P R O G R A M M E W O R K S H O P. de l information

Transcription

1 P R O G R A M M E 5 d é c e m b r e W O R K S H O P Conseillers en sécurité de l information

2

3 P R O G R A M M E 9.00 Accueil et café 9.30 Introduction : SPF Santé Publique 9.45 Conseiller en sécurité de l information : Par où commencer? Retour d expériences Anneliese Van Egghen, Serge Krott et Jean Pierre Dziergwa Pause café EPD in the cloud Peter Raymackers, Michael De Geest et Jean-Marc van Gysseghem Lunch Gestion d incidents André Beerten et David Jacobs Bring your own device Jean-Louis Matton et Rob Evered Single sign-on and access management: Thierry Genten et Peter Kleynjan Pause café Gestion multi-sites par le conseiller en sécurité Marc Rosseau et George de Wasseige Gestion des fournisseurs Peter Berghmans et Gery Mollers Recherches, études, etc : Comment rendre ceci pragmatiquement compatible avec la gestion de la vie privée Etienne Stanus et Christine Bigot Conclusions Drink

4 Conseillers en sécurité de l information 9.00 ~ 9.30 Accueil et café 9.30 ~ 9.45 Introduction : SPF Santé publique 9.45 ~ Conseiller en sécurité de l information : Par où commencer? Retour d expériences Vous venez d être désigné comme conseiller en sécurité de l information dans votre hôpital. Comme le dit le dicton: «Tout voyage commence par le premier pas». Oui mais voilà : fraîchement débarqué, vous ne savez pas où donner de la tête. Vous avez envie d'apprendre mais vous vous demandez : Par où commencer? Lorsqu on ne sait pas comment s'y prendre, une méthode très simple peut être utilisée. Elle consiste à rassembler, en vrac, les informations qui existent déjà dans votre institution. Vous les classer ensuite dans l ordre et vous regardez ce qui vous manque. Puis de jour en jour, de mois en mois et d année en année votre plan, votre stratégie, votre métier prendra forme. Vous vous sentez toujours perdus? Alors ces témoignages vont vous être utiles. Anneliese Van Egghen (AZ Sint Lucas, Gent) Serge Krott (CHU Liège) Jean Pierre Dziergwa (Fracarita) Questions réponses

5 5 décembre ~ Pause café ~ EPD in the cloud Il ne s agit pas seulement de la possibilité de stocker tout ou partie des données en dehors de l hôpital mais également de déployer des solutions de type SAAS (software as a service) où ce sont les applicatifs destinés à générer ces données eux-mêmes qui se trouvent placés sur une architecture «cloud» dédicacée. Ceci va donc bien au-delà d un outsourcing IT «traditionnel». Etant donné la grande diversité des situations possibles, il est donc nécessaire de préciser les conditions génériques qui doivent être remplies afin de permettre le déploiement de ce type de technologie tout en conservant un haut niveau de sécurité et de confidentialité. Les questions cruciales de responsabilité (liability) en matière de continuité de service, de protection et d intégrité des données et du respect des conditions de confidentialité doivent donc pouvoir trouver des réponses adaptées à des questions essentielles telles que : Conservation des données après la fin du contrat, localisation et transfert des données, responsabilité directe et indirecte, propriété des données, sous-traitance etc.. Où en est-on aujourd hui en Belgique? Peter Raymackers (Zorgnet Vlaanderen) Michael De Geest (Broeders van Liefde) Jean-Marc van Gysseghem (CRID NAMUR) Table ronde

6 Conseillers en sécurité de l information ~ Lunch ~ Gestion d incidents La sécurité de l'information est censé protéger l'information d'une multitude de menaces. Les institutions, leurs systèmes d information et réseaux sont de plus en plus confrontés à un nombre croissant de risques divers en provenance de sources diverses. Songeons par exemple aux virus informatiques, au piratage informatique, au refus de service informatique (denial of service), à la fraude informatique, mais également à la perte, au vol (p.ex. d un ordinateur portable), à la divulgation de données confidentielles, au risque d incendie,. Quelles mesures préventives pouvons-nous prendre pour nous protéger? Et si malgré tout, le mal est fait, comment gérer ce type de situation? Focus sur des expériences concrètes vécues. André Beerten (Groene Hart Ziekenhuis Gouda, Hollande) David Jacobs (Imelda ZH Bonheiden) Questions réponses

7 5 décembre ~ Bring your own device Quelle est la place des équipements personnels dans l'hôpital? Tablette, ordinateur portable, smartphone : tout nous porte à nous libérer du «hardware». Atout ou inconvénient dans l'optimisation et la mobilité du travail? En matière de politique sécurité, quelle conduite adopter? Quels compromis sont possibles? Entre mesures organisationnelles (respect d'une politique de confidentialité, obligation de protection des données) et mesures techniques (exigences d'outils de sécurité sur l'équipement et de contraintes sur certaines applications), où mettre la barre? Jusqu'où aller avec des mécanismes de sécurité parfois eux-mêmes considérés comme trop intrusifs... Jean-Louis Matton (IT Architect- UCL Saint-Luc, Bruxelles) Rob Evered (Senior Information Security Technologist and Strategist-INTEL UK) Questions réponses

