3. Sensibiliser les utilisateurs
aux nouvelles menaces.
Des enjeux cyber sécurité dans le domaine de la santé
3
Accompagner les
nouveaux usages.
Choisir les dispositifs
d’authentification adaptés. Gérer la traçabilité des
accès au système
d’information.
Assurer les sauvegardes
et la reprise sur incident.
Imputabilité
Disponibilité
Confidentialité
Gestion des risques
Intégrité
Innovation
4. Des enjeux cyber sécurité dans le domaine de la santé
4
Plusieurs contextes, aux moyens différents, sont concernés
par ces enjeux.
Le cabinet libéral L’EHPAD
Les laboratoires de
biologie
La maison de santé
La clinique
privée
Les agences
sanitaires
Le GHT
Ces contextes sont amenés à interagir de plus en plus
entre eux.
L’hôpital public
…
5. En réponse, la PGSSI-S
5
Définir les exigences et recommandations incontournables
en matière de sécurité,
liées à la protection de la donnée de santé à caractère
personnel,
dans le respect des droits du patient,
avec des contraintes opérationnelles et économiques
acceptables pour l’ensemble des acteurs des secteurs
sanitaire, médico-social et social.
7. Constitution du corpus documentaire
7
La PGSSI-S est un corpus documentaire et non une
norme ou un référentiel unique.
référentiels guides
Concepts
essentiels
Accompagne
ment et mise
en œuvre
8. Les référentiels
8
Référentiel identification des acteurs
sanitaires et médico-sociaux
Référentiels actuels
Référentiel authentification des acteurs de
santé
Référentiel des autorités de certification
éligibles
Référentiels
en 2017 - 2018
Référentiel d’imputabilité
Référentiel identification des acteurs du
secteur santé, médico-social et social
Référentiel authentification des acteurs du
secteur santé, médico-social et social
Référentiel. d’imputabilité
Référentiel identification des usagers du
secteur santé, médico-social et social
Référentiel authentification des usagers du
secteur santé, médico-social et social
Référentiel de gouvernance et de mise en
œuvre de la PGSSI-S
9. Les guides
9
Dispositifs
connectés
Mise en place
d’un accès wifi
Plan de
Continuité
Informatique
Interventions à
distance
Sauvegarde
Memento sécurité
pour les PS en
exercice libéral
Canevas PSSIAccès tiers
Destruction des
donnés
Gestion des
habilitations
Gestion de
l’intégrité
10. Les guides
10
Dispositifs
connectés
Mise en place
d’un accès wifi
Plan de
Continuité
Informatique
Interventions à
distance
Sauvegarde
Memento sécurité
pour les PS en
exercice libéral
Canevas PSSIAccès tiers
Destruction des
donnés
Gestion des
équipements nomades
Prochains guides:
Modèle charte utilisateur
Gestion des
habilitations
Gestion de
l’intégrité
12. Une logique de paliers
12
Lorsque c’est judicieux, proposition d’un
ensemble de paliers numérotés :
• un palier cible (palier dont le numéro
est le plus élevé) et des paliers
intermédiaires permettant de bâtir des
trajectoires d’évolution et de satisfaire
des objectifs de sécurité intermédiaires,
• un palier minimal (palier 1) déjà
opérationnel ou rapide à atteindre
comportant les exigences de sécurité
indiscutables.
Palier 1
Palier 2
Palier 3
13. Aide à la mise en œuvre
13
Des contextes d’applicabilité déterminent pour chaque
référentiel le palier minimum à appliquer.
Ces contextes sont synthétisés dans une grille
d’applicabilité annexée à chaque référentiel.
Les grilles d’applicabilité peuvent être différentes selon les
référentiels.
Les grilles d’applicabilité sont le point d’entrée pour les
décideurs en charge de choix des paliers des référentiels
14. Aide à la mise en œuvre: exemple pour l’authentification
14
Déterminer le contexte grâce à des questions précises:
• les données sont-elles exposées sur un réseau public?
• L’accès se fait-il dans une zone physique sûr ou sur un réseau privé sûr?
• L’accès est-il dédié ou mutualisé?
• Quelle est la relation entre le responsable de traitement et l’utilisateur?
Se positionner sur la grille d’applicabilité
grâce à ces questions et déterminer le
palier.
Choisir le dispositif d’authentification
selon le palier :
Type de relation entre le responsable de
traitement et l’utilisateur
Niveaud’expositiondes
données
Palier
1
dispositif A
dispositif B
Palier
2
dispositif C
dispositif D
Palier
3
dispositif E
dispositif F
1
2 3
17. Opposabilité de la PGSSI-S
17
La PGSSI-S est rendue opposable par l’article L1110-4-1 créé par la loi n°
2016-41 du 26 janvier 2016 - art. 96 (V).
Ces référentiels de sécurité et d’interopérabilité sont approuvés par
arrêté du ministre chargé de la santé, pris après avis de la Commission
nationale de l'informatique et des libertés. L’arrêté rend ainsi ces
référentiels opposables.
Seuls les documents dont le contenu a acquis une maturité suffisante et
porteurs d’un sujet nécessitant de veiller à une homogénéité des
mesures mises en œuvre par les acteurs de terrain ont vocation à être
rendus opposables par voie d’arrêté.
19. Les référentiels sont opposables, les guides sont non opposables.
19
Référentiels opposables en 2017 - 2018
Référentiel identification des acteurs du secteur santé, médico-social
et social
Référentiel authentification des acteurs du secteur santé, médico-
social et social
Référentiel d’imputabilité
Référentiel identification des usagers du secteur santé, médico-social
et social
Référentiel authentification des usagers du secteur santé, médico-
social et social
Référentiel de gouvernance et de mise en œuvre de la PGSSI-S
21. Le processus d’élaboration d’un document
21
Elaboration en
groupe de travail
Comité de
concertation –
concertation
privée puis
publique
Publication
Validation en
comité de
pilotage
Validation en
comité de
pilotage
23. La feuille de route 2017
RENOVATION
LIEE A
L’OPPOSABILITE
NOUVELLES
PUBLICATIONS
Principes fondateurs remplacé par référentiel de gouvernance -> en cours
Révision du référentiel identification des PS -> 1er semestre 2017
Révision du référentiel authentification des PS -> 1er semestre 2017
Révision du référentiel imputabilité -> 4ème trimestre 2017
Référentiels
identification et
authentification des
usagers
Guide gestion des
incidents
Guide gestion des
équipements
nomades
Liés à la rénovation de la loi santé 2016
ACCOMPAGNE-
MENT
Plateforme e-learning
Label
Accompagnement
PGSSI-S
3 CHANTIERS:
Présence terrain
25. Label Accompagnement PGSSI-S
25
Finalité : augmenter la capacité d’accompagnement, de formation
et d’expertise PGSSI-S auprès du terrain
apporter un label à des structures qui auraient développé des
compétences autour de la PGSSI-S :
faire comprendre les enjeux de la sécurité dans la e-santé ;
faire comprendre l’intérêt de la PGSSI-S ;
savoir expliquer les référentiels opposables :
o faire comprendre les principaux concepts ;
o savoir contextualiser la PGSSI-S et manipuler les grilles d’applicabilité ;
o apporter de la valeur opérationnelle.
26. Label Accompagnement PGSSI-S
26
Processus proposé :
Constitution du dossier de candidature par l’organisme et envoi à l’ASIP Santé
Instruction du dossier par l’ASIP Santé
Soutenance du candidat à l’ASIP Santé
o Jury composé de l’ASIP Santé et des primo-labellisés
Attribution du label pour 3 ans
Pour les structures labellisées :
Envoi d’indicateurs trimestriels
Participation aux journées d’échange annuelles
Remontée des questions auprès du guichet ASIP Santé
27. Lien vers la PGSSI-S
27
http://esante.gouv.fr/pgssi-s
29. La feuille de route 2017
3 CHANTIERS:
La rénovation des référentiels actuels doit prendre en
compte:
• l’impact des règlements européens:
• RGDP
• eIDAS
• l’impact des décrets:
• valeur probante
• signature
• le nouveau RGS
RENOVATION
LIEE A
L’OPPOSABILITE
Adaptation ou création de certains guides pour des contextes
spécifiques:
• mise en place des GHT -> guides identification et authentification
(en complément du référentiel);
• demande d’accompagnement spécifique: laboratoire de biologie,
médecine libérale.
-> La PGSSI-S accompagne le décloisonnement ville-hôpital.
30. La feuille de route 2017
NOUVELLES
PUBLICATIONS
3 CHANTIERS:
Référentiels identification et authentification
des usagers:
• en lien avec le décret NIR;
• Référentiel identification présenté dans une 1ère
version de travail en GT PGSSI-S le 30 mars.
Guide gestion des incidents:
• en lien avec l’article 110 sur la gestion des
incidents (1er octobre 2017).
31. La feuille de route 2017
ACCOMPAGNE-
MENT
3 CHANTIERS:
Plateforme e-learning:
• En lien avec le programme innovation, les 3 premiers modules
PGSSI-S sont définis, la conception est en cours.
• format: des clips vidéos courts (3 à 5 mn) + quizz
Label de formation PGSSI-S:
• fournir un label de formation PGSSI-S pour les organismes
intéressés;
• permettre de démultiplier la parole PGSSI-S sur le terrain;
Une dizaine d’interventions depuis le début 2017