"Stratégie SSI Santé 2017-2022: le quinquennat de la maturité " - l'Apssis
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
5ème congrès de l’APSSIS
«Stratégie SSI Santé 2017-2022:
le quinquennat de la maturité »
CONFÉRENCE 6 DU 04 AVRIL 2017
GUILLAUME DERAEDT – RSSI & DPO DU CHRU LILLE
PRÉSIDENT DU COMITÉ TECHNIQUE ET ADMINISTRATEUR DU CAIH
1
5ème congrès de l’APSSIS – 04/04/2017 – Conférence 6 - CAIH
ORDRE DU JOUR
Présentation de Bilan du Quinquennat: Au-delà des
la CAIH quinquennat 18 premiers Quick Wins
sortant: mois pour Une Prévoir la
R.A.S. Maturité sécurisation des
Logimétrie et naissante… SI dans le cadre
découverte des …Et une de la
risques sécurisation des convergence des
échanges GHT
2
5ème congrès de l’APSSIS – 04/04/2017 – Conférence 6 - CAIH
LA CAIH EN QUELQUES MOTS
Association Loi 1901 à but non lucratif créée en 2014
Centrale d’achat nationale NTIC sœur d’UniHA/NTIC
+ 700 ES et +450 000 postes
+20 marchés dédiés à la sécurités à fin 2017
5 Membres fondateurs
3
5ème congrès de l’APSSIS – 04/04/2017 – Conférence 6 - CAIH
ORDRE DU JOUR
Présentation de Bilan du Quinquennat: Au-delà des
la CAIH quinquennat 18 premiers Quick Wins
sortant: mois pour Une Prévoir la
R.A.S. Maturité sécurisation des
Logimétrie et naissante… SI dans le cadre
découverte des …Et une de la
risques sécurisation des convergence des
échanges GHT
4
5ème congrès de l’APSSIS – 04/04/2017 – Conférence 6 - CAIH
Sûreté dans le domaine du jugement, de la réflexion (en particulier en
fonction de l'âge) : Etablissement de Santé d'une rare maturité SSI ?
BILAN DU QUINQUENNAT SORTANT:
MATURITÉ: R.A.S.
(À 1341 INCIDENTS PRES REMONTES VOLONTAIREMENT EN 2016 AUPRES DU FSSI)
5
5ème congrès de l’APSSIS – 04/04/2017 – Conférence 6 - CAIH
SERVICE DE LOGIMETRIE:
CONNAITRE SANS BOURSE DELIER
Logimétrie disponible pour tous ses adhérents
• Notifié le 20/05/16 pour 4 ans
• Disponible gratuitement pour les adhérents CAIH (financement sur les
frais de gestion)
• L’outil proposé est Nexthink. Il a déjà été mis en œuvre pour CAIH lors
d’une expérimentation en 2014-2015.
• Fonctionnalités:
- Mesure réelle de l’usage des postes, périphériques et applicatifs
- Inventaire du patrimoine numérique (postes, logiciels et périphériques)
- Conformité sécuritaire et en terme de droits d’usages
Cet outil n’est pas lié à Microsoft, les données anonymes collectées seront utilisées
uniquement par CAIH, avec les objectifs principaux suivants :
- Préparer au mieux les futures négociations avec Microsoft et notamment le
contenu de la cartographie
- Préparer une bourse d’échanges de droits d’usage et de licences que la mise en
place des GHT va rendre très utile : Les GHT vont devoir faire face à l’éclatement des
éditeurs au sein de chacun de leurs établissements
6
5ème congrès de l’APSSIS – 04/04/2017 – Conférence 6 - CAIHSERVICE DE LOGIMETRIE:
UN INDICATEUR DES (MES)USAGES
Les objectifs
• Mesure réelle de l’usage des postes, périphériques et applicatifs
• Inventaire du patrimoine numérique (postes, logiciels et périphériques)
• Conformité sécuritaire et en terme de droits d’usages
Les moyens
• Service diffusés sur +60 000 postes
• Tableaux de bord nationaux anonymes
• Console de management locale optionnelle
Quelques mesures SSI (sur les 51.500 premiers postes)
• 2 500 postes avec défaut de protection AV (~5%)
• 24 000 postes avec défaut de firewall (48%)
• 315 postes infectés
• 1200 exécutions suspectes
7
5ème congrès de l’APSSIS – 04/04/2017 – Conférence 6 - CAIHSERVICE DE LOGIMETRIE:
DES TABLEAUX DE BORD SIMPLE POUR LES DÉCIDEURS
Petite structure Moyenne structure Grosse structure
Maintien du parc
Couverture de la
protection antivirale
Virus / Malware
Comptes avec
privilèges
Maintien du parc Couverture protection Virus / malware Comptes avec privilèges
antivirale
≤ 5% ≤1% ≤ 1% ≤ 10%
> 5% et ≤25% > 1% et ≤ 5% > 1% et ≤ 5% > 10% et ≤ 15%
> 25% > 5% > 5% > 15%
