Auriane Lemesle, RSSI TéléSanté Centre PRÉSENTATION DU GUIDE DE LA DGOS À L ATTENTION DES DIRECTIONS

Dimension: px

Commencer à balayer dès la page:

Download "Auriane Lemesle, RSSI TéléSanté Centre PRÉSENTATION DU GUIDE DE LA DGOS À L ATTENTION DES DIRECTIONS"

Roland Gaudet
il y a 8 ans
Total affichages :

1 Auriane Lemesle, RSSI TéléSanté Centre PRÉSENTATION DU GUIDE DE LA DGOS À L ATTENTION DES DIRECTIONS

2 Introduction à la Sécurité des Systèmes d Information en établissements de santé Fiche N 1 : Les enjeux de la sécurité de l information pour l établissement de santé Fiche N 2 : Maîtriser la sécurité du SI, comment? Fiche N 3 : Définition de la sécurité du SI dans les établissements de santé Fiche N 4 : La Direction acteur important de la démarche sécurité Fiche N 5 : Prérequis : un diagnostic et une gouvernance sécurité Fiche N 6 : La sécurité avant d autres projets : le bon arbitrage Fiche N 7 : Les facteurs clés de succès de la démarche Fiche N 8 : La communication : un levier essentiel Fiche N 9 : La documentation sécurité : un minimum est nécessaire Fiche N 10 : Les coûts de la sécurité

Fiche N 3 : Définition de la sécurité du SI dans les établissements de santé Fiche N 4 : La Direction acteur important de la démarche sécurité Fiche N 5 : Prérequis : un

3 Présentation du guide Destiné aux équipes de Directions des établissements de santé, publics comme privés Fait partie de la PGSSI-S Basé sur les retours d expérience de deux projets régionaux, dans le Nord Pas de Calais et dans le Limousin Pas d ordre de lecture imposé.

PGSSI-S Basé sur les retours d expérience de deux projets

4 Fiche N 1 : Les enjeux de la sécurité de l information pour l établissement de santé Rappelle les enjeux et le contexte vis-àvis des nouvelles technologies de l information et de la communication. L évolution des pratiques Le lien entre incidents de sécurité et qualité de l offre de soins Les conséquences des incidents Les menaces qui pèsent sur le système d information La sécurité pour maîtriser le coût des incidents

L évolution des pratiques Le lien entre incidents de sécurité et qualité de l offre de soins Les

5 Impacts possibles d un incident sur le SI Réputation / image De l événement qui ne porte pas atteinte à l image de l établissement au rejet définitif des patients pour un établissement Social & organisation De la gène ponctuelle à l arrêt prolongé de toute activité de soins De la démotivation du personnel au conflit social Financier De la perte sans impact significatif à celle remettant en cause l équilibre financier de l établissement Responsabilité / juridique De l affaire classée sans suite à la condamnation pénale ou risques judiciaires Patient De l inconfort au décès

démotivation du personnel au conflit social Financier De la perte sans impact significatif à celle remettant en cause l équilibre financier de l

Les informations ne doivent pouvoir être modifiées que par les personnes autorisées.

6 Sécurité des SI Disponibilité L information doit être disponible à tout moment aux personnes qui ont accès à cette information. Qualité et continuité des soins Intégrité L information doit être précise, complète et ne doit ni être altérée, ni altérable. Les informations ne doivent pouvoir être modifiées que par les personnes autorisées. Confidentialité Secret professionnel S assurer que l information est seulement accessible à ceux qui en ont l autorisation. Preuve et le Contrôle Responsabilité Assurer la non-répudiation c est-à-dire l impossibilité de nier avoir reçu ou émis un message (preuve) et le contrôle du bon déroulement d une fonction c est-à-dire l auditabilité.

7 Apports de la sécurité Qualité Performance Disponibilité de l information Espace de confiance Economies Réduction des coûts de la non qualité Diminution des charges Limitation des risques projets Non perte de chiffre d affaire Notoriété Image de marque Confidentialité

la non qualité Diminution des charges Limitation des risques

8 Fiche N 2 : Maîtriser la sécurité du SI, comment? Donne les objectifs d une démarche de sécurité du SI avec les principes permettant de maîtriser sa mise en place et les actions prioritaires pour initier la démarche. Les objectifs de sécurité du système d information Répondre aux exigences règlementaires et de certification Valider une démarche réaliste et conforme aux objectifs prioritaires Mettre en place une organisation légitime Initier une démarche d amélioration continue Sensibiliser et informer S appuyer sur les aides extérieures

9 Fiche N 3 : Définition de la sécurité du SI dans les établissements de santé Présente le fondement d une démarche sécurité ainsi que les projets majeurs associés. Définition de la sécurité du système d information Notions fondamentales : DICP Une démarche itérative composée de plusieurs projets

Sécurité des SI 80 % Organisation Méthodes Garantir l intégrité et la disponibilité des informations et des traitements Techniques Sécurité des Systèmes d

10 Sécurité des SI 80 % Organisation Méthodes Garantir l intégrité et la disponibilité des informations et des traitements Techniques Sécurité des Systèmes d Information Préserver la confidentialité des données 20 % Outils Prouver et contrôler que les traitements ont été réalisés dans le strict respect de la législation

