SPF SANTE PUBLIQUE, SECURITE DE LA CHAINE ALIMENTAIRE ET ENVIRONNEMENT. Session d information Conseillers en sécurité 24/02/2012

Dimension: px
Commencer à balayer dès la page:

Download "SPF SANTE PUBLIQUE, SECURITE DE LA CHAINE ALIMENTAIRE ET ENVIRONNEMENT. Session d information Conseillers en sécurité 24/02/2012"

Transcription

1 SPF SANTE PUBLIQUE, SECURITE DE LA CHAINE ALIMENTAIRE ET ENVIRONNEMENT 1 Session d information Conseillers en sécurité 24/02/2012

2 SPF SANTE PUBLIQUE, SECURITE DE LA CHAINE ALIMENTAIRE ET ENVIRONNEMENT 2 Ordre du jour - Introduction - Le conseiller en sécurité : - Feedback profils CS reçus - Explication fonction CS - Formations prévues - - Pause - Sécurité de l information en milieu hospitalier : Par où commencer? - Contexte légal - Exemples réels..9h30..9h40..10h..11h..11h15..12h15

3 SPF SANTE PUBLIQUE, SECURITE DE LA CHAINE ALIMENTAIRE ET ENVIRONNEMENT 1. Bases légales et réglementaires Loi du 15 janvier 1990 instituant la banque-carrefour art. 4 5 Toute autorité publique, personne physique et organisme public ou privé qui a accès aux données d identification des registres Banque-Carrefour ou en obtient la communication désigne, parmi ses membres du personnel ou non, un conseiller en matière de sécurité de l information et de protection de la vie privée L identité de ce conseiller en matière de sécurité de l information et de protection de la vie privée est communiquée à la section sécurité sociale du comité sectoriel de la sécurité sociale et de la santé art er, 8 La section sécurité sociale du comité sectoriel de la sécurité sociale et de la santé est chargée, en vue de la protection de la vie privée, de vérifier si les conseillers en sécurité reçoivent la formation permanente adéquate et travaillent de façon coordonnée ; à défaut, de prendre toutes mesures utiles pour assurer cette formation adéquate ou réaliser la coordination, notamment technique

4 SPF SANTE PUBLIQUE, SECURITE DE LA CHAINE ALIMENTAIRE ET ENVIRONNEMENT 1. Bases légales et réglementaires AR du 23 octobre 1964 fixant les normes générales des hôpitaux Inséré par AR du 16 décembre 1994 Tout hôpital doit, en ce qui concerne le traitement des données à caractère personnel relatives aux patients, en particulier des données médicales, disposer d un règlement relatif à la protection de la vie privée Ce règlement (et toutes les modifications qui y sont apportées) doit être transmis à la Commission pour la supervision et l évaluation des données statistiques qui concernent les activités médicales dans les hôpitaux Cette commission tient les règlements à la disposition de la Commission de la protection de la vie privée Le maître du fichier désigne un conseiller en sécurité chargé de la sécurité de l information; celui-ci conseille le responsable de la gestion journélière sur tous les aspects de la sécurité de l information La mission du conseiller en sécurité peut être précisée par arrêté royal

5 SPF SANTE PUBLIQUE, SECURITE DE LA CHAINE ALIMENTAIRE ET ENVIRONNEMENT 1. Bases légales et réglementaires AR du 12 février 2008 : communication par les hôpitaux de l identité des personnes chargées de la communication des données se rapportant à l établissement Le gestionnaire de chaque hôpital communique au Ministre qui a la santé publique dans ses attributions, l identité et les coordonnées du conseiller en sécurité visé à l annexe de l AR du 23 octobre 1964; toute modification relative aux personnes susmentionnées doit être communiquée dans le mois Protocole Carenet entre O.A. et hôpitaux (19 avril 2001) La surveillance des conditions techniques en matière de mode d enregistrement, de traitement et de conservation des données, ainsi au de l enregistrement et de l octroi de certificats doit être assurée par le conseiller en sécurité Les hôpitaux doivent communiquer à l Administrateur général de l INAMI les nom, prénom, qualité de leursconseillers en sécurité; toute modification intervenant dans ces données doit être communiquée dans les 15 jours.