5ème congrès de l’APSSIS – 04/04/2017 – Conférence 6 - CAIHSERVICE DE LOGIMETRIE:
POUR EN SAVOIR PLUS…
Journée plénière nationale
CAIH LOGIMETRIE PARIS
Le 11 Avril 2017
Matin: Réunion plénière ouverte à tous les adhérents
Présentation des premiers rapports nationaux anonymes
Démonstration de l’usage local du produit Nexthink
Après-midi: Workshop utilisateur
Atelier de conception de nouveaux rapports
Planification des comités nationaux bimensuels
Inscription via le portail CAIH : https://portail.caih-sante.org
9
5ème congrès de l’APSSIS – 04/04/2017 – Conférence 6 - CAIHORDRE DU JOUR
Présentation de Bilan du Quinquennat: Au-delà des
la CAIH quinquennat 18 premiers Quick Wins
sortant: mois pour Une Prévoir la
R.A.S. Maturité sécurisation des
Logimétrie et naissante… SI dans le cadre
découverte des …Et une de la
risques sécurisation des convergence des
échanges GHT
10
5ème congrès de l’APSSIS – 04/04/2017 – Conférence 6 - CAIHSûreté dans le domaine du jugement, de la réflexion (en particulier en
fonction de l'âge) : Etablissement de Santé d'une rare maturité SSI ?
QUINQUENNAT: 18 PREMIERS MOIS
POUR UNE MATURITÉ NAISSANTE…
11
5ème congrès de l’APSSIS – 04/04/2017 – Conférence 6 - CAIHINSTRUCTION N°SG/DSSIS/2016/309 DU 14 OCTOBRE 2016
MISE EN ŒUVRE DU PLAN D’ACTION SSI
Date d'application : immédiate
Principaux référentiels et règlementation applicables :
• … Politique de sécurité des systèmes
d’information pour les ministères chargés des
affaires sociales (PSSI-MCAS)
Politique de sécurité des systèmes
d’information de santé (PGSSI-S)
Guides publiés par l’Agence nationale de
sécurité des systèmes d’information (ANSSI)
Référentiels de l’ASIP Santé
Programme hôpital numérique
Accréditation des laboratoires de biologie
médicale
Plan de Sécurité Etablissement
5ème congrès de l’APSSIS – 04/04/2017 – Conférence 6 - CAIHCOUVERTURE DU PLAN D’ACTION SSI
Niveau
Mesures SSI CAIH vous propose …
de priorité
Gestion des ressources humaines : Marché CAIH SSI 05 de Prestations de
Gouvernance SSI service relatives à la sureté et la
Fiche de poste RSSI conformité numérique des Systèmes
Charte d’utilisation du SI d’Information
Organisation :
Cartographie SI Marché CAIH Logimétrie
Priorité 1 Procédure de signalement et de Marché CAIH SSI 05
Sous 6 mois traitement des incidents de sécurité SI
Gestion du poste de travail :
Marché CAIH Antivirus
Antivirus et pare-feu local
Gestion des comptes utilisateurs :
Gestion des mots de passe
Marché CAIH SSI 05
Gestion des sauvegardes
Plan de sauvegarde et de test
5ème congrès de l’APSSIS – 04/04/2017 – Conférence 6 - CAIHCOUVERTURE DU PLAN D’ACTION SSI
Niveau
Mesures SSI CAIH vous propose …
de priorité
Organisation :
Procédure d’appréciation des risques
dans une logique d’homologation SI
Gestion du poste de travail :
Patch management
Gouvernance opérationnelle CAIH SSI 05
Priorité 2 Gestion des réseaux :
Sous 12 mois Protection et sécurisation des
connexions internet, des CAIH SSI 08
télémaintenances et du Wifi
Gestion des comptes utilisateurs :
Gestion des comptes et des droits
Gestion des ressources humaines :
Formation et sensibilisation
5ème congrès de l’APSSIS – 04/04/2017 – Conférence 6 - CAIHCOUVERTURE DU PLAN D’ACTION SSI
Niveau
Mesures SSI CAIH vous propose …
de priorité
Gestion des réseaux :
Cloisonnement et filtrage
Traçabilité
Gestion des contrats de sous-
Priorité 3 traitance SI :
CAIH SSI 05
Sous 18 mois Gestion des contrats des prestataires
Organisation :
Gouvernance SSI
Analyse de risque avec revue
régulière et plan de traitement suivi
Les marchés CAIH relatifs à la Sécurité des Systèmes
d’Information couvrent les actions à mener
dans le cadre de l’instruction N°SG/DSSIS/2016/309
5ème congrès de l’APSSIS – 04/04/2017 – Conférence 6 - CAIHSûreté dans le domaine du jugement, de la réflexion (en particulier en
fonction de l'âge) : Etablissement de Santé d'une rare maturité SSI ?
