PGSSI Santé
Politique Générale de Sécurité des SI de Santé

Point d’avancement
Journée Nationale des Industriels - Paris

...
1. Présentation générale de la PGSSI-S
 Les enjeux de la SSI
 La mission de l’ASIP Santé
 Organisation des travaux

2. ...
Les enjeux de la sécurité des SI-S
Rappels

Enjeux de la SSI dans la sphère Santé :
 la disponibilité des données de sant...
Politique générale de sécurité des SI-S
Organisation des travaux

Lettre de mission du SG MinSanté à J.-Y. Robin le 22/09/...
Politique générale de sécurité des SI-S
Logique de palier
 Lorsque c’est judicieux, proposition d’un ensemble de paliers ...
1. Présentation générale de la PGSSI-S
 Les enjeux de la SSI
 La mission de l’ASIP Santé
 Organisation des travaux

2. ...
Politique générale de sécurité des SI-S
Organisation du corpus documentaire (1/2)
 Documents chapeaux :
 Principes fonda...
Politique générale de sécurité des SI-S
Organisation du corpus documentaire (2/2)

PGSSI-S

|

Journée Nationale des Indus...
1. Présentation générale de la PGSSI-S
 Les enjeux de la SSI
 La mission de l’ASIP Santé
 Organisation des travaux

2. ...
Mémento de sécurité informatique
pour les professionnels de santé
en exercice libéral
Structure du Mémento


Pourquoi pro...
Mémento de sécurité informatique
pour les professionnels de santé
en exercice libéral
Exemple de recommandations du mément...
Mémento de sécurité informatique
pour les professionnels de santé
en exercice libéral
Exemple de recommandations du mément...
Référentiel d’authentification des
acteurs de santé - Concepts clés
Périmètres d’authentification


Authentification « pu...
Référentiel d’authentification des
acteurs de santé - Concepts clés
Modes d’authentification


Authentification directe: ...
Référentiel d’authentification des
acteurs de santé - Paliers et trajectoire
Paliers et trajectoire

PGSSI-S

|

Journée N...
Guide pratique - Règles pour les
dispositifs connectés d’un
Système d’Information de Santé

 L’équipement biomédical est ...
Guide pratique - Règles pour les
dispositifs connectés d’un
Système d’Information de Santé

 Objectifs du référentiel :

...
Guide pratique - Règles pour les
dispositifs connectés d’un
Système d’Information de Santé
 Exemple de règles:
Sécurité d...
1. Présentation générale de la PGSSI-S
 Les enjeux de la SSI
 La mission de l’ASIP Santé
 Organisation des travaux

2. ...
Conclusion

Un processus d’élaboration en vitesse de croisière
 Un corpus qui se construit par consensus et ajout itérati...
Conclusion
Point d’étape

 Documents publiés ou en cours de publication :
Document PGSSI-S

Statut

Principes fondateurs
...
Conclusion
Prochains documents
 Travaux en cours :
• Référentiels techniques
• imputabilité;
• identification des acteurs...
Merci de votre attention
Espace dédié à la PGSSI-S sur le site esante.gouv.fr :
http://esante.gouv.fr/pgssi-s/presentation...
Prochain SlideShare
Chargement dans…5
×

2013-11-21 ASIP Santé JNI "Point d’avancement PGSSI Santé"

2 689 vues

Publié le

Point d’avancement PGSSI Santé
Présentation de Manuel Metz, Chargé de mission expert - Coordinateur interne et externe, ASIP Santé

Publié dans : Santé & Médecine
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
2 689
Sur SlideShare
0
Issues des intégrations
0
Intégrations
1 616
Actions
Partages
0
Téléchargements
55
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

2013-11-21 ASIP Santé JNI "Point d’avancement PGSSI Santé"

