SlideShare une entreprise Scribd logo
Modélisationd’unréseausocialcommutaire
pourmedecin-MedNet-
Réalisé par :
• Azrou Lilia
• Benchaib Widad
• Cherhabil Ibtihal
• Si-moussi Sara
Politique de sécurité
des
Systèmes d’Information Hospitaliers
Plan
 Introduction
 Contexte hospitalier
 Analyse de risques
 La PSSI appliquée aux CHU
 Etude de cas
 Etat des lieux en Algérie
 Conclusion
2
Introduction
3
 Les hôpitaux à l’ère du digital  des technologies de plus en plus complexes.
 Pression des médias et renforcement du cadre législatif.
 De l’obligation de moyens  L’obligation de résultats = Logique de
performances.
 Environnement complexe de l’hôpital : humanitaire, public et administratif.
 OBLIGATION DE SECURISER :
Les soins d’abord, mais les informations aussi.
I. Contexte hospitalier
s
4
SIH
• Système informatique, destiné à faciliter la gestion de l'ensemble des informations
médicales et administratives d'un hôpital.
SIS
• Système d'information global, regroupant tous les types d'acteurs et ressources de
santé.
Convergence SIH  SIS
5
- Principaux objectifs -
6
Respect du
secret
professionnel
Qualité
des soins
Responsabilité
Maîtrise des
coûts
7II. Politique de sécurité
Comment atteindre ces objectifs ?
1. Politique de sécurité des SIH
 Un plan d'actions définies pour maintenir un certain niveau de sécurité.
8
Roue de
Deiming
Méthode
PDCA
2. Facteurs clés de succès
 Une volonté directoriale  LEGITIME
 Une politique de sécurité simple, précise et compréhensible.  APPLICABLE
 La publication de cette politique de sécurité.  CONSULTABLE
 Une gestion centralisée de la sécurité et une certaine automatisation des processus de
sécurité.  CENTRALISATION
 Du personnel sensibilisé et formé à la sécurité, possédant une haute valeur morale. 
FORMATION
 Des procédures d’enregistrement, de surveillance, d’audit, d’organisation.
 CONTROLE
9
10III. Analyse de risques
Exemple de risques
11
Atteinte à la confidentialité
Accès aux dossiers médicaux
Postes connectés sans surveillance
Réseau Wifi du SIH ouvert
Partage de
connexions filaires
CONFIDENTIALITE
Intrusion externe
Exemple de risques
12
Atteinte à la disponibilité, intégrité et traçabilité
Infection virale
Poste non autorisé connecté
à distance
Fuite d’eau au niveau du SAN
Problème sur l’onduleur
DISPONIBLITE,
INTEGRITE
Vols du matériel informatique essentiel
au fonctionnement de
l’accélérateur de particules pour le
traitement des cancers
IV. La PSSIH
Politique de sécurité des systèmes d’information hospitaliers
13
Matériel
• TIC
• Procédures et logiciels métiers
Intellect
• Informations techniques, scientifiques.
• Informations administratives
Humain
• Acteurs interagissant avec le CHU
• Altération  poursuites judiciaires
QUOI ?
La PSSIH : Acteurs
Qui ?
14
Acteurs de la PSSIH
Utilisateurs
Gestionnaire
Propriétaire
La PSSIH : Hiérarchie
Politique de responsabilité
15
RSSI
Comité
sécurité
Mise en œuvre
• Responsable de la
sécurité des soins
• Responsable de la
sécurité incendie
• Responsable de la
sécurité du
personnel et des
patients
• RSSI
Cellule Veille
Cellule gestion
de crises
Aspects réglementaires
16
Règles du PSSI issues des législations, culture de l’organisme/pays :
 Déontologie: DUDH, lignes directrices de l’OCDE.
 La loi Informatique Et Libertés
 Code d’éthique des hôpitaux et protection des informations
médicales privées.
Principes techniques
Comment ?
17
1. Identification et authentification (forte, unique)
2. Contrôle d’accès logique aux biens :
- L'accès des utilisateurs aux services pour lesquels ils sont autorisés ;
- La connexion au système d'information des ordinateurs isolés ou
extérieurs à l'organisme ;
- La séparation des réseaux dédiés à des domaines particuliers ;
- Le routage des communications sur les canaux autorisés.
Principes techniques
Comment ?
18
3. Définir :
- Technologie à utiliser (algorithme d’authentification, mot de passe joué qu'une
fois…) ;
- Protection des secrets (fichiers de mots de passe gérés par les systèmes ou les
applications)
- Conditions d’attribution d’un accès (engagement de l’utilisateur au respect des
règles élémentaires de protection de l’accès) ;
Principes techniques
Comment ?
19
- Exigences de robustesse des moyens d’accès et des mots de passe - règles de
construction - fréquence de changement des mots de passe - historique de
mots de passe non réutilisables.
- Durée de vie de l’attribution de l'accès ;
- Toute procédure d’authentification à des accès sensibles ou utilisant des médias
qui ne sont pas considérés comme de confiance (réseaux publics) doit assurer la
non divulgation des éléments d’authentification ;
Principes techniques
Comment ?
20
- Procédure en cas de tentatives de connexion infructueuses répétées ;
- Limitation des temps de connexion ;
- Procédure en cas de déclaration de perte d’un secret – lutter contre des
usurpations d’identité ;
- Procédure de suppression des accès en cas de départ de personnel ou de vol de
matériel.
Principes techniques
Comment ?
21
4. Protection des accès en maintenance :  hauts privilèges
Des engagements de responsabilités spécifiques devront être inclus dans les
contrats de prestations de service.
5. Contrôle des listes d’accès
6. Verrouillage des sessions de travail
7. Administration des privilèges
8. Journalisation : gestion des traces.
Signaux compromettants
• Signaux électriques parasites interférant avec le matériel :
intentionnels ou non.
• Protection interdite en Europe.
• Moyens de le faire :
• Matériel TEMPEST
• Faradisation des locaux
• Protection des équipements
22
CONCLUSION
23