Systèmes d Information Préserver la confidentialité des données 20 % Outils

11 Fiche N 4 : La Direction acteur important de la démarche sécurité Précise les différents points où l action de la Direction est nécessaire. Les rôles de la Direction dans la démarche Un soutien obligatoire pour une démarche réussie Les actions à lancer La charte d usage du système d information

Les rôles de la Direction dans la démarche Un soutien obligatoire pour

12 Personnes à impliquer Les services généraux pour les aspects de sécurité physique d accès aux locaux et de sécurisation des équipements et fluides Le service informatique, qui est le garant de la mise en œuvre du plan d action relevant de la sécurité informatique. Le correspondant informatique et libertés (CIL). Le responsable des risques et/ou le responsable qualité et sécurité des soins, qui permet d intégrer la sécurité SI dans une gestion globale et coordonnée des risques. Le responsable de la communication

informatique. Le correspondant informatique et libertés (CIL).

13 Fiche N 5 : Prérequis : un diagnostic et une gouvernance sécurité Indique par quoi commencer et donne des repères pour organiser la démarche. Pré-diagnostic : 10 questions à se poser Faire réaliser un diagnostic externe Démarche d analyse de risques Elaboration du plan d actions Similarité avec la démarche qualité Pilotage et organisation

Pré-diagnostic : 10 questions à se poser Faire réaliser un diagnostic externe

le risque Surveiller le risque Traiter le risque Engagement de la Direction Comité de pilotage Responsable SSI Plan d action sécurité

14 Les démarches qualité et sécurité ACTIVITÉS DE Sécurité L ÉTABLISSEMENT Qualité OBJECTIFS Maîtrise des risques Rectifier le traitement du risque Evaluer le risque Rectifier le traitement du risque Evaluer le risque SSI Médicaux et techniques Surveiller le risque Traiter le risque Surveiller le risque Traiter le risque Engagement de la Direction Comité de pilotage Responsable SSI Plan d action sécurité SI Politique de sécurité du SI Cellule de gestion des risques Comité de pilotage Responsable Qualité Plan d action qualité Manuel Qualité

15 Organisation Un référent sécurité qui pilote la démarche de sécurité (suivi des risques, information de la Direction, production de tableaux de bord, veille technologique et réglementaire, organisation d audits ) Une instance de pilotage (dédiée ou non) se réunissant périodiquement et dans laquelle seront évoqués les risques et les mesures opérationnelles de sécurité. Cette instance doit réunir une représentation aussi complète que possible des services de l établissement (DRH, Services Généraux, Informatique, services de soins, services logistiques )

périodiquement et dans laquelle seront évoqués les risques et les mesures opérationnelles de sécurité.

16 Fiche N 6 : La sécurité avant d autres projets : le bon arbitrage Propose aussi de commencer par des actions «pépites» relativement faciles à mettre en place. L arbitrage des priorités Arbitrage par les gains : identifier les actions pépites Arbitrage par les risques Une bonne pratique budgétaire

17 Fiche N 7 : Les facteurs clés de succès de la démarche Décrit les retours d expérience de démarches réussies au sein des établissements. Les trois éléments de base La vision globale portée par la Direction Point d attention majeur : l adhésion des utilisateurs Démarche impérative même en l absence d incident Documenter la démarche Echange et mutualisation avec d autres établissements

Les trois éléments de base La vision globale portée par la Direction Point d attention majeur :

18 Fiche N 8 : La communication : un levier essentiel Rappelle l importance de la communication et les messages principaux dans une démarche sécurité. La communication doit viser un double objectif Les axes de communication Le Directeur de l établissement doit soutenir cette communication Les principes généraux de communication La communication vers les intervenants externes

La communication doit viser un double objectif Les axes de communication Le Directeur de l

19 Fiche N 9 : La documentation sécurité : un minimum est nécessaire Décrit les principales briques documentaires. La cartographie des risques La politique de sécurité La charte d utilisation Les procédures opérationnelles et techniques Le plan d actions pluriannuel

La cartographie des risques La politique de sécurité La charte d

20 Fiche N 10 : Les coûts de la sécurité Donne des pistes pour une évaluation budgétaire des coûts de la sécurité. Un budget global difficile à chiffrer précisément Une bonne pratique budgétaire Un budget sécurité dans les projets d évolution du système d information Les coûts pour la mise en place d une gouvernance et d une PSSI La charge de travail pour l amorçage du plan d actions Les coûts d un projet de sécurisation des infrastructures Les coûts d un projet de la gestion de la confidentialité des données médicales

système d information Les coûts pour la mise en place d une gouvernance et d une PSSI La charge de travail pour l amorçage du plan

Documents pareils

Menaces informatiques et Pratiques de sécurité en France Édition 2014. Paris, 25 juin 2014

Menaces informatiques et Pratiques de sécurité en France Édition 2014 Paris, Enquête 2014 Les Hôpitaux publics de + de 200 lits Mme Hélène COURTECUISSE Astrid LANG Fondatrice Responsable Sécurité SI Patient