6 SPF SANTE PUBLIQUE, SECURITE DE LA CHAINE ALIMENTAIRE ET ENVIRONNEMENT 2. Problématique actuelle Décision du Comité sectoriel de la sécurité sociale et de la santé Le 5 juillet 2011, le comité sectoriel de la sécurité sociale et de la santé a décidé que, à partir du 31 mai 2012, les hôpitaux ne pourront plus obtenir la communication des données à caractère personnel s ils ne disposent pas d un conseiller en sécurité de l information et d un plan de sécurité qu ils tiennent à la disposition du comité sectoriel NB : l accès aux données à caractère personnel concerne notamment l identité des patients, les données relatives au MAF et à l assurabilité permettant de déterminer le statut du patient pour l application du tierspayant Suite à cette décision, le comité sectoriel a demandé au SPF Santé publique d envoyer une circulaire aux hôpitaux pour leur rappeler leurs obligations leur faire part de la décision prise par le comité sectoriel le 5 juillet 2011 leur demander de compléter un questionnaire visant à évaluer le degré de formation et de compétences des conseillers en sécurité

7 SPF SANTE PUBLIQUE, SECURITE DE LA CHAINE ALIMENTAIRE ET ENVIRONNEMENT 2. Problématique actuelle Autres constats Le SPF dispose bien d une liste de noms des conseillers en sécurité des hôpitaux (sauf 2 hôpitaux), mais cette liste n est pas à jour : les hôpitaux n ont pas explicitement communiqué les modifications Dans l enquête statistique annuelle, les hôpitaux sont tenus de renseigner chaque année le nom et la formation de leur responsable de la sécurité des données médicales et du responsable de la sécurité des données administratives, mais ne parle pas du conseiller en sécurité La «Commission pour la supervision et l évaluation des données statistiques qui concernent les activités médicales dans les hôpitaux» n existe plus et les hôpitaux ne transmettent plus de mise à jour de leur règlement

8 SPF SANTE PUBLIQUE, SECURITE DE LA CHAINE ALIMENTAIRE ET ENVIRONNEMENT 3. Circulaire aux hôpitaux Circulaire du 9 septembre 2011 Le SPF a effectivement transmis une circulaire aux hôpitaux en date du 9 septembre 2011 pour : rappeler les dispositions légales en matière de conseillers en sécurité faire part de la décision du comité sectoriel demander l identité des conseillers en sécurité et de préciser leur niveau de formation et de compétences pour assurer la fonction Par cette même circulaire, le SPF s est engagé à : coordonner les données récoltées par le SPF, le comité sectoriel de la sécurité sociale et de la santé et l INAMI pour identifier les manquements et les besoins organiser une session d information pour identifier les besoins de formation des conseillers en sécurité et rappeler leurs missions mettre en place un groupe de travail avec des conseillers en sécurité pour déterminer de «bonnes pratiques» en matière de sécurité de l information

9 SPF SANTE PUBLIQUE, SECURITE DE LA CHAINE ALIMENTAIRE ET ENVIRONNEMENT 4. Où en est-on aujourd hui? Réponses des hôpitaux à la circulaire Suite à la circulaire, près de 70% des hôpitaux ont communiqué les informations relatives à l identité, la formation et les domaines de compétences de leur conseiller en sécurité (actuellement, 60 hôpitaux n ont pas répondu!!) Mise en commun des bases de données SPF, INAMI et comité sectoriel Le SPF a attiré l attention des autres instances sur la caractère redondant des exigences et la nécessité d une simplification administrative L INAMI a fait part de son intention de supprimer l obligation (prévue dans l annexe au Protocole Carenet) de communiquer l identité du conseiller en prévention à l administrateur général de l INAMI Sur la base des réponses fourniers par les hôpitaux, le SPF et la banquecarrefour travaillent ensemble à la constitution d une source authentique : une base de données unique qui devra être tenue à jour par les hôpitaux

10 SPF SANTE PUBLIQUE, SECURITE DE LA CHAINE ALIMENTAIRE ET ENVIRONNEMENT 4. Où en est-on aujourd hui? Organisation d une session d information Journée de ce 24 février 2012 préparée en collaboration avec cellule «sécurité des données» de la banque carrefour sur la base des réponses à la circulaire fournies par les hôpitaux afin d identifier les besoins de formation des conseillers en sécurité des hôpitaux et d élaborer un programme de formation adapté Groupe de travail de conseillers en sécurité Sera constitué sur la base de l expertise présente au sein du secteur Missions de soutien aux hôpitaux pour rencontrer leurs obligations, par ex. : identification et diffusion de bonnes pratiques définition d une description de fonction des conseillers en sécurité réappropriation de la norme ISO pour le secteur hospitalier belge définition de normes de référence