Contenu connexe

Tendances

Présentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsysPrésentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsys
Jihen KOCHBATI
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatique
FINALIANCE
 
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEDEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
hpfumtchum
 
Audit des systemes d'information
Audit des systemes d'informationAudit des systemes d'information
Audit des systemes d'information
Annick Franck Monyie Fouda
 
La Sécurité informatiques
La Sécurité informatiquesLa Sécurité informatiques
La Sécurité informatiques
Nouriddin BEN ZEKRI
 
Présentation audits de sécurité
Présentation   audits de sécuritéPrésentation   audits de sécurité
Présentation audits de sécurité
Harvey Francois
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'information
Manuel Cédric EBODE MBALLA
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menaces
Maxime ALAY-EDDINE
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pasSécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Maxime ALAY-EDDINE
 
EBIOS
EBIOSEBIOS
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016
PRONETIS
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'information
Aymen Foudhaili
 
Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.
DjibyMbaye1
 
La sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariésLa sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariés
NRC
 
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptxINITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
Leandre Cof's Yeboue
 
La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI)
BRIVA
 
Effets du système de management de la sécurité de l'information sur la perfor...
Effets du système de management de la sécurité de l'information sur la perfor...Effets du système de management de la sécurité de l'information sur la perfor...
Effets du système de management de la sécurité de l'information sur la perfor...
Harold NGUEGANG
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatique
oussama Hafid
 

Tendances (20)

Présentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsysPrésentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsys
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatique
 
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEDEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
 
Audit des systemes d'information
Audit des systemes d'informationAudit des systemes d'information
Audit des systemes d'information
 
La Sécurité informatiques
La Sécurité informatiquesLa Sécurité informatiques
La Sécurité informatiques
 
Présentation audits de sécurité
Présentation   audits de sécuritéPrésentation   audits de sécurité
Présentation audits de sécurité
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'information
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menaces
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SI
 
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pasSécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pas
 
EBIOS
EBIOSEBIOS
EBIOS
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'information
 
Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.
 
La sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariésLa sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariés
 
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptxINITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
 
La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI) La Politique de Sécurité du Système d’Information (PSSI)
La Politique de Sécurité du Système d’Information (PSSI)
 
Effets du système de management de la sécurité de l'information sur la perfor...
Effets du système de management de la sécurité de l'information sur la perfor...Effets du système de management de la sécurité de l'information sur la perfor...
Effets du système de management de la sécurité de l'information sur la perfor...
 