  1. 1. PGSSI Santé Politique Générale de Sécurité des SI de Santé Point d’avancement Journée Nationale des Industriels - Paris 21 Novembre 2013
  2. 2. 1. Présentation générale de la PGSSI-S  Les enjeux de la SSI  La mission de l’ASIP Santé  Organisation des travaux 2. Le corpus documentaire PGSSI-S 3. Focus sur quelques documents  Mémento de sécurité informatique pour les professionnels de santé en exercice libéral  Référentiel d’authentification des acteurs de santé  Guide pratique - règles pour les dispositifs connectés 4. Conclusion PGSSI-S | Journée Nationale des Industriels 21/11/13 2
  3. 3. Les enjeux de la sécurité des SI-S Rappels Enjeux de la SSI dans la sphère Santé :  la disponibilité des données de santé des patients et des moyens informatiques pour limiter le risque de perte de chance  la confidentialité des données de santé des patients pour préserver le secret professionnel  l’exactitude des données de santé des patients pour un diagnostic rapide et juste  la traçabilité des actions réalisées pour lutter contre les mésusages et les détournements de finalité Importance croissante des moyens informatiques, confrontés à de nouvelles sources de menaces. PGSSI-S | Journée Nationale des Industriels 21/11/13 3
  4. 4. Politique générale de sécurité des SI-S Organisation des travaux Lettre de mission du SG MinSanté à J.-Y. Robin le 22/09/11 :  DSSIS = MOA stratégique ; ASIP Santé = MOA opérationnelle  Une gouvernance institutionnelle via un comité de pilotage regroupant les différentes directions du ministère, la CNAM, la CNSA, l’ANSSI, la CNIL et l’ASIP Santé  Une méthode d’élaboration des référentiels et autres documents de la PGSSI-S axée sur une concertation étroite avec les différents acteurs du secteur : • • • Les documents sont élaborés par des groupes de travail regroupant des acteurs du secteur (institutionnels, acteurs de santé dont les établissements, industriels) Après validation par le COPIL, ils sont présentés au comité de concertation composé des représentants des acteurs du secteur (institutionnels, acteurs de santé, établissements, industriels) puis mis en concertation publique. Les résultats de la concertation sont présentés au COPIL puis au comité de concertation avant publication des documents sur les site esante.gouv.fr  Depuis fin 2011: • • • 25 réunions des groupes de travail 5 COPIL 2 Comité de concertation (prochain comité le 2/12/13). PGSSI-S | Journée Nationale des Industriels 21/11/13 4
  5. 5. Politique générale de sécurité des SI-S Logique de palier  Lorsque c’est judicieux, proposition d’un ensemble de paliers numérotés • un palier cible (palier dont le numéro est le plus élevé) et des paliers intermédiaires permettant de bâtir des trajectoires d’évolution et de satisfaire des objectifs de sécurité intermédiaires ; • un palier minimal (palier 1) déjà opérationnel ou rapide à atteindre comportant les exigences de sécurité indiscutables  La PGSSI constitue ainsi : • un outil d’évaluation de la maturité SSI des systèmes d’information en santé (et de sa trajectoire d’évolution) pour les acteurs de santé et pour l’état • un référentiel de positionnement pour toutes les offres industrielles  La PGSSI-S est en phase avec les évolutions industrielles et technologiques : • accompagnement des évolutions (par exemple : accès en mobilité, tablettes, offres en mode SaaS, CLOUD, …) PGSSI-S | Journée Nationale des Industriels 21/11/13 5
  6. 6. 1. Présentation générale de la PGSSI-S  Les enjeux de la SSI  La mission de l’ASIP Santé  Organisation des travaux 2. Le corpus documentaire PGSSI-S 3. Focus sur quelques documents  Mémento de sécurité informatique pour les professionnels de santé en exercice libéral  Référentiel d’authentification des acteurs de santé  Guide pratique - règles pour les dispositifs connectés 4. Conclusion PGSSI-S | Journée Nationale des Industriels 21/11/13 6
  7. 7. Politique générale de sécurité des SI-S Organisation du corpus documentaire (1/2)  Documents chapeaux :  Principes fondateurs de la PGSSI-S  Cadre juridique  Bibliographie des bonnes pratiques SSI  Corps de la PGSSI-S : • guides organisationnels  documents contextualisés  aides à la constitution de PSSI adaptées aux acteurs • référentiels techniques  fonctions de sécurité : identification / authentification des acteurs de santé et des patients, imputabilité, … • guides pratiques  règles de sécurité applicables face à une situation de risques concrète : dispositif connecté, intervention à distance, … • guides juridiques PGSSI-S | (recueil du consentement, périmètre de l’équipe de soin, …) Journée Nationale des Industriels 21/11/13 7
  8. 8. Politique générale de sécurité des SI-S Organisation du corpus documentaire (2/2) PGSSI-S | Journée Nationale des Industriels 21/11/13 8
  9. 9. 1. Présentation générale de la PGSSI-S  Les enjeux de la SSI  La mission de l’ASIP Santé  Organisation des travaux 2. Le corpus documentaire PGSSI-S 3. Focus sur quelques documents  Mémento de sécurité informatique pour les professionnels de santé en exercice libéral  Référentiel d’authentification des acteurs de santé  Guide pratique - règles pour les dispositifs connectés 4. Conclusion PGSSI-S | Journée Nationale des Industriels 21/11/13 9