…ET UNE SÉCURISATION DES
ÉCHANGES
16
5ème congrès de l’APSSIS – 04/04/2017 – Conférence 6 - CAIHAGRÉMENT HDS OFFICE 365 –
PÉRIMÈTRE ET PROCESSUS DE DÉPÔT
Dépôt, en janvier 2017, d’un dossier d’agrément HDS en partenariat avec
Microsoft :
« Travail collaboratif sécurisé en ligne pour une meilleure
communication entre les GHT, les acteurs de santé, la
médecine de ville, et le patient »
Calendrier
Ministère
MCA – FSSI -
RSSI HCL, AP
HP, AP HM, Passage de la
Toulouse, licence classique au
Retour de la
Bordeaux Retour ASIP service en ligne
CNIL dans
avec pour les seuls
un délais
échanges établissements
maximal de
sous 3 mois demandeurs après
3 X 2 mois Mid-Term
CNIL
ASIP
Dépôt du dossier d’agrément
Concertations Agrément en 2017
en janvier 2017
17
5ème congrès de l’APSSIS – 04/04/2017 – Conférence 6 - CAIHAPPROCHE DE DÉPLOIEMENTS DANS UN
CONTEXTE GHT
Personnel
itinérant
Partenaires du GHT
GHT/Etablissements
Le Cloud CAIH va accélérer la création des GHT (mise en place des solutions de collaboration et de communication simple), la
convergence applicative en facilitant le partage de ressources mutualisées.
Ceci dans un contexte de maîtrise de bout en bout de la sécurité et des risques inhérents à l’utilisation des services du « Shadow
IT » tels que Dropbox, Webmail, etc.
5ème congrès de l’APSSIS – 04/04/2017 – Conférence 6 - CAIH
18CAIH ACCOMPAGNE LE DÉPLOIEMENT DES
GHT AU TRAVERS DE 2 OPTIONS CLOUD
7,89 € HT /mois/utilisateur 0,67 € HT /mois /utilisateur 0,76 € HT /mois/utilisateur
Offre Existante : Option 1 : Option 2 :
Cartographie sur site CAIH Cloud O365 CAIH Cloud Sécurité et
• Active Directory • Exchange Online Mobilité
• System Center • SharePoint Online • Secure SSO pour le cloud et les
• RMS applications web sur site
• Office Professional Plus • Skype Online
• Exchange • Authentification Multi-Facteur
• Yammer
• SharePoint • Accès Conditionnel
• Skype • OneDrive
• Reporting avancé sur la sécurité
• FIM • Office 365 Professional Plus
• Windows Server • Gestion de l’identité et des accès
• …
~135 GHT 2-15 établissements Mobilité
% Personnel administratif, % Professionnels
de santé Par GHT 30% Personnel en mobilité entre
établissements
19
5ème congrès de l’APSSIS – 04/04/2017 – Conférence 6 - CAIHORDRE DU JOUR
Présentation de Bilan du Quinquennat: Au-delà des
la CAIH quinquennat 18 premiers Quick Wins
sortant: mois pour Une Prévoir la
R.A.S. Maturité sécurisation des
Logimétrie et naissante… SI dans le cadre
découverte des …Et une de la
risques sécurisation des convergence des
échanges GHT
20
5ème congrès de l’APSSIS – 04/04/2017 – Conférence 6 - CAIHUNE OFFRE SUR MESURE DÉDIÉE À LA
SURETÉ DE FONCTIONNEMENT DU SI
CAIH vous apporte l’expertise et la veille SSI
Boite à outils des RSSI Santé
Conçue en partenariat avec des membres du
club RSSI santé
Embrasse les besoins d’expertises, la
technologie, et les problématiques des GHT
Sponsorisé par le Fonctionnaire de la Sécurité
des Systèmes d’Information du Ministère
Chargé des Affaires Sociales
Marchés initiés en 2009 à la demande de la
DHOS (devenue DGOS)
21
5ème congrès de l’APSSIS – 04/04/2017 – Conférence 6 - CAIHUN APPUI A L’OUVERTURE MAITRISÉE DES SI
AU SEIN DES GHT ET DE LEURS PARTENAIRES
PSSI GHT, Gouvernance, Conformité, Corrections, Protection 24/7 Services aux DSI
Maitrise des risques mutualisée (Prévention, Détection, Intervention)
Stratégie Projets Formations & Surveillance
& Services
& SI ou sensibilisation Audits prévention
Hébergement
Pilotage métiers (SOC) Managés HDS
Structurer les Faire du SI un 22 Faire des Mener les Surveiller et Simplifier le Proposer
démarches utilisateurs audits SI en aux GHT les
espace de nécessaires gérer ses
pour répondre confiance une force au pour infrastructures profitant de services HDS
aux exigences pour et avec quotidien connaître son SI pour services
réglementaires dans la niveau de managés de
les protection des sécurité et répondre aux sécurité
