professionnalisation des menaces… Outch!
Professionnalisation des menaces
Source: (1) Gartner Magic Quadrant Juillet 2015
(2) Prévisions Gartner, Septembre 2016
IoTs Objets connectés… Aie!
Gouverner, manager, opérer: 3 niveaux
De nombreuses directives et
normes dont Hôpital
Numérique, GDPR, etc.
Un parc applicatif et matériel
très hétérogène avec une
surface d’exposition très
importante
Les niveaux
Une approche globalisée de
planification et
d’organisation pour
envisager la sécurité dans
son contexte métier, des
parties prenantes internes et
externes des métiers.
Les niveaux
Les niveaux
Les niveaux
Performance and Conformance
System of Internal Control
Compliance with External Regulations#FASN Ouverture de l’hôpital vers la ville dans un espace de confiance numérique Claire LENAIN, directrice adjointe Pôle urbanisation et services de confiance
Protéger les données de santé de l’hôpital
Le processus de soins est aujourd’hui largement informatisé à l’hôpital
• Atlas SIH 2016 (DGOS) : 94% des établissements déclarent l'informatisation de leur dossier patient achevée ou en cours
L’établissement est responsable de traitement de ses applications qui manipulent de la donnée de santé
Tout responsable de traitement doit s’assurer de mettre en œuvre (lui-même ou en ayant recourt à des sous-traitants) les
mesures de sécurité adaptées à la sensibilité des données (cf. article 34 de la loi « Informatique et Libertés).
• Sécurité du système d’information • Guide d’hygiène informatique de l’ANSSI
(infrastructures…) • INSTRUCTION N°SG/DSSIS/2016/309 du 14 octobre 2016 relative à la
mise en œuvre du plan d’action SSI dans les établissements
• Sécurité des applications de santé • Référentiels de la PGSSI-S
• Hébergement des données de santé • Evolution de la procédure d’agrément vers une procédure de
certification (ISO 27001, 20000, 27017, 27018)
La sécurité du système d’information doit être positionnée au bon niveau compte-tenu des enjeux (gestion des
risques SSI)
NOUVEAU : Mise en place d’un dispositif opérationnel de déclaration et de traitement des incidents graves de
sécurité des SI de santé remontés par les établissements de santé, laboratoires de biologie médicale et centres de
radiothérapie (article 110 de la loi MNS du 26 janvier 2016) - à partir d’octobre 2017Un cadre « de sécurité » pour favoriser l’essor de la e-santé
Contexte : développement des échanges et du partage de données de santé entre professionnels de
santé (hôpital, ville et secteur médico-social) et avec le patient
La politique générale de sécurité des systèmes d‘information de santé (PGSSI-S) esante.gouv.fr/pgssi-s
Guides Référentiels
(opposables en 2018)
Gouvernance et mise en œuvre de la PGSSI-S
En concertation
Identification
Publié, en évolution
des acteurs auprès
Authentification du secteur santé, médico-social et social des applications
Publié, en évolution
contenant des
Imputabilité données de santé
Publié, en évolution à caractère personnel
Identification
A paraître des usagers
Authentification du secteur santé, médico-social et social
A paraître
Prochainement:
▪ gestion des équipements nomades,
▪ modèle de charte utilisateurDes services pour mettre en œuvre ce cadre « de sécurité »
indispensable à l’essor de la e-santé
Référentiels PGSSI-S Des services d’infrastructure nationaux
Professionnels de santé Structures
RRPS/ADELI FINESS, SIRET …
Identification des acteurs Service de publication : annuaire.sante.fr
site web web-services
Authentification des acteurs Certificats logiciels
• Authentification directe du PS IGC Santé
• Authentification indirecte du PS
• etc (personnes morales,
Carte CPS et dispositifs alternatifs adossés à la CPS personnes physiques…)
Loi MNS 26 janvier 2016 : Le NIR devient l’identifiant national de santé (INS)
Identification des usagers
attestation de
droits de l’AM
carte Vitale
Web services AM (bientôt)#FASN La SSI de Santé en PACA JC TURBATTE - GIP e-Santé ORU PACA
SSI de SANTÉ
INSTANCE COLLÉGIALE RÉGIONALE
- SYSTÈMES D’INFORMATION -
SSI RÉFÉRENTIELS GHT
MS SANTÉ TÉLÉMÉDECINESSI de SANTÉ
INSTANCE COLLÉGIALE RÉGIONALE
- SYSTÈMES D’INFORMATION -
SSI RÉFÉRENTIELS GHT
MS SANTÉ TÉLÉMÉDECINESSI de SANTÉ
INSTANCE COLLÉGIALE RÉGIONALE
- SÉCURITÉ DES SYSTÈMES D’INFORMATION DE SANTÉ -SSI de SANTÉ
ATELIER
SÉCURITÉ DES SYSTÈMES D’INFORMATION
Livrable 1 : Étude d’écarts entre les référentiels
Livrable 2 : Procédures et fiches réflexes
Livrable 3 : Outils d’auto-évaluation et visites croisées
Livrable 4 : Groupe dédié à la Sécurité des Systèmes d’Information
Livrable 5 : Formation et de sensibilisation à la SSISSI de SANTÉ Merci de votre attention ...