  10. 10. Mémento de sécurité informatique pour les professionnels de santé en exercice libéral Structure du Mémento  Pourquoi protéger vos informations ? • • • •  Le besoin de sécurité pour la Santé La diversité des menaces informatiques La recrudescence des actes de malveillance La multiplication des risques liés aux mauvais usages Comment protéger vos informations ? • • Les incontournables pour protéger les données de santé de vos patients Détail des règles de protection des données de vos patients par thématique • • • • • •  Thématique 1 : Thématique 2 : Thématique 3 : Thématique 4 : Thématique 5 : Thématique 6 : Répondre aux obligations légales et réglementaires Promouvoir la sécurité Protéger vos équipements informatiques Assurer la sécurité physique du lieu d’exercice Maîtriser les accès aux informations Limiter la survenue et les conséquences d’incidents de sécurité Annexes • • • PGSSI-S Pour en savoir plus Glossaire Documents de référence | Journée Nationale des Industriels 21/11/13 10
  11. 11. Mémento de sécurité informatique pour les professionnels de santé en exercice libéral Exemple de recommandations du mémento Si la maintenance des moyens informatiques fait l’objet d’un contrat de service avec un prestataire ou si les moyens informatiques sont fournis par un tiers, vous êtes responsable de l’application de toutes les exigences du présent document. Cependant, les règles annotées avec un [A] peuvent être déléguées à votre fournisseur dans le cadre de sa prestation ou relèvent de la structure tierce dans laquelle vous intervenez. PGSSI-S | Journée Nationale des Industriels 21/11/13 11
  12. 12. Mémento de sécurité informatique pour les professionnels de santé en exercice libéral Exemple de recommandations du mémento Si vous accédez par internet à votre application métier qui est gérée par une société qui héberge des données de santé de vos patients, Vous êtes responsable de l’application de toutes les exigences du présent document. Cependant, les règles annotées avec un [B] peuvent être déléguées à votre fournisseur dans le cadre de sa prestation. PGSSI-S | Journée Nationale des Industriels 21/11/13 12
  13. 13. Référentiel d’authentification des acteurs de santé - Concepts clés Périmètres d’authentification  Authentification « publique » : pour l’authentification publique, les dispositifs sont définis dans le présent référentiel. Ils sont associés à des identifiants de portée nationale.  Authentification « privée » : pour l’authentification privée, les dispositifs sont choisis par le responsable de traitement sur la base d’une analyse de risques. Ils sont associés à des identifiants de portée nationale ou de portée locale. L’authentification privée n’est possible que dans le cadre d’une relation formalisée entre le responsable de traitement et les utilisateurs qui en bénéficient. Cette relation peut naître du contrat de travail entre le responsable de traitement et l’utilisateur (cas des ES par exemple) ou être spécifiquement créée par exemple dans le cadre d’un contrat (contrat de prestation de service, convention de partenariat, etc.). PGSSI-S | Journée Nationale des Industriels 21/11/13 13
  14. 14. Référentiel d’authentification des acteurs de santé - Concepts clés Modes d’authentification  Authentification directe: quand la personne physique accède au système d’information cible intuitu personae et sous sa propre responsabilité. Personne physique authentification publique ou privée Système d’information Personne morale  Authentification indirecte: quand la personne physique accède au système d’information de santé cible au travers d’un autre système d’information opéré par une personne morale. La personne morale est alors responsable de s’assurer de l’identité de cet accédant et propage au système de santé cette identification/authentification après s’être ellemême authentifiée auprès du système cible. L’authentification indirecte correspond donc à la combinaison d’une authentification de la personne morale (certificat logiciel de personne morale) et d’une authentification « privée » de l’acteur de santé au sein de la personne morale (par identifiant / mot de passe par exemple). Personne physique PGSSI-S | authentification Personne morale privée Journée Nationale des Industriels authentification Système d’information publique 21/11/13 14
  15. 15. Référentiel d’authentification des acteurs de santé - Paliers et trajectoire Paliers et trajectoire PGSSI-S | Journée Nationale des Industriels 21/11/13 15
  16. 16. Guide pratique - Règles pour les dispositifs connectés d’un Système d’Information de Santé  L’équipement biomédical est un dispositif médical particulier : Il intègre des matériels, progiciels et composants de communication, et appartient au SIS Il assure, dans un processus de soin, une fonction de traitement médical, d’analyse médicale, de surveillance médicale, de diagnostic ou de supervision  Un référentiel proposé en s’appuyant sur : Le guide « Exigences de sécurité des Systèmes d’Information pour les équipements biomédicaux des établissements de santé » − Réalisé par un groupe de travail regroupant des Responsables de la Sécurité du Système d’Information (RSSI) et des ingénieurs biomédicaux d’établissements hospitaliers avec le support du Fonctionnaire de la Sécurité des Systèmes d’information (FSSI), de l’ANAP et de la DGOS, à la demande du ministère de la santé Le guide de l’ANSSI publié en juin 2012 : « Maîtriser la SSI pour les systèmes industriels - La cybersécurité des systèmes industriels » PGSSI-S | Journée Nationale des Industriels 21/11/13 16