11 SPF SANTE PUBLIQUE, SECURITE DE LA CHAINE ALIMENTAIRE ET ENVIRONNEMENT 5. Au programme de la session d information Evaluation de la situation du secteur sur la base des informations transmises par les hôpitaux Fonction et rôles du conseiller en sécurité dans les différents environnement Proposition d offre de formation, souple et modulaire Spécificités du secteur de la santé et contraintes légales Outils d aide pour les conseillers en sécurité

12 Le conseiller en sécurité Un métier Une fonction Un rôle dans une organisation Michel Brouyère Conseiller en sécurité a.d. Chaussée Saint Pierre, 375, Sint-Pieterssteenweg B-1040 Bruxelles, Brussel Website ehealth-platform: https://www.ehealth.fgov.be

13 Agenda de l exposé Introduction Sécurité les risques augmentent!!! Fonction du conseiller Rôle du conseiller en sécurité de l'information Autres fonctions impliquées dans l organisation Processus de désignation et suivi Groupe de travail Contenu du cours sécurité de l information Examen des modules 24/02/

14 Des fichiers informatiques de la N-VA dérobés A la section anversoise de la N-VA, des fichiers informatiques confidentiels du parti ont été volés. Il s agit de projets de textes pour le congrès du 21 avril, ainsi que de listes de membres. Les initiés parlent déjà d espionnage politique. Awareness 24/02/

15 Fonction (extrait de la lettre du Ministère) Le conseiller en sécurité conseille le responsable de la gestion journalière au sujet de tous les aspects de la sécurité de l'information. Ceci implique une mission d avis, de stimulation, de documentation et de contrôle le conseiller en sécurité promeut le respect des règles de sécurité imposées par une disposition légale ou règlementaire ou en vertu d une telle disposition, ainsi que l adoption, par les personnes employées dans l hôpital, d un comportement favorisant la sécurité. 24/02/

16 Fonction (extrait de la lettre du Ministère) Le conseiller en sécurité travaille en étroite collaboration avec les services qui requièrent, ou peuvent requérir, son intervention, en particulier avec le service informatique et le service de sécurité d hygiène et d embellissement des lieux de travail de l hôpital. Le conseiller en sécurité doit disposer d une connaissance suffisante de la structure informatique de l hôpital ainsi que de la sécurité de l information. Il doit en permanence tenir cette connaissance à jour. 24/02/

17 Fonction (extrait de la lettre du Ministère) Le conseiller en sécurité rédige un projet de plan de sécurité pour une certaine durée, à l attention du responsable de la gestion journalière, en spécifiant sur base annuelle les moyens nécessaires à la réalisation du plan. une mission à 40% apparaît être le minimum 24/02/

18 Conseiller en sécurité de l information (métier) Interprétation de la réglementation en matière de sécurité de l'information sur mesure de l'organisation Proposer une stratégie de sécurisation Prendre des initiatives autour de la sécurité de l'information Coordonner des activités autour de la sécurité de l'information Gestionnaire de "information security management system" (ISMS) Gestionnaire de la politique pour la sécurité de l'information (ISP) Donner des conseils en matière de sécurité Établir une collaboration entre les organisations interne et externe Organiser des trainings de conscientisation en matière de sécurité à tous les niveaux de l'organisation Inspirateur de la "Plateforme pour la sécurité de l'information" 24/02/

19 Conseiller en sécurité de l information (métier) Préparer/proposer un budget annuel pour la sécurité de l'information Identifier les risques de sécurité et les mettre en relief Accompagnement interne, recherche, audit Préparer des audits externes indépendants de sécurité de l'information et suivre les recommandations Tâches spécifiques de la Sécurité sociale Suivi des normes minimales Questionnaire annuel Planning Recherche d'infractions possibles à la sécurité en matière de confidentialité, d'intégrité, d'autorisation,... à la demande de la Direction, du tribunal,... sur la base de procédures approuvées Suivi de l'évolution des menaces, des contre-mesures, des systèmes,... 24/02/

20 Plateforme pour la sécurité de l information Déléguer des responsabilités Offrir un soutien au management lors du processus de sécurisation Développer des objectifs, des stratégies et des directives de sécurité Évaluer des rapports de sécurité et contrôler dans quelle mesure de l'information importante est exposée ainsi que son impact business Définir le statut des différentes initiatives de sécurité Évaluer les incidents de sécurité importants Approuver toutes les modifications apportées à la politique de sécurité IT 24/02/