et en faire des
professionnels données des élaborer des menaces en adaptés aux
atouts pour les feuilles de
de santé patients et de plein établisseme
établissements route
leurs activités concrètes révolution nts de santé
Décideurs Utilisateurs Services aux équipes NTIC
5ème congrès de l’APSSIS – 04/04/2017 – Conférence 6 - CAIHUNE OFFRE SSI COMPLÈTE
(ISSUE DE L’EXPERTISE DU CLUB RSSI)
GAC CAIH SSI01 - Services de fournitures de certificats numériques qualifiés, de protection des inventions et d’authentification des
impressions
•Lot A : Fourniture de certificats numériques de personnes physique ou morales qualifiés à différents niveaux
•Lot B : Protection numérique des inventions via le droit de possession personnelle antérieure
•Lot C : Solution anti-fraude par flash code des documents imprimés
GAC CAIH SSI05 - Services pour la sureté et la conformité numérique des Systèmes d’Information des adhérents de la CAIH
•Lot A : Gouvernance, certification, et homologation de la sûreté du SI. Prestations aMOA et aMOE liée à la sécurité du SI.
•Lot B : Formations dédiées à la sécurité des Systèmes d’Information
SSI 02 : Accessoires liés à la sécurité numérique (3T 2017)
SSI 03 : Antimalware clients et serveurs (2T 2017)
SSI 04 : Solution de sécurisation et de maitrise du devenir des documents bureautiques (2017 – Négociation FSSI)
SSI 06 : Surveillance & prévention (SOC) + Force d'Intervention Rapide + Services managés (4T 2017)
SSI 07 Identity Access Management (Gestion de l’Identité et des Droits)
•Lot A : IAM (MCO solutions ILEX, Aventis et Evidian) (Disponible 03/2017)
•Lot B : Acquisition d’un IAM (Disponible 03/2017)
SSI 08 : Plateforme standard de e-learning axé sur la sécurité (2T 2017) 04-Teaser-short-V6_last.swf
SSI 11 : Signature électronique horodatée
SSI 12 : Traçabilité
23
5ème congrès de l’APSSIS – 04/04/2017 – Conférence 6 - CAIHUNE STRATÉGIE ACHAT POUR LA
CONVERGENCE MAITRISEE DES SI
Homogène, maitrisés et sécurisés
Connaître et orienter
Systèmes d’Information
Systèmes d’Information
Mise en commun des données
Logimétrie
Hétérogène
Schéma Directeur Mobilité des professionnels
« Désadhérence »
données/applications (VNA)
Annuaire d’Identité des
Hébergement Agréé de professionnels de santé
Données de Santé
Services en ligne
Identito-vigilance (Partage
de l’identité patient) Sécurité
24
5ème congrès de l’APSSIS – 04/04/2017 – Conférence 6 - CAIHGHT: L’ÉTABLISSEMENT SUPPORT DOIT ÊTRE
« HÉBERGEUR AGRÉÉ DONNÉES SANTÉ »
Gros CHU
établissement CAIH facilite la mise à
disposition de leur offre
support agréé ISO dans leur bassin
27001 ou HDS en d’activité
surcapacité
Gros CHU CAIH propose les
produits et services
établissement permettant l’obtention
support non agréé de l’agrément
La mutualisation des Accompagnement
GHT souhaitant besoins d’hébergement accentué sur la
permettrait de réduire le contractualisation
externaliser son coût de l’hébergement maitrisée avec
Archive neutre
exploitation par effet volume selon 4 engagement de résultat
axes progressifs et de réversibilité
1 2 3 Hébergement 4
Hébergeur HDS HDS Application
de serveurs « à d’applications métier « As A
Archive neutre
la demande » métiers service »
(VNA) hébergée
supervisés par existantes rémunérée au
HDS
l’établissement rémunérée au service et non
pivot service et non plus à la licence 25
5ème congrès de l’APSSIS – 04/04/2017 – Conférence 6 - CAIH
plus à la licenceRECYCLER ET SÉCURISER LES APPLICATIONS
EXISTANTES
Au sein des GHT, pour une même fonction, il existe plusieurs applications
Windows non accessibles depuis l’extérieur
CAIH propose une solution innovante
• Redessiner les interfaces des applications sous un navigateur WEB ou sur mobile
tout en conservant l’existant
• Proposer un navigateur sécurisé
Cette solution permet de rendre mobile les applications, à moindre coût, le
temps de l’amortissement des investissements réalisés.
