Contrôle de qualité Sécurisation des données

Transcription

1 Contrôle de qualité Sécurisation des données Medetel 7 Avril 2005 JP&C Conseil sprl

2 JP&C Conseil en deux mots Conseil en affaires réglementaires, systèmes normalisés, informatique Créneau principal: monde médical Projets actuels: «Validation logicielle» complète (FDA) d une unité en activité depuis plus de deux ans Rationalisation de l informatique, BRS, DRP d un cabinet d expertise médicale. Développement d un outil d aide à la gestion de la sécurité informatique ( audit et plans). Validation de processus de production de dispositifs médicaux

3 Sommaire Maîtrise de la qualité Validation logicielle Technologie et impact Risques quelques exemples Milieu hospitalier enquête RW Disater recovery & business continuity Conclusion

4

5 Maîtrise de la qualité Analyse des risques Exigences de traçabilité Exigences de sécurité (Directives européennes) Définir les spécifications à respecter pour toutes les étapes Définir les méthodes à utiliser

6 ENTREE Schéma général Spécifications Contrôles Données Etape 1 Spécifications Contrôles Données Etape n Spécifications Contrôles Données Spécifications LIBERATION SORTIE

7 Exemples Production de dispositifs médicaux Laboratoire d analyses Dossier médical

8 Dispositifs médicaux Entrée Spécifications des matières premières Résultats d essai Documentation : n de lot, certificats

9 Dispositifs médicaux Etape 1 à n Spécifications relatives à l équipement Spécifications relatives à l environnement de travail Spécifications relatives aux produits Documentation : N de lot, opérateurs

10 Dispositifs médicaux Spécifications relatives à l équipement Processus de production validé Suivant la norme si applicable Définition des paramètres à surveiller Définition des spécifications Lien avec les lots de production

11 Dispositifs médicaux Spécifications relatives à l environnement Définition des exigences Validation de l environnement de travail Définition des paramètres à surveiller Paramètres physiques Paramètres microbiologiques Lien avec les lots de production

12 Dispositifs médicaux Spécifications relatives au produit Définition des exigences : usage prévu, normes Définition des paramètres à surveiller Définition des méthodes de mesure Données pour les lots de production

13 Dispositifs médicaux Libération Collationner toutes les données Vérifier la conformité Libérer le lot de produit Archiver les données : traçabilité, lisibilité Exigences légales

14 Technologie:

15 Certitudes du 20eme Siècle: Je pense qu'il y a un marché mondial pour environ 5 ordinateurs. Thomas WATSON, président d IBM, Les gens n'ont pas besoin d'un ordinateur chez eux. Ken OLSON, PDG et fondateur de DEC, 1977

16 Certitudes du 20eme Siècle 640Ko est suffisant pour tout le monde. B.Gates, PDG et fondateur de Microsoft, 1981 Je crois qu OS/2 est destiné à être le système d'exploitation le plus important de tous les temps. B. Gates, PDG et fondateur de Microsoft, J'ai toujours rêvé d'un ordinateur qui soit aussi facile à utiliser qu'un téléphone. Mon rêve s'est réalisé. Je ne sais plus comment utiliser mon téléphone. Bjarne Stroustrup, auteur du langage C++

17 Organisation et technologie: Il y a encore 10 ans, ce que l on appelait «secrétaire» Aujourd hui on nomme cela un traitement de texte, ou pire «WORD» Il y a encore 5 ans, la majorité des données était générée en entreprise, durant les heures de travail, et les sauvegardes organisées la nuit, lorsque les employés ne travaillaient pas. Aujourd hui nous avons les ERPs, les flux tendus et internet: La société fonctionne 24H/24 Les données sont introduites de l extérieur On ne peut plus réellement trouver de temps mort pour les sauvegardes

18 Risques selon une étude américaine, 93% des entreprises ayant perdu leurs données informatiques pendant 10 jours ou plus déposent le bilan dans l'année qui suit (Source: National Archives & Records Administration, Washington)

19 Risques Les récentes publications de statistiques relatives aux sinistres informatiques sont préoccupantes. En effet, nous pouvons constater que 100% des entreprises subissent ou subiront un sinistre informatique, avec pour conséquences, des dégâts plus ou moins graves, voir majeurs. Source : Clusif antivirus 2003

20 Risques: anecdotes Unesco Le 27 juillet 2001, l'agence Reuters a rapporté le cas du neurobiologiste de l'université de Californie du Sud, Joseph Miller, qui avait demandé à la NASA de pouvoir consulter certaines données anciennes que les sondes Viking avaient envoyées de Mars au milieu des années L Agence spatiale américaine sortit des bandes magnétiques pour ordinateur vieilles de 25 ans qui étaient dans un format illisible. «La NASA avait oublié depuis longtemps ce logiciel» ou, selon les mots de M. Miller, «les programmeurs qui le connaissaient étaient morts».

