JNI - Interopérabilité et          urbanisation des SIS          Point sur la sécurité          RASS, MSS, PGSSI14 décembr...
Sommaire    • RASS (Référentiel des acteurs sanitaires et sociaux)    •    MSS (Messagerie sécurisée de santé)    •    PGS...
RPPS : Le Répertoire Partagé des                    Professionnels de Santé Le Répertoire Partagé des Professionnels de S...
RASS : Gestion des identités des acteurs                  sanitaires et sociaux Appel d’offres RASS en cours     Appel d...
Sommaire    •    RASS (Référentiel des acteurs sanitaires et sociaux)    • MSS (Messagerie sécurisée de santé)    •    PGS...
Messagerie sécurisée de santé                   Les besoinsL’échange de données de santé à caractère personnel par message...
Messagerie sécurisée de santé                  Les besoinsLe service Messagerie doit permettre :   l’échange entre Profes...
Messagerie sécurisée                  Un choix de maîtrise d’ouvrageL’ASIP Santé propose un choix fort de pilotage permett...
Messagerie sécurisée de santé                  Les accès au serviceLes domaines de messagerie hébergés par le service obéi...
Messagerie sécurisée de santé                  Satisfaction des besoins de sécurité La confidentialité des échanges repose...
Messagerie sécurisée de santé                  Eléments de calendrier                            T4 2011   T1 2012        ...
Messagerie sécurisée de santé Appel d’offres MSS en cours     Appel d’Offres : publié le 2 décembre 2011     Pour premi...
Sommaire    •    RASS (Référentiel des acteurs sanitaires et sociaux)    •    MSS (Messagerie sécurisée de santé)    • PGS...
PGSSI : Politique générale de sécurité                  ObjectifsLa lettre de mission du 22 septembre 2011 de la secrétair...
PGSSI : Politique générale de sécurité                  Méthode d’élaboration de la PGSSI (Organisation)La PGSSI est élabo...
PGSSI : Politique générale de sécurité                  Méthode d’élaboration de la PGSSI (Livrables) De référentiels de ...
PGSSI : Politique générale de sécurité                                              Les livrables                         ...
PGSSI : Politique générale de sécurité                  Focus sur le principe de palier de mise en œuvre de la PGSSI Pour...
PGSSI : Politique générale de sécurité                  Calendrier Les phases de travail :    La doctrine PGSSI est prév...
MerciASIP PRAS - JNI           14 décembre 2011   20
Prochain SlideShare
Chargement dans…5
×

2011-12-14 ASIP Santé JNI "Urbanisation des SIS – Messagerie sécurisée, RPPS, RASS"

2 539 vues

Publié le

Urbanisation des SIS – Messagerie sécurisée, RPPS, RASS
Jean-François PARGUET, Directeur du pôle Référentiels, Architecture et Sécurité de l’ASIP Santé
JNI du 14 décembre 2011

Publié dans : Santé & Médecine
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
2 539
Sur SlideShare
0
Issues des intégrations
0
Intégrations
832
Actions
Partages
0
Téléchargements
38
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

2011-12-14 ASIP Santé JNI "Urbanisation des SIS – Messagerie sécurisée, RPPS, RASS"