8 Conseillers en sécurité de l information ~ Single sign-on and access management Le Single Sign-On (SSO) est un accès unique à des systèmes multiples et/ou logiciels indépendants. Grâce à cette propriété un utilisateur se connecte une seule fois- généralement via son login et son mot de passe- et obtient simultanément l accès à tous les systèmes sans être invité à se connecter à nouveau à chacun d'eux. La gestion des identités et des mots de passe n en devient par conséquent que plus critique encore. L implémentation par l hôpital d une politique d entreprise de Single Sign-On doit permettre aux administrateurs de définir, d assigner, de stocker et de modifier les mots de passe. Quelles sont les conditions, difficultés et solutions pour la mise en place d une telle politique? Afin d éviter les intrusions dans les environnements sensibles, Technisanté a mis en place des solutions de contrôle d accès garantissant une protection efficace en interne. Ces solutions consistent en la vérification des droits et autorisations nécessaires à une entité (personne, ordinateur) pour accéder à certaines ressources logiques. Nous réfléchirons ensemble à la meilleure façon d organiser le contrôle d'accès aux ressources logiques. Thierry Genten (Hôpital de la Citadelle, Liège) Peter Kleynjan (Quantis, Gasthuis Reinier de Graaf, Delft) Questions réponses

9 5 décembre ~ Pause café ~ Gestion multi-sites par le conseiller en sécurité La fonction de conseiller en sécurité de l information nécessite une connaissance approfondie de l institution, de chacun de ses départements, de ses règles de fonctionnement et de décision et de sa culture ainsi qu une disponibilité de temps importante. Comment les conseillers en sécurité qui travaillent pour plusieurs institutions ou plusieurs sites s organisent-ils pour répondre à l ensemble des attentes liées à leur fonction tout en n étant que physiquement peu présents au sein de l institution? Marc Rosseau (Emmaüs Ziekenhuizen) George de Wasseige (Bureau de consultance de Wasseige)

10 Conseillers en sécurité de l information ~ Gestion des fournisseurs De l'acquisition au retrait d'une solution informatique ou d'un équipement médical embarquant de l'information, la vigilance et l'attention sont de rigueur en matière de confidentialité et de sécurité de l'information. Une attention nouvelle doit être portée aux solutions proposées "in the cloud", aux solutions Saas. Le conseiller en sécurité ne devrait-il donc pas être partie prenante de tout projet? Responsable de définir les exigences de sécurité dès l'émission du besoin, dès l'étude du marché et partenaire dans la rédaction et la relecture des contrats d'achat et de maintenance. Partenaire dans l'installation et le maintien d'une solution où il assure un rôle d'assurance qualité/d'audit, pour garantir la mise en place de bonnes pratiques en change-request, en télémaintenance, de plan de continuité d'activité. Pour le conseiller en sécurité, la gestion fournisseur nécessite une sécuritévigilance permanente. Peter Berghmans (GZ Antwerpen) : basé sur la nouvelle règlementation européenne et sur les normes ISO 27001:2013 Gery Mollers (UCL Saint Luc et Beauvallon) Questions réponses

11 5 décembre ~ Recherches, études, etc : Comment rendre ceci pragmatiquement compatible avec la gestion de la vie privée Comment gérer la problématique des règles et procédures à suivre dans les recherches biomédicales? La loi ne fait de différence selon qu'il s agit de travaux d'étudiants ou de protocole de recherche élaboré! Si la loi vie privée prévoit bien une exception au principe de finalité, il n'en est pas de même pour les principes de licéité et de de proportionnalité. Quelles sont alors obligations des chercheurs et collaborateurs de recherche avant, pendant et après la recherche? Jusqu où peut-on considérer qu une dérogation peut être consentie à l obligation d information du patient au motif qu'elle requiert des efforts disproportionnés de la part du chercheur. Quelles différences entre, d'une part les données à caractère personnel collectées et enregistrées en vue d une recherche biomédicale prédéfinie et, d'autre part, un "traitement ultérieur dans le cadre d une recherche rétrospective. Comment gérer en pratique la pseudonymisation? Quel rôle le conseiller en sécurité peut-il /doit-il jouer dans les processus de recherche? Quelle aide peut-il apporter aux chercheurs et aux comités d'éthique. Voilà les questions principales questions auxquelles peut être confronté un conseiller en sécurité face un projet de recherche. Etienne Stanus et Christine Bigot (Institut Bordet, Bruxelles) Questions réponses Conclusions et drink

12 SPF Santé publique - Espace Bara Place Victor Horta 40 bte BRUXELLES A proximité immédiate de la gare du Midi Pour s inscrire : cliquez ici Inscription (obligatoire) jusqu au 2 décembre Participation gratuite Traduction simultanée (français et néerlandais) Parking : gratuit dans le parking Q-PARK, gare du midi, au niveau -6 uniquement Contact : luc.nicolas@sante.belgique.be Visitez notre site : (rubriques soins de santé puis télématique) SPF Santé publique - Place Victor Horta 40, bte Bruxelles