21 Rôle de la direction Un soutien clair et un comportement exemplaire de la direction est nécessaire pour pouvoir conduire la sécurité de l'information 24/02/

22 Incident Response Team Gestion en cas d'incident grave Estimation de la situation Limitation des dommages Assurance de la continuité Rétablissement de la situation normale Actions d'amélioration 24/02/

23 Autres fonctions impliquées Responsable systèmes Service achats Service juridique Project manager Développement Production 24/02/

24 Processus de désignation & accompagnement Envoi de la candidature par l hôpital Examen de la candidature par le comité sectoriel Approbation du conseiller Mise en place des formations Calendrier 24/02/

25 Situation fin février Une centaine d hôpitaux ont soumis leur candidature Formation prévisible sur base des CV: 40 % des candidats français néerlandais Informatique 18,66% 32,26% Informatique médicale 47,62% 61,54% Soins de santé 49,21% 45,09% Sécurité de l information 38,55% 39,13% Quelques formations ont été données dans le domaine médical 24/02/

26 Groupe de travail Constitution prochaine d un groupe de travail, regroupant les conseillers en sécurité des hôpitaux, en vue de déterminer, après approbation par la section santé du comité sectoriel de la sécurité sociale et de la santé, les bonnes pratiques en matière de sécurité de l information Appel à candidats 24/02/

27 Objectifs du groupe de travail Approfondissement du cadre légal en sécurité dans le domaine de la santé Mise en place de normes minimales Définition de polices de sécurité pour le domaine ehealth Gestion des utilisateurs; Serveurs; Cloud computing; Wifi policies ; Classification des données; Incidents de sécurité. 24/02/

28 Les formations proposées Formation modulaire Module 1 : les bases de l informatique Module 2 : informatique médicale (combiné avec 1) - 2 jours Module 3 : les soins de santé : aspects légaux & cas pratique - 1 jour Module 4 : Sécurité de l information - 5 jours Planning 24/02/

29 Sécurité de l information (contenu) Cours basé sur ISO Intègre des exercices et cas pratiques Les différents modules: 1. Méthodologie 2. Organisation de la sécurité 3. Gestion des ressources de l entreprise (asset management) 4. Sécurité liée au personnel 5. Sécurité physique et environnement 6. Sécurité liée au développement de projet 7. Gestion opérationnelle 8. Sécurité des accès logiques 9. Gestion des incidents 10. Continuité 11. Conformité et contrôle 24/02/

30 Module 1: méthodologie Approche (ISO 2700X) Mise en place d un ISMS et d une politique de sécurité de l'information (ISP) Choix d une méthode d analyse de risque adaptée Eléments pratiques 24/02/

31 Objectif: offre intégrale L'information security management couvre tous les aspects de sécurité (humain logique physique) Vue générale sur tous les risques de sécurité dans l'organisation Vue générale sur : Tout ce qui a été fait Tout ce qui doit être amélioré Sur tous les risques acceptés 24/02/

32 Objectif: offre intégrale 24/02/

33 Module 2 : organisation Objectif: mise en place d'un service (d'une plate forme) pour gérer les risques liés à la sécurité de l'information Analyse des responsabilités Définir les rôles de chacun: RACI matrice (direction, département sécurité, développeurs, fournisseurs etc.) Implication dans le recrutement (contrat de travail) Mise en place d une cellule de gestion des incidents Mise en place d un groupe de sécurité ISMS et l ISP processus de mise en place et de suivi 24/02/

34 Module 3 : gestion des ressources de l entreprise Examen des ressources de l entreprise Alignement sur l information security policy Inventaire des valeurs et des moyens y compris humains Classification des données Mesures de sécurité 24/02/

35 Information Security Policy (ISP) La gestion des ressources a pour objet le maintien d'une protection adéquate de ces ressources. Dans le contexte de ehealth, des données confidentielles sont manipulées. La manipulation de ces données est soumise à une législation spécifique, entre autres en rapport avec la vie privée, qui inclut la législation des données médicales. Les ressources doivent être inventoriées et classifiées (également pour la gestion de la continuité). Les données sont traitées en accord avec leur classification. 24/02/