  1. 1. JNI - Interopérabilité et urbanisation des SIS Point sur la sécurité RASS, MSS, PGSSI14 décembre 2011– JNI
  2. 2. Sommaire • RASS (Référentiel des acteurs sanitaires et sociaux) • MSS (Messagerie sécurisée de santé) • PGSSI (Politique générale de sécurité des SI de santé)ASIP PRAS - JNI 14 décembre 2011 2
  3. 3. RPPS : Le Répertoire Partagé des Professionnels de Santé Le Répertoire Partagé des Professionnels de Santé (RPPS)  Formalisation des rôles et responsabilités concernant la gestion des données d’identification :  Les autorités d’Enregistrement (AE) : les Ordres, les ARS, …  L’autorité de certification : l’ ASIP  Intègre les 4 premières professions à ordres depuis le 3 novembre 2011 Chirurgiens- Pharmaciens Sages-femmes Dentistes Médecins Simplification Administrative 18 Janvier 2010 30 Août 2010 12 Sept 2011 3 Nov 2011  L’opération qualité sur les référentiels (cohérence ordre / CNAM) se poursuit après la simplification administrative (l’ASIP fournit un outil de suivi des écarts)ASIP PRAS - JNI 14 décembre 2011 3
  4. 4. RASS : Gestion des identités des acteurs sanitaires et sociaux Appel d’offres RASS en cours  Appel d’Offres : publié le 18 novembre 2011  Pour premiers services hiver 2012 : publication du RPPS puis données établissements Le modèle de données est « transparent » Il est fondé sur deux référentiels d’identification des acteurs sanitaires et sociaux en cours de publication :  Référentiel des données d’identification et des règles de constitution  Référentiels de règles d’accès aux données Ces référentiels / nomenclatures permettent aux éditeurs et industriels d’anticiper l’adaptation de leurs applications / services à l’arrivée du RASSASIP PRAS - JNI 14 décembre 2011 4
  5. 5. Sommaire • RASS (Référentiel des acteurs sanitaires et sociaux) • MSS (Messagerie sécurisée de santé) • PGSSI (Politique générale de sécurité des SI de santé)ASIP PRAS - JNI 14 décembre 2011 5
  6. 6. Messagerie sécurisée de santé Les besoinsL’échange de données de santé à caractère personnel par messagerie doit êtreréalisé au sein d’un espace de confiance garant du respect des droits du patient.La Messagerie Sécurisée de Santé constitue l’ossature de cet espace de confianceen garantissant que de tels échanges ne sont réalisés qu’entre acteurs de santéenregistrés au sein des référentiels nationaux RPPS/RASS, garant de leurlégitimité, en utilisant des moyens d’authentification conformes à laréglementation et en étant conforme au décret « hébergeur ». RASS (Référentiel des Acteurs Santé Social) RPPS (Répertoire Partagé des Professionnels de Santé) Etablissement X Médecins libéraux Etablissement Y ------- ------- -- Dr Dupond A. a.dupond@med...fr -- Dr Legrand D. d.legrand@etabY.fr -- Dr Dupond B. b.dupond@med...fr -- Dr Martin C. c.martin@etabY.fr -- Dr Dupond C. c.dupond@med...fr -- xxx --------- --------- MSS Acteur de santé Acteur de santé Espace de confianceASIP PRAS - JNI 14 décembre 2011 6
  7. 7. Messagerie sécurisée de santé Les besoinsLe service Messagerie doit permettre : l’échange entre Professionnels de Santé  Communication interpersonnelle non structurée (texte libre avec ou sans pièce jointe libre)  Communication interpersonnelle structurée (IHE-XDM, document CDA) permettant l’intégration automatisée du contenu échangé dans l’outil métier de gestion du dossier patient. l’échange entre les Professionnels de santé et systèmes d’information de santé - par exemple :  l’émission automatisée de comptes rendus de biologie du laboratoire vers le médecin traitant  l’alimentation du DMP en complément de l’envoi du compte rendu de biologie au médecin traitant des services complémentaires :  la délégation de l’usage de la boîte aux lettres, par exemple en cas de remplacement, avec la possibilité de restreindre les conditions d’usage la définition de listes de diffusion nationales et sectorielles permettant la diffusion d’informations sanitaires vers les acteurs de santé à l’initiative des pouvoirs publics . À titre d’exemple : alerte sanitaireASIP PRAS - JNI 14 décembre 2011 7
  8. 8. Messagerie sécurisée Un choix de maîtrise d’ouvrageL’ASIP Santé propose un choix fort de pilotage permettant d’accélérer la miseen œuvre d’un système de messagerie sécurisée pour les professionnels desanté, au bénéfice de la coordination des soins.Cette stratégie repose sur la mise en œuvre de la messagerie par un opérateurtechnique unique sous la maîtrise d’ouvrage de l’ASIP Santé : Cette plateforme permet d’héberger les domaines de messagerie des organismes souhaitant mettre à disposition de leurs membres une boîte aux lettres. Les organismes concernés sont : o Les Autorités d’Enregistrement (AE) des professionnels de santé inscrits dans le RPPS/RASS (Ordres, ARS, SSA), exemple « médecin.fr ». o Les établissements de santé (que ceux-ci souhaitent mettre en œuvre leur propre passerelle de messagerie ou disposer de BAL auprès de l’opérateur MSS), par exemple « @hopital local deX.fr ». Chaque organisme, en tant que gestionnaire d’un domaine de messagerie: o conserve la relation avec ses usagers professionnels ; o prend en charge l’accompagnement et la conduite du changement pour les populations qui le concernent (en complément des éditeurs des clients de messagerie et des passerelles des ES).ASIP PRAS - JNI 14 décembre 2011 8