Mehari
MehariMehari
Mehari
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatique
 

En vedette

Arabic Web Days 16/12/2013
Arabic Web Days 16/12/2013Arabic Web Days 16/12/2013
Arabic Web Days 16/12/2013
Sara SI-MOUSSI
 
Googlefy the education, Batna
Googlefy the education, BatnaGooglefy the education, Batna
Googlefy the education, Batna
Sara SI-MOUSSI
 
Do It the Google Way
Do It the Google WayDo It the Google Way
Do It the Google Way
Sara SI-MOUSSI
 
De l'idée au business
De l'idée au businessDe l'idée au business
De l'idée au business
Sara SI-MOUSSI
 
Dimbp35paradigma
Dimbp35paradigmaDimbp35paradigma
Dimbp35paradigma
dim-edu
 
Gaudi
Gaudi Gaudi
Gaudi
jaionetxu
 
Renascimento Cultural e científico
Renascimento Cultural e científicoRenascimento Cultural e científico
Renascimento Cultural e científico
Daiana Fontana Cecatto
 
Systèmes informatiques d'aide à la décision médicale
Systèmes informatiques d'aide à la décision médicaleSystèmes informatiques d'aide à la décision médicale
Systèmes informatiques d'aide à la décision médicale
Sara SI-MOUSSI
 
道降火宅的省思
道降火宅的省思道降火宅的省思
道降火宅的省思
mingyift
 
Schema Tags In Seo
Schema Tags In SeoSchema Tags In Seo
Latest 现今修道容易犯的毛病(仁慈)
Latest 现今修道容易犯的毛病(仁慈)Latest 现今修道容易犯的毛病(仁慈)
Latest 现今修道容易犯的毛病(仁慈)
mingyift
 
Pubcon 2016 Presentation: LinkedIn Marketing
Pubcon 2016 Presentation: LinkedIn MarketingPubcon 2016 Presentation: LinkedIn Marketing
Pubcon 2016 Presentation: LinkedIn Marketing
Marketing Mojo
 
Bio-informatique et applications
Bio-informatique et applicationsBio-informatique et applications
Bio-informatique et applications
Sara SI-MOUSSI
 
Цифровая трансформация (digital transformation) глазами бизнес-аналитика, Сер...
Цифровая трансформация (digital transformation) глазами бизнес-аналитика, Сер...Цифровая трансформация (digital transformation) глазами бизнес-аналитика, Сер...
Цифровая трансформация (digital transformation) глазами бизнес-аналитика, Сер...
Yuri Vedenin
 
ppt of basic concept of iso 9000 & 14000
ppt of basic concept of iso 9000 & 14000ppt of basic concept of iso 9000 & 14000
ppt of basic concept of iso 9000 & 14000
Ayush Upadhyay
 
La sécurité et le Cloud Computing
La sécurité et le Cloud ComputingLa sécurité et le Cloud Computing
La sécurité et le Cloud Computing
Tactika inc.
 

En vedette (16)

Arabic Web Days 16/12/2013
Arabic Web Days 16/12/2013Arabic Web Days 16/12/2013
Arabic Web Days 16/12/2013
 
Googlefy the education, Batna
Googlefy the education, BatnaGooglefy the education, Batna
Googlefy the education, Batna
 
Do It the Google Way
Do It the Google WayDo It the Google Way
Do It the Google Way
 
De l'idée au business
De l'idée au businessDe l'idée au business
De l'idée au business
 
Dimbp35paradigma
Dimbp35paradigmaDimbp35paradigma
Dimbp35paradigma
 
Gaudi
Gaudi Gaudi
Gaudi
 
Renascimento Cultural e científico
Renascimento Cultural e científicoRenascimento Cultural e científico
Renascimento Cultural e científico
 
Systèmes informatiques d'aide à la décision médicale
Systèmes informatiques d'aide à la décision médicaleSystèmes informatiques d'aide à la décision médicale
Systèmes informatiques d'aide à la décision médicale
 