36 Ressources de l entreprise Moyens de protection Environnement physique par localisation Environnement : air conditionné, générateur etc Ressources humaines par rôles responsabilités fonctions Documentation classifiée par degré de sensibilité Les ressources médicales Questions : que protéger? Quelles informations et sources d informations sont critiques? 24/02/

37 Software Ressources de l entreprise Operating systems, Applications Database Par fournisseurs, types Réseaux VLANs, switches, routers, hubs Communication PBX, laser links, fax, modems 24/02/

38 Mesures Désigner des propriétaires Attribuer une classification initiale et la revoir régulièrement Classifier les données Autorité pour l'approbation des demandes d'accès et des modalités d'utilisation Rôle entre autres du comité sectoriel Critères d'accès Authentification / autorisation / chiffrement / irréfutabilité Mesures de sécurité techniques Stockage de données Communication de données Supprimer des données Archiver 24/02/2012 Attention à l'impression et au papier! 38 38

39 Module 4 : sécurisation relative au personnel But: prévenir tout accès non autorisé et dommage à la propriété (information et matériel) d'une institution. Confidentialité Intégrité Disponibilité Limitation des risques à la suite d'erreurs humaines, de vol, de fraude ou d'un usage inapproprié / abus Conscience des menaces et risques concernant la sécurité de l'information Coupler la conscience à la responsabilité Voir la partie consacrée à l'organisation Formation et moyens pour pouvoir respecter l'isp dans le cadre de leur mission... 24/02/

40 Matière examinée Risque personnel pour le collaborateur Menaces et faiblesses Exploitation des faiblesses Sécurisation par l'utilisateur final Environnement physique Authentification Messagerie électronique Surf Social engineering Les politiques de sécurité (accès internet, mot de passe, usage du mail,etc ) 24/02/

41 Module 5 : sécurité physique But de la sécurité physique Répartir la sécurité physique en zones Contrôle physique des accès Sécurisation de différents types de locaux Protection contre des menaces externes Travailler dans des zones sécurisées Accès public et livraisons 24/02/

42 Module 6 : sécurisation des projets Objectif Les systèmes / applications doivent être sécurisés depuis l'architecture à l'implémentation Les Malware et risques Développement de systèmes Sécurisation technique Regard sur toutes les couches OSI 24/02/

43 Scope et mise en place Le soutien de la sécurisation s'impose depuis le début Lorsque la sécurité est ajoutée par la suite, cela augmente considérablement la complexité Les attaques sont de nature variée entre autres : Malware Exploitation des faiblesses de la sécurisation de l'infrastructure Sécurité : à prévoir dans le cycle de vie complet et dans toutes les facettes du système / de l'application Concept Architecture Conception Développement Tests Déploiement Gestion Les systèmes / applications doivent être sécurisés depuis l'architecture à l'implémentation 24/02/

44 Module 7 : gestion opérationnelle Une gestion correcte de l'environnement ICT est d'une importance capitale afin de garantir la sécurité de l'information. Approche structurée Les processus importants en sécurité de l information ITIL(Information Technology Infrastructure Library), CobiT(Control Objectives for Information and related Technology) 24/02/

45 Processus Information Technology Infrastructure Library (ITIL) Cadre de référence pour la mise en place des processus de gestion dans une organisation ICT ITIL n'est pas une méthode ou un modèle mais une série de best practices Service Delivery. - Capacity Management - Availability Management - IT Service Continuity Management (ITSCM) - Service Level Management - Security Management Service Support. - Change Management - Release Management - Problem Management - Incident Management - Configuration Management - Service Desk 24/02/

46 Processus Information Technology Infrastructure Library (ITIL) Planning to Implement Service Management. Security Management. ICT Infrastructure Management. - Network service Management - Operations Management - Management of local processors - Computer installation and acceptance - Systems Management The Business Perspective. Application Management. Software Asset Management 24/02/

47 Module 8 : sécurité des accès Confidentialité, intégrité, authenticité - définitions Introduction à la cryptographie Authentification Moyens d'identification Autorisations Examen d exemples, cas pratiques Législation et logging 24/02/

48 Module 9 : gestion des incidents Mise en place d une cellule d incident management Examen des moyens à mettre place Identification des incidents graves Plan catastrophe et continuité 24/02/