  9. 9. Messagerie sécurisée de santé Les accès au serviceLes domaines de messagerie hébergés par le service obéissent tous aux mêmesrègles d’accès.Le service de messagerie est accessible selon 3 modes d’accès :  client de messagerie intégré au LPS et homologué  Facilite l’intégration des données au sein du LPS  client de messagerie autonome homologué (outlook, thunderbird, ..)  navigateur Web (Webmail)  Mise à disposition d’un module de construction de pièces jointes structurées conformes au CI-SIS  Accès en partage aux boîtes aux lettres via le Webmail (délégation d’accès)Plus un mode passerelle / proxy pour les ESL’accès au service requiert :  une authentification forte de l’utilisateur par carte CPS  un mode d’authentification de secours permet de palier l’indisponibilité de la carte CPS (mécanisme de type mot de passe à usage unique par GSM) pour les accès en Webmail  un mode alternatif d’authentification forte doit être défini pour l’accès via terminaux mobiles (pda, tablettes…)ASIP PRAS - JNI 14 décembre 2011 9
  10. 10. Messagerie sécurisée de santé Satisfaction des besoins de sécurité La confidentialité des échanges reposent sur deux principes majeurs :  la notion de groupe fermé de domaines MSS permettant le cloisonnement des échanges de données de santé dans un espace de confiance maîtrisé (RPPS/RASS) Les messages ne peuvent être échangés qu’entre domaines de messagerie MSS répertoriés dans une liste blanche administrée par l’ASIP Santé. Ce modèle remplace le concept d’OSM avec lequel l’interopérabilité n’est pas possible  la sécurisation des canaux d’échanges entre les clients de messagerie et le service et entre les domaines de messagerie MSS. Client MSSU Opérateur de service Proxy MSSU MSSU Emission consultation d’un Hébergeur agréé message Émission du message Proxy MSSU vers Emission et domaine MSSU réception de message de et Messagerie vers des Interne Messages domaines de Réception de référencés l’établissement message des Canal sécurisé MSSU domaines MSSU et stockage des messages Canal sécurisé Seuls des acteurs authentifiés par un certificat CPS peuvent accéder au service MSS L’imputabilité des contenus structurés de santé échangés est garantie par la conformité de ces contenus aux référentiels de l’ASIP Santé en vigueur : cadre d’interopérabilité des SIS et référentiel d’imputabilité L’opérateur technique doit disposer, pour ce service, d’un agrément d’hébergeur de données de santé, garant de la sécurité des données hébergées.ASIP PRAS - JNI 14 décembre 2011 10
  11. 11. Messagerie sécurisée de santé Eléments de calendrier T4 2011 T1 2012 T2 2012 T3 2012 T4 2012 T1 2013 T2 2013 T3 2013Cahier des chargesOpérateur techniqueProcédure de marché Sélection opérateurMise en œuvre du service Mise en œuvrepar l’opérateur technique Pilote Ouverture générale du serviceAgrément hébergeur de Instructiondonnées de santéMSS-compatibilité Cahier des charges MSS-compatibilitéHomologation des produits Développements éditeurs (LGC, proxy…) HomologationASIP PRAS - JNI 14 décembre 2011 11
  12. 12. Messagerie sécurisée de santé Appel d’offres MSS en cours  Appel d’Offres : publié le 2 décembre 2011  Pour premiers services hiver 2012 : publication du RPPS puis données établissementsASIP PRAS - JNI 14 décembre 2011 12
  13. 13. Sommaire • RASS (Référentiel des acteurs sanitaires et sociaux) • MSS (Messagerie sécurisée de santé) • PGSSI (Politique générale de sécurité des SI de santé)ASIP PRAS - JNI 14 décembre 2011 13
  14. 14. PGSSI : Politique générale de sécurité ObjectifsLa lettre de mission du 22 septembre 2011 de la secrétaire générale desministères sociaux, confie la maitrise d’ouvrage opérationnelle du projetPGSSI à l’ASIP Santé. La Délégation à la Stratégie des Systèmesd’Information de Santé en assure la maîtrise d’ouvrage stratégique. Les objectifs de la politique générale de sécurité des SIS sont  généraliser le strict respect des droits fondamentaux des patients (dans la dimension gestion de leurs données de santé)  d’homogénéiser le niveau de sécurité accordé aux données personnelles de santé dans l’ensemble des SI de santé (LGC, SIH et bien d’autres)  mettre en place un cadre réglementaire permettant aux professionnels de santé de se concentrer sur la prise en charge des patients et l’exercice de leur discipline  Créer un espace de confiance numérique favorable à l’essor du partage et des échanges de données médicales personnellesASIP PRAS - JNI 14 décembre 2011 14