道降火宅的省思
道降火宅的省思道降火宅的省思
道降火宅的省思
 
Schema Tags In Seo
Schema Tags In SeoSchema Tags In Seo
Schema Tags In Seo
 
Latest 现今修道容易犯的毛病(仁慈)
Latest 现今修道容易犯的毛病(仁慈)Latest 现今修道容易犯的毛病(仁慈)
Latest 现今修道容易犯的毛病(仁慈)
 
Pubcon 2016 Presentation: LinkedIn Marketing
Pubcon 2016 Presentation: LinkedIn MarketingPubcon 2016 Presentation: LinkedIn Marketing
Pubcon 2016 Presentation: LinkedIn Marketing
 
Bio-informatique et applications
Bio-informatique et applicationsBio-informatique et applications
Bio-informatique et applications
 
Цифровая трансформация (digital transformation) глазами бизнес-аналитика, Сер...
Цифровая трансформация (digital transformation) глазами бизнес-аналитика, Сер...Цифровая трансформация (digital transformation) глазами бизнес-аналитика, Сер...
Цифровая трансформация (digital transformation) глазами бизнес-аналитика, Сер...
 
ppt of basic concept of iso 9000 & 14000
ppt of basic concept of iso 9000 & 14000ppt of basic concept of iso 9000 & 14000
ppt of basic concept of iso 9000 & 14000
 
La sécurité et le Cloud Computing
La sécurité et le Cloud ComputingLa sécurité et le Cloud Computing
La sécurité et le Cloud Computing
 

Similaire à Politique de sécurité des systèmes d'information hospitaliers

MEDECINE ET MONDE 2.0
MEDECINE ET MONDE 2.0MEDECINE ET MONDE 2.0
MEDECINE ET MONDE 2.0
Prof. Jacques Folon (Ph.D)
 
resume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfresume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdf
Amineelbouabidi
 
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
FootballLovers9
 
Le guide de l'hygiène informatique
Le guide de l'hygiène informatiqueLe guide de l'hygiène informatique
Le guide de l'hygiène informatique
NRC
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssi
Samy Ntumba Tshunza
 
Competitic sécurite informatique - numerique en entreprise
Competitic   sécurite informatique - numerique en entrepriseCompetitic   sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entreprise
COMPETITIC
 
ESTEM5A PART 1 POLITIQUE DE securite informatique.ppt
ESTEM5A PART 1  POLITIQUE DE  securite informatique.pptESTEM5A PART 1  POLITIQUE DE  securite informatique.ppt
ESTEM5A PART 1 POLITIQUE DE securite informatique.ppt
NourAkka1
 
Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014 Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014
polenumerique33
 
Sã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationSã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'information
Dany Rabe
 
Sécurité Informatique_Licence 2 Rx UKV.potx
Sécurité Informatique_Licence 2 Rx UKV.potxSécurité Informatique_Licence 2 Rx UKV.potx
Sécurité Informatique_Licence 2 Rx UKV.potx
BernardKabuatila
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
Jean AMANI
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
Abdellah Alahyane
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
Abdellah Alahyane
 
Workshop CNIL - RGPD & données de santé 22 février
Workshop CNIL - RGPD & données de santé 22 févrierWorkshop CNIL - RGPD & données de santé 22 février
Workshop CNIL - RGPD & données de santé 22 février
Stéphanie Roger
 
Signalement des incidents graves de sécurité
Signalement des incidents graves de sécuritéSignalement des incidents graves de sécurité
Signalement des incidents graves de sécurité
ASIP Santé
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
AAMOUMHicham
 
Trois principes pour améliorer la sécurité
Trois principes pour améliorer la sécuritéTrois principes pour améliorer la sécurité
Trois principes pour améliorer la sécurité
Andreanne Clarke
 
Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...
Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...
Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...
René Vergé
 
Sécurité des systèmes d’information industriels
Sécurité des systèmes d’information industrielsSécurité des systèmes d’information industriels
Sécurité des systèmes d’information industriels
PRONETIS
 
Webinar RGPD du 17/04/2018
Webinar RGPD du 17/04/2018Webinar RGPD du 17/04/2018
Webinar RGPD du 17/04/2018
Zyxel France
 

Similaire à Politique de sécurité des systèmes d'information hospitaliers (20)