49 Nature des incidents : Incident response team quotidiens (ex. scanning) à très graves (menacent la continuité des activités) La gestion des incidents quotidiens et mineurs doit être assurée dans la "gestion opérationnelle" Incident response : ensemble de mesures décrites et éprouvées visant à faire face à un incident important Incident important : la continuité des activités de l'entreprise est menacée 24/02/

50 Lien avec le DRP But : description des processus et procédures lorsqu'un incident important se produit sur la base de scénarios d'incidents techniques importants - ex. perte d'un data center, panne électrique en tenant compte de l'importance relative des processus ICT pour définir des priorités prenez en compte les différentes phases dans l'approche d'incidents graves coordination par l'irt 24/02/

51 24/02/2012 Examen des incidents graves Phase de reconnaissance Rassemblez l'information Évitez toute panique Évaluez la situation Reconnaissez la gravité de la situation Prenez les mesures qui s'imposent sur la base des processus et procédures Activez l'irt Phase de réaction Organisez régulièrement des réunions de concertation avec l'irt Continuez à rassembler des informations et évaluez la situation (changeante) Activez les mesures afin de limiter l'impact de l'incident - stabilisation de la situation Neutralisez la cause de l'incident Prenez les mesures qui s'imposent sur la base des processus et procédures afin de garantir la continuité Conservez les preuves - recherche forenscique Organisez la communication Phase de rétablissement Retour à la situation normale sur la base des processus et procédures Continuez à communiquer Leçons et actions d'amélioration 51

52 Evaluation de la situation L'incident est-il passager ou permanent? Quelles moyens d'exploitation importants ont été touchés? personnel processus business infrastructure, systèmes La continuité (d'une partie) des activités de l'entreprise estelle menacée? L'incident est-il dû à des modifications / interventions récentes? 24/02/

53 Module 10 : continuité Introduction Business continuity plan (BCP) ICT contingency plan (ICP) Disaster recovery plan (DRP) Tests Leçons retenues 24/02/

54 Gestion de la continuité Objectif : possibilité de réaction en cas de perturbation des activités de l'organisation et protection des processus business critiques en cas d'incidents lourds Responsabilité importante pour la continuité de la prestation de services de santé publique en Belgique Processus documenté Basé sur des analyses des risques Mesures préventives et correctives Processus et plan basé sur des exercices 24/02/

55 Module 11 : conformité et contrôle Contrôle du respect des exigences légales et contractuelles en matière de sécurité Évaluation de la sécurité de l'information sur la base de la gestion Accompagnement quotidien Contrôle interne Audit interne Audit externe 24/02/

56 24/02/

57 You!

58 SPF SANTE PUBLIQUE, SECURITE DE LA CHAINE ALIMENTAIRE ET ENVIRONNEMENT 58 Pause 15minutes

59 Sécuritéde l information en milieu hospitalier Par oùcommencer? Dr Ir Etienne Stanus Conseiller en sécurité de l information Institut Jules Bordet

60 Droit du patient: qualitédes soins Capacité des services de santé destinés aux individus et aux populations d'augmenter la probabilitéd'atteindre les résultats de santésouhaités, en conformitéavec les connaissancesprofessionnelles du moment". Avoir la bonne information au bon endroit au bon moment Etienne Stanus Institut Jules Bordet 60

61 Quelques mots importants Service de santé: impliquer toutes les disciplines connaissances: implique les systèmes d informations sous-jacents Probabilité: sous-entend obligation de moyens / résultats selon le gestion du risque, des événements indésirables, Conformité, moment: gouvernance, amélioration continue, audits Etienne Stanus Institut Jules Bordet 61

62 Plan de l exposéen forme de Cycle de Shewhart / Roue de Deming: Plan: Quelques définitions Un début d analyse de risque DO Contexte juridique, Contexte normatif Documents existants Systèmes PDCA similaires Un exemple d outil existant Check Autoévaluation Act Mise en place d un Système de Management de la Sécuritéde l Information Quelques méthodes d analyse de risque Quelques points sensibles Etienne Stanus Institut Jules Bordet 62

63 Etienne Stanus Institut Jules Bordet 63

64 Système d information Un S.I est un réseau complexe de relations structurées oùinterviennent hommes, machines et procédures qui a pour but d engendrer des flux ordonnés d informations pertinentes provenant de différentes sources et destinées à servir de base aux décisions. Source: Hugues Angot (Prof. Ichec, ) Etienne Stanus Institut Jules Bordet 64