  17. 17. Guide pratique - Règles pour les dispositifs connectés d’un Système d’Information de Santé  Objectifs du référentiel : Fixer les exigences de protection des équipements biomédicaux connectés permettant de s’assurer que le dispositif n’est pas une source de vulnérabilité pour le SIS Favoriser la prise en compte de la SSI, par les industriels, dans ces dispositifs Faciliter le choix des dispositifs pour les ES (positionnement des industriels par rapport au référentiel)  L’intégration d’un dispositif connecté au sein d’un SIS nécessite : La prise en compte de la sécurité tout au long du cycle de vie du dispositif par l’industriel − − Rédaction d’un dossier de sécurité présentant en guise de conclusion le niveau de sécurité offert, et comprenant tous les éléments tangibles à l’appréciation objective de ce niveau de sécurité (niveau de couverture des exigences du référentiel et risques résiduels) La communication de ce dossier de sécurité à l’utilisateur du dispositif connecté L’analyse par l’utilisateur du dossier de sécurité fourni par l’industriel avant son intégration au sein du SIS (et l’acceptation des risques résiduels)  Exemples de scénarios susceptibles d’impacter le SIS : Infection par code malveillant, utilisation abusive du dispositif, erreur lors d’une opération de configuration, vol du dispositif et accès aux données qu’il contient, etc. PGSSI-S | Journée Nationale des Industriels 21/11/13 17
  18. 18. Guide pratique - Règles pour les dispositifs connectés d’un Système d’Information de Santé  Exemple de règles: Sécurité des réseaux [E7] La documentation du dispositif connecté (accessible par exemple au travers d’un espace client sur Internet) doit comporter une matrice des flux réseau (types de protocoles, origine/destination des flux, plan d’adressage…) exhaustive. Palier 1 [E8] Les dispositifs connectés doivent comporter des moyens de sécurité permettant de filtrer les données échangées sur les réseaux (types de protocoles, origine/destination des flux, …). Palier 2 PGSSI-S | Journée Nationale des Industriels 21/11/13 18
  19. 19. 1. Présentation générale de la PGSSI-S  Les enjeux de la SSI  La mission de l’ASIP Santé  Organisation des travaux 2. Le corpus documentaire PGSSI-S 3. Focus sur quelques documents  Mémento de sécurité informatique pour les professionnels de santé en exercice libéral  Référentiel d’authentification des acteurs de santé  Guide pratique - règles pour les dispositifs connectés 4. Conclusion PGSSI-S | Journée Nationale des Industriels 21/11/13 19
  20. 20. Conclusion Un processus d’élaboration en vitesse de croisière  Un corpus qui se construit par consensus et ajout itératif • un processus d’élaboration et une comitologie assurant un consensus sur les documents: • implication de représentants de l’ensemble des acteurs du secteur dès le début du processus d’élaboration des document, • plusieurs instances multipliant les opportunités de contribution; • une croissance du corpus documentaire régulière cadencée par une comitologie formelle  Un corpus toujours en évolution • pour suivre les avancés technologiques; • pour suivre les éventuels évolutions législatives et règlementaires; • en fonction des retours terrain; • cycle de mise à jour tous les 12 à 18 mois. PGSSI-S | Journée Nationale des Industriels 21/11/13 20
  21. 21. Conclusion Point d’étape  Documents publiés ou en cours de publication : Document PGSSI-S Statut Principes fondateurs Document validé et publié Référentiel d’authentification des acteurs de santé Document validé et publié Mémento de sécurité informatique pour les professionnels de santé en exercice libéral Document en cours de publication (concertation terminée) Guide pratique - règles pour les dispositifs connectés Document en cours de publication (concertation terminée) Guide pratique – règles pour les accès à distance Début de concertation publique prévue en janvier 2014 Guide pratique – règles pour la mise en place d’un accès wifi Début de concertation publique prévue en janvier 2014 PGSSI-S | Journée Nationale des Industriels 21/11/13 21
  22. 22. Conclusion Prochains documents  Travaux en cours : • Référentiels techniques • imputabilité; • identification des acteurs de santé; • identification des patients, authentification des patients. • Guides pratiques • règles pour la destruction des données lors du transfert de matériel; • règles de sauvegarde; • règles pour la mise en œuvre d’accès par des tiers. • Guides organisationnels • guides d’élaboration et de mise en œuvre de PSSI pour les structures du domaine de la santé.  Exemple de sujets demandés par les membres des GT dont la priorisation reste à évaluer : • gestion des devices mobiles / BYOD; archivage des données; gestion de la continuité d’activité / PRA; contrôle d’accès; détection des intrusions PGSSI-S | Journée Nationale des Industriels 21/11/13 22
  23. 23. Merci de votre attention Espace dédié à la PGSSI-S sur le site esante.gouv.fr : http://esante.gouv.fr/pgssi-s/presentation Contact : pgssi-concertation@sante.gouv.fr PGSSI-S | Journée Nationale des Industriels 21/11/13 23

×