#FASN La sécurité du numérique de santé : Risques et opportunités Philippe Tourron, RSSI APHM
Sécurité du numérique de santé : les Risques
Enjeux majeurs : protéger les patients Le périmètre ?
• Les logiciels (du DPI au
• Leurs soins portail patient)
• Les infrastructures (des
• Leurs données serveurs au pilotages de
l’électricité)
• Disponibles
• Intègres
• Les moyens médicaux
• Confidentielles techniques (de l’ECG à la
centrale de dialyse)
• Auditables -> A l’hôpital
-> Et au-delà
Exemple : DMIA monitoré chez le
patientSécurité du numérique de santé : une stratégie
Vision : s’appuyer sur ce qui existe (en dehors de la santé)
ISO 27001 et vers laquelle convergent tous les référentiels
Les Freins :
• Changer
Pragmatisme : procéder par palier, rendre possible des
• Coûts
pratiques utiles pour les professionnels de santé
Pédagogie : sensibiliser, former tous les acteurs :
Les leviers :
Biomédical, techniques, des messages simples aux
• La règlementation
utilisateurs
• Les incidents (l’actualité)
Mais aussi les éditeurs : renforcer nos exigences /
• Les soutiens des structures
recommandations
nationales (HFDS/FSSI, ASIP,
ANSSI, …) et des autres
Agilité : les menaces sont agiles les réponses de protection
• La prise de conscience de la
doivent s’adapter : apprendre à gérer des crises, défense en
criticité du SI
profondeur, s’entraiderComment aller vers … un management de la sécurité
(ISO27001)
Convaincre d’y aller avec une vision à 5 ans
Enjeux : territoire, HDS, certification des comptes, état et ministère
Sponsor
La confiance des professionnels de santé et des patients
Une organisation :
S’appuyer sur tout ce qui existe pour démarrer
Commission, copil, gestion des risques, certification HAS
Nommer des correspondants sécurité SI dans et hors DSI
Une stratégie :
Comprise de la gouvernance
Qui intègre les Enjeux (positionnement / territoire)
Qui valorise l’établissement
Qui garantisse la conformité
Qui permette une maturité progressiveSécurité du numérique de santé : les opportunités
La signature numérique, le chiffrement, l’authentification
forte
La sécurité : valeur ajoutée pour la confiance numérique Enjeux pour l’avenir :
Rends possible (conformité/fiabilité) : • Garantie du soin numérique
• Hébergement des données de
• La dématérialisation : la preuve numérique santé
• L’identité numérique (pour l’accès aux données • Télémédecine
et aux dispositifs) pour les personnes, pour les
logiciels, pour les appareils médicaux • Bigdata
• La communication sécurisée
• Les soins/télémédecine à distance#FASN Sécurité des Systèmes d’Information: Retour d’Expérience Philippe, Barbot, RSI, CH BAGNOLS SUR CEZE
Sécurité des Systèmes d’Information :
Retour d’Expérience
Après atteinte des pré-requis « Hopital Numérique »
Au niveau de l’Etablissement
Acquisition de la « culture Sécurité des SIH »
(Nomination RSSI, CIL, SSI évoquée lors de chaque instance, formations,
interventions diverses…)
Mise en place d’un lien « privilégié » avec la Cellule Qualité
(Rédaction des plans d’action, V2014…)
Formalisation, réécriture et imprégnation des documents
institutionnels
(PSSI, Charte de la sécurité du SI, Procédures de recrutement…)Sécurité des Systèmes d’Information :
Retour d’Expérience
Après atteinte des prérequis « Hôpital Numérique »
Au niveau des utilisateurs (le fonctionnel)
Acquisition de la « culture Sécurité des SIH »
Procédures de fonctionnement en mode dégradé
Prise en compte et acceptation des règles
Authentification personnelle (Urgences-GAP)
Traçabilité des accès (Smartaudit…)
Déploiement annuaire d’entrepriseHôpital Numérique : Retour d’Expérience
Après atteinte des prérequis « Hôpital Numérique »
Au niveau technique
Prise en compte de la « culture Sécurité des SIH »
Réflexion Sécurité
Formalisation des documentations
PRA
ProcéduresSécurité des Systèmes d’Information:
Retour d’Expérience
Après atteinte des pré-requis…pour le patient ?
Amélioration dans le cadre de la prise en charge de nos patients
Identité du patient
Identitovigilance
Diminution du risque de désorganisation des soins prodigués au patient
PRA, procédures mode dégradé…
Respect de la confidentialité des données concernant le patient
Authentification des intervenants, traçabilité des accès,
Traçabilités « centralisée » (gestion des risques)Sécurité des Systèmes d’Information :
Retour d’Expérience
Ensuite…..
Prise en compte du Plan d’Action Sécurité des SIH
paru en novembre 2016Vous pouvez aussi lire