65 Sécuriséles SI => notion de risque Sens Commun: Risque: contingence indésirable, appréhendée, relativement anodine et peu probable. Danger: hautement probable, suppose la possibilité d'un dommage grave, notamment des blessures ou la mort. Définition ISO 31000:2009 le risque est l effet de l incertitude sur les objectifs Définition de l ingénieur: le risque est la combinaison de probabilité d évènement(s) et de sa (leurs) conséquence(s) Etienne Stanus Institut Jules Bordet 65

66 Démarche générale Évaluer les risques et leur criticité quels risques, quelles menaces, quel scenarii sur quelles données et quelle activité avec quelles conséquences Rechercher et sélectionner les parades : que va-t-on sécuriser, quand et comment Avec quelles ressources (temps, compétences, ) Mettre en œuvre les protections Prévention, réduction, acceptation, transfert du risque vérifier leur efficacité. Etienne Stanus Institut Jules Bordet 66

67 Diagramme d Ishikawa Ressources humaines Règlementation externe Sécurité physique et environnemen t Contrôle d accès logique Développement et maintenance. Changement Gestion de la continuité Procédures internes Effets positifs ou négatifs Inventaire et classification Ressources Règlementation interne Etienne Stanus Institut Jules Bordet 67

68 De la loi. et de l esprit des lois Etienne Stanus Institut Jules Bordet 68

69 Quelques lois et règlements Celles citées dans la circulaire du 9/9/2011 Loi coordonnée sur les hôpitaux Lois relatives à la Banque-carrefour Protocole Carenet Et quelques autres. Etienne Stanus Institut Jules Bordet 69

70 Droits du patient (loi 22/8/2002) Les droits du patient comprennent : La qualité du service Le choix du praticien Le droit à l'information Le consentement La protection de la vie privée Un dossier de patient soigneusement tenu àjour et conservé en lieu sûr. Le recours à la médiation Etienne Stanus Institut Jules Bordet 70

71 Lois et directive sur la protection de la vie privée Données à caractère personnel Déclaration préalable àla collecte de ces données Traitement licite, justifié, proportionnel Objectif défini Qualité des données Données sensibles: race, santé, judiciaire, opinions politiques et syndicales, convictions philosophiques, préférences sexuelles. Droit de la personne concernée Restrictions d exportation de ces données Etienne Stanus Institut Jules Bordet 71

72 Proposition de révision de la directive européenne (26/1/2012) Consentement en termes «clairs» Information sur le stockage des données, comment àquelles fins et pour quelle durée. Désignation d un déléguéàla protection des données si traitement de données à risque au regard des droits et libertés des personnes physiques Droit àl'oubli numérique: obligation de suppression des données sauf motif légitime. Obligation de notification des violations de sécurité àl autoriténationale àla personne concernée Portabilité des données Etienne Stanus Institut Jules Bordet 72

73 Conventions collectives de travail CCT 81: Convention collective de travail n 81 du 26 avril 2002 relative a la protection de la vie privée des travailleurs a l'égard du contrôle des données de communication électroniques en réseau CCT 68: Convention collective de travail n 68 du 16 juin 1998 relative a la protection de la vie privée des travailleurs a l'égard de la surveillance par cameras sur le lieu de travail Etienne Stanus Institut Jules Bordet 73

74 Recherche / Ethique Arrêté Royal instituant les CEM ou Comité d'ethique Médicaux Hospitaliers (12 août 1994) Loi relative àla recherche sur les embryons in vitro (5/2003) Loi relative à l'expérimentation humaine (5/2004) Loi relative àl'obtention et àl'utilisation de matériel corporel humain destinéàdes applications médicales humaines ou àdes fins de recherche scientifique (décembre 2008) Etienne Stanus Institut Jules Bordet 74

75 Secret professionnel et devoir de discrétion Qui est concerné? Art. 458 du Code pénal. Tous ceux qui, par état ou par profession, sont dépositaires des secrets qu on leur confie. Art. 70 du Code de déontologie médicale. Le médecin veillera àfaire respecter par ses auxiliaires les impératifs du secret médical Personnel sui generis: obligation de confidentialité, relative àtout ce qu ils pourraient apprendre sur l identitéet/ou l état du patient durant leur travail Etienne Stanus Institut Jules Bordet 75

76 Sanction Dans quelle mesure? Plaintes: Loi sur la criminalitéinformatique 28/11/2000 faux en informatique fraude Hacking sabotage de données informatiques modification du Code d