• Référence : How to Refactor and Modernize Legacy Applications for Mobile
Devices, Gartner Consulting Group, Oct 2016
5ème congrès de l’APSSIS – 04/04/2017 – Conférence 6 - CAIH 26ORDRE DU JOUR
Présentation de Bilan du Quinquennat: Au-delà des
la CAIH quinquennat 18 premiers Quick Wins
sortant: mois pour Une Prévoir la
R.A.S. Maturité sécurisation des
naissante…
Modalité d’accès
Logimétrie et
découverte des aux
…Et une marché
SI dans le cadre
de la
risques sécurisation des convergence des
échanges GHT
27
5ème congrès de l’APSSIS – 04/04/2017 – Conférence 6 - CAIHL’ACCÈS À NOS MARCHÉS
Une procédure d’adhésion simple
• Inscription sur le portail CAIH :
- https://portail.caih-sante.org
• Téléchargement et signature de la convention de mise a
disposition du marché par établissement
• Téléchargement des pièces du marché
L’adhésion vaut pour tous les lots d’un même marché
Exécution du marché directement avec les titulaires
Vous choisissez quand vous souhaitez commencer à
exécuter le marché (pas d’engagement préalable ni
exclusivité)
28
5ème congrès de l’APSSIS – 04/04/2017 – Conférence 6 - CAIHUNE OFFRE SSI ACCESSIBLE À TOUT
ÉTABLISSEMENT À BUT NON LUCRATIF
Coût d’axé aux marchés très réduit
-Pour un marché SSI Pour l’ensemble des marchés SSI
0,40 € HT par lit. Plafond 1,00 € HT par lit. Plafond
1000,00 € HT par an 5.000,00 € HT par an
Unités d’œuvre adaptées à chaque
établissement
• 3 niveaux de maturité
• X 4 tailles d’établissement: ES, CH, CHU, GHT
• X 65-67 missions type
29
5ème congrès de l’APSSIS – 04/04/2017 – Conférence 6 - CAIHMERCI DE VOTRE ATTENTION
https://portail.caih-sante.org
caih@uniha.org
Vincent DELEAU Agnès DELARCHE Nicolas Albisser
Chef de projet Assistante de direction Expert Achat SI
9 Ru e d e s T u i l i er s - 6 9 0 0 3 L yo n 9 Ru e d e s T u i l i er s - 6 9 0 0 3 L yo n 9 Ru e d e s T u i l i er s - 6 9 0 0 3 L yo n
F i xe : 0 4 8 6 8 0 0 4 7 2 Di r e ct : 0 4 8 1 0 7 0 1 5 5 F i xe : 0 4 8 1 0 7 0 1 5 5
Mo b i l e : 0 6 7 2 9 8 6 6 8 0 Mo b i l e : 0 7 7 6 0 0 2 5 4 1
Guillaume DERAEDT
Guillaume.deraedt@uniha.org Président du Comité Technique et Administrateur de la CAIH
Guillaume.deraedt@chru-lille.fr Data Protection Officer & RSSI du CHRU de Lille
30
5ème congrès de l’APSSIS – 04/04/2017 – Conférence 6 - CAIHVous pouvez aussi lire