  15. 15. PGSSI : Politique générale de sécurité Méthode d’élaboration de la PGSSI (Organisation)La PGSSI est élaborée en concertation avec les différentsacteurs concernés Un comité de pilotage réunissant les acteurs institutionnels (DSSIS, ASIP Santé, directions du ministère de la santé, ANSSI, …) pour définir et valider les enjeux, les objectifs et les principes de la PGSSI Une concertation avec différents groupes d’acteurs  Acteurs métier : Les professionnels de santé et les représentants de patients. La PGSSI doit à la fois permettre le respect des droits fondamentaux des patients, propriétaires de leurs données de santé et ne pas générer de « perte de chance »;  Les industriels du secteur de la santé : en particulier, les trajectoires de prise en compte la PGSSI sont définies par les promoteurs de SIS en fonction des solutions offertes par les industriels. La dimension économique et les trajectoires de mise en conformité doivent être prises en compte.ASIP PRAS - JNI 14 décembre 2011 15
  16. 16. PGSSI : Politique générale de sécurité Méthode d’élaboration de la PGSSI (Livrables) De référentiels de politique générale (comité de pilotage, représentants de PS et de patients)  Une doctrine qui identifie en particulier les objectifs, enjeux et principes de la PGSSI  Un référentiel d’exigences de sécurité pérennes Un référentiel de contextes de mise en œuvre de SIS (comité de pilotage, représentants de PS et de patients)  Ce référentiel décrit des contextes types de mise en œuvre de SIS (exercice libéral, maison de santé, ES de différentes tailles, ….) Des référentiels techniques composé de  Référentiels génériques applicables à tous les contextes de mise en œuvre  Référentiel d’identification de patients, référentiel d’acteurs de santé, référentiels d’authentification des professionnels de santé, etc.  Référentiels contextuels adaptés à chacun des contextes types  Guide de bonnes pratiques en « exercice libéral », etc.ASIP PRAS - JNI 14 décembre 2011 16
  17. 17. PGSSI : Politique générale de sécurité Les livrables Doctrine à Données de santé caractère personnel Référentiel des « types de menaces » P Référentiel des G « types de scénarios de risques » S S I Référentiels de sécurité ASIP Référentiel des « exigences de sécurité » des SIS FEROS type SIS Contexte A Contexte B Contexte C ... P P P S S S ... Référentiel des S S S ... trajectoires de I I I « mesures de sécurité » Contextuelles ... Référentiels de « dispositifs de sécurité »ASIP PRAS - JNI 14 décembre 2011 17
  18. 18. PGSSI : Politique générale de sécurité Focus sur le principe de palier de mise en œuvre de la PGSSI Pour chaque fonction de sécurité (confidentialité, traçabilité) un ensemble de paliers sera proposé • Chaque fonction est composée par un palier cible à atteindre et des paliers intermédiaires permettant de bâtir des trajectoires d’évolution et de satisfaire des objectifs de sécurité intermédiaires (ex gestion des rôles, SSO mais pas encore l’authentification forte des acteurs); • un palier minimal déjà opérationnel ou rapide à mettre en œuvre comportant les exigences de sécurité exigées dans le cadre de la DMP compatibilité La PGSSI constitue ainsi : • un outil d’évaluation de la maturité SSI des systèmes d’information en santé (et de sa trajectoire d’évolution) pour les acteurs de santé et pour l’état • un référentiel de positionnement pour toutes les offres industrielles La PGSSI sera en phase avec les évolutions industrielles et technologiques: • accompagnement des évolutions (par exemple, mobilité, tablettes, cartes déléguées, certificats logiciels confinés, ASP, SAAS, CLOUD, …)ASIP PRAS - JNI 14 décembre 2011 18
  19. 19. PGSSI : Politique générale de sécurité Calendrier Les phases de travail :  La doctrine PGSSI est prévue début 2012 (après validation des directions du ministère, des opérateurs d’Etat et de l’ANSSI)  Les concertations avec les acteurs de santé, les représentants de patients et les industriels sont prévues mi 2012 Puis des spécifications détaillées d’exigences, d’organisations, de dispositifs, à vocation opérationnelle, pour permettre une adoption terrain rapide. Pour les exigences, par exemple : Exigences de confidentialité : Exigence de sécurité physique ou logique pour les gisements de données de santé ( différentes solutions possibles pour le LGC : chiffrement disque, chiffrement base , IAAS, …) Pour les dispositifs , par exemple : Référentiels d’authentification des PS : Nouvelle offre de produits de certification : cartes déléguées, certificats logiciels de personnes morales, certificats logiciel confinés de personnes physiques (usages SAAS, tablettes, mobilité)ASIP PRAS - JNI 14 décembre 2011 19
  20. 20. MerciASIP PRAS - JNI 14 décembre 2011 20

×