MEDECINE ET MONDE 2.0
MEDECINE ET MONDE 2.0MEDECINE ET MONDE 2.0
MEDECINE ET MONDE 2.0
 
resume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfresume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdf
 
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
 
Le guide de l'hygiène informatique
Le guide de l'hygiène informatiqueLe guide de l'hygiène informatique
Le guide de l'hygiène informatique
 
Guide hygiene informatique_anssi
Guide hygiene informatique_anssiGuide hygiene informatique_anssi
Guide hygiene informatique_anssi
 
Competitic sécurite informatique - numerique en entreprise
Competitic   sécurite informatique - numerique en entrepriseCompetitic   sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entreprise
 
ESTEM5A PART 1 POLITIQUE DE securite informatique.ppt
ESTEM5A PART 1  POLITIQUE DE  securite informatique.pptESTEM5A PART 1  POLITIQUE DE  securite informatique.ppt
ESTEM5A PART 1 POLITIQUE DE securite informatique.ppt
 
Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014 Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014
 
Sã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationSã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'information
 
Sécurité Informatique_Licence 2 Rx UKV.potx
Sécurité Informatique_Licence 2 Rx UKV.potxSécurité Informatique_Licence 2 Rx UKV.potx
Sécurité Informatique_Licence 2 Rx UKV.potx
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
Workshop CNIL - RGPD & données de santé 22 février
Workshop CNIL - RGPD & données de santé 22 févrierWorkshop CNIL - RGPD & données de santé 22 février
Workshop CNIL - RGPD & données de santé 22 février
 
Signalement des incidents graves de sécurité
Signalement des incidents graves de sécuritéSignalement des incidents graves de sécurité
Signalement des incidents graves de sécurité
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
Trois principes pour améliorer la sécurité
Trois principes pour améliorer la sécuritéTrois principes pour améliorer la sécurité
Trois principes pour améliorer la sécurité
 
Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...
Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...
Vie privée et confidentialité de l’information dans les nuages: Utopique ou r...
 
Sécurité des systèmes d’information industriels
Sécurité des systèmes d’information industrielsSécurité des systèmes d’information industriels
Sécurité des systèmes d’information industriels
 
Webinar RGPD du 17/04/2018
Webinar RGPD du 17/04/2018Webinar RGPD du 17/04/2018
Webinar RGPD du 17/04/2018
 