21 Risques Alimentation secteur Stabilité du réseau Température ambiante Humidité dégâts des eaux Poussières Erreur humaines Malveillance Mécontentement Social engineering Événements climatiques Orages ( alim + réseau) inondations Pannes machines Pannes réseaux Maintenance Attaques Plan de continuité

22 Législation adapter la législation à la technologie Combattre le piratage L usage des virus La fraude financière Cyber terrorisme Harmonisation européenne Établissement de preuves numériques Le repérage des criminels La conservation des données Protection de la vie privée

23 Législation exemples: France: /1997 comm. Bancaire: Tracabilité électronique et prévention des défaillances Admin fiscale Obligation: ls systèmes d information dans l état où ils se trouvaient lors de la déclaration ou répudiation de la compta Belgique: lois sur la protection des données personnelles: 1992 Aujourd hui 10 % des entreprises sont dans la légalité Au pénal jusque pour rétention d informations interdites ou inutiles.

24 Milieu Hospitalier ETAT DES LIEUX Des technologies de l information en Région Wallonne Organisé par L Agence Wallonne de Télécommunication

25 Enquête AWT milieu hospitalier Problématique Sauvegarde Archivage 50 % des hôpitaux ont des dossiers patients «partiellement» informatisés Archivage centralisé: 66% des hôpitaux ont un archivage centralisé, les autres par services/spécialités. Rétention des données: 90 % des établissements respectent la durée légale de rétention Accessibilité des données: dans 90 % des cas 24h sur 24

26 Enquête AWT milieu hospitalier Problématique Sauvegarde Archivage ( raisons invoquées) 1. manque de surface de stockage (92% des hôpitaux), 2. coût trop élevé (43%), 3. problème d'accessibilité aux dossiers archivés (42%), 4. manque d'effectifs (29%), 5. problème de traçabilité des accès aux dossiers (28%), 6. difficultés d'adaptation aux nouvelles technologies (25%), 7. prescrits légaux trop contraignants (21%), 8. problèmes de coordination des archives provenant de divers sites (21%), 9. erreurs de classement (21%), 10. problèmes de coordination des divers types d'archives (18%), 11. manque d'intérêt du corps médical ou de la direction (4%).

27 Enquête AWT milieu hospitalier Problématique Sécurité informatique 75% des établissements déclarent avoir subi un problème de sécurité informatique durant les 12 derniers mois En établissements multi-sites on monte à 94 %

28 Enquête AWT milieu hospitalier Problématique Sécurité informatique (Types) Virus ( 68 % hôpitaux, 80% hôpitaux multisites Accidents, pannes, incendies, alimentation (29%) Problèmes liés aux s ( 18%) Infractions à la protection des données en interne (4%) Attaques externes ( intrusion informatique, modif. Fichiers, MdP ) (4%)

29 Enquête AWT milieu hospitalier Freins à la Sécurisation informatique Coût trop élevé des solutions sécurisées (65%) Complexité technique (54%) Manque d informations et de connaissances (23%) Low priority (12%) Inadéquation ou manque de fiabilité de l offre en la matière (4%)

30 Obligations légales Rétention des informations 30 ans (ar 3/5/99)

31 Disaster recovery plan Reprise sur sinistre: Déterminer tous les processus clefs Déterminer les ressources Informatiques ou non permettant le redémarrage Gérer en détail la relation client et les processus liés Faire l inventaire des données critiques et de leur localisation!

32 Disaster recovery plan Gérer le Knowledge management ( le capital intelligence d entreprise) Prévoir le changement: ( tester de manière régulière le plan et le faire évoluer)

33 Business continuity plan: Englobe: Moyens informatiques Logistiques Humains Processus vitaux de l activité Sauvegarde de la connaissance d entreprise

34 Gains Pérénité de l entreprise Connaissance de l entreprise! Capitalisation de l expérience et des données Gains financiers substantiels Gains de temps Conformité légale

35 Bénéficiaires Après la phase initiale: La gestion de l entreprise La satisfaction du client La réduction du stress en interne Organisation plus fluide

36 Conditions de succès Engagement clair de la direction Esprit de communication et de diffusion Transparence dans la démarche