Politique de sécurité des systèmes d'information hospitaliers

  • 1. Modélisationd’unréseausocialcommutaire pourmedecin-MedNet- Réalisé par : • Azrou Lilia • Benchaib Widad • Cherhabil Ibtihal • Si-moussi Sara Politique de sécurité des Systèmes d’Information Hospitaliers
  • 2. Plan  Introduction  Contexte hospitalier  Analyse de risques  La PSSI appliquée aux CHU  Etude de cas  Etat des lieux en Algérie  Conclusion 2
  • 3. Introduction 3  Les hôpitaux à l’ère du digital  des technologies de plus en plus complexes.  Pression des médias et renforcement du cadre législatif.  De l’obligation de moyens  L’obligation de résultats = Logique de performances.  Environnement complexe de l’hôpital : humanitaire, public et administratif.  OBLIGATION DE SECURISER : Les soins d’abord, mais les informations aussi.
  • 4. I. Contexte hospitalier s 4 SIH • Système informatique, destiné à faciliter la gestion de l'ensemble des informations médicales et administratives d'un hôpital. SIS • Système d'information global, regroupant tous les types d'acteurs et ressources de santé.
  • 6. - Principaux objectifs - 6 Respect du secret professionnel Qualité des soins Responsabilité Maîtrise des coûts
  • 7. 7II. Politique de sécurité Comment atteindre ces objectifs ?
  • 8. 1. Politique de sécurité des SIH  Un plan d'actions définies pour maintenir un certain niveau de sécurité. 8 Roue de Deiming Méthode PDCA
  • 9. 2. Facteurs clés de succès  Une volonté directoriale  LEGITIME  Une politique de sécurité simple, précise et compréhensible.  APPLICABLE  La publication de cette politique de sécurité.  CONSULTABLE  Une gestion centralisée de la sécurité et une certaine automatisation des processus de sécurité.  CENTRALISATION  Du personnel sensibilisé et formé à la sécurité, possédant une haute valeur morale.  FORMATION  Des procédures d’enregistrement, de surveillance, d’audit, d’organisation.  CONTROLE 9
  • 10. 10III. Analyse de risques
  • 11. Exemple de risques 11 Atteinte à la confidentialité Accès aux dossiers médicaux Postes connectés sans surveillance Réseau Wifi du SIH ouvert Partage de connexions filaires CONFIDENTIALITE Intrusion externe
  • 12. Exemple de risques 12 Atteinte à la disponibilité, intégrité et traçabilité Infection virale Poste non autorisé connecté à distance Fuite d’eau au niveau du SAN Problème sur l’onduleur DISPONIBLITE, INTEGRITE Vols du matériel informatique essentiel au fonctionnement de l’accélérateur de particules pour le traitement des cancers
  • 13. IV. La PSSIH Politique de sécurité des systèmes d’information hospitaliers 13 Matériel • TIC • Procédures et logiciels métiers Intellect • Informations techniques, scientifiques. • Informations administratives Humain • Acteurs interagissant avec le CHU • Altération  poursuites judiciaires QUOI ?
  • 14. La PSSIH : Acteurs Qui ? 14 Acteurs de la PSSIH Utilisateurs Gestionnaire Propriétaire
  • 15. La PSSIH : Hiérarchie Politique de responsabilité 15 RSSI Comité sécurité Mise en œuvre • Responsable de la sécurité des soins • Responsable de la sécurité incendie • Responsable de la sécurité du personnel et des patients • RSSI Cellule Veille Cellule gestion de crises
  • 16. Aspects réglementaires 16 Règles du PSSI issues des législations, culture de l’organisme/pays :  Déontologie: DUDH, lignes directrices de l’OCDE.  La loi Informatique Et Libertés  Code d’éthique des hôpitaux et protection des informations médicales privées.
  • 17. Principes techniques Comment ? 17 1. Identification et authentification (forte, unique) 2. Contrôle d’accès logique aux biens : - L'accès des utilisateurs aux services pour lesquels ils sont autorisés ; - La connexion au système d'information des ordinateurs isolés ou extérieurs à l'organisme ; - La séparation des réseaux dédiés à des domaines particuliers ; - Le routage des communications sur les canaux autorisés.
  • 18. Principes techniques Comment ? 18 3. Définir : - Technologie à utiliser (algorithme d’authentification, mot de passe joué qu'une fois…) ; - Protection des secrets (fichiers de mots de passe gérés par les systèmes ou les applications) - Conditions d’attribution d’un accès (engagement de l’utilisateur au respect des règles élémentaires de protection de l’accès) ;
  • 19. Principes techniques Comment ? 19 - Exigences de robustesse des moyens d’accès et des mots de passe - règles de construction - fréquence de changement des mots de passe - historique de mots de passe non réutilisables. - Durée de vie de l’attribution de l'accès ; - Toute procédure d’authentification à des accès sensibles ou utilisant des médias qui ne sont pas considérés comme de confiance (réseaux publics) doit assurer la non divulgation des éléments d’authentification ;
  • 20. Principes techniques Comment ? 20 - Procédure en cas de tentatives de connexion infructueuses répétées ; - Limitation des temps de connexion ; - Procédure en cas de déclaration de perte d’un secret – lutter contre des usurpations d’identité ; - Procédure de suppression des accès en cas de départ de personnel ou de vol de matériel.
  • 21. Principes techniques Comment ? 21 4. Protection des accès en maintenance :  hauts privilèges Des engagements de responsabilités spécifiques devront être inclus dans les contrats de prestations de service. 5. Contrôle des listes d’accès 6. Verrouillage des sessions de travail 7. Administration des privilèges 8. Journalisation : gestion des traces.
  • 22. Signaux compromettants • Signaux électriques parasites interférant avec le matériel : intentionnels ou non. • Protection interdite en Europe. • Moyens de le faire : • Matériel TEMPEST • Faradisation des locaux • Protection des équipements 22

Notes de l'éditeur

  1. Tendances des SIH à s’harmoniser en un seul SIS par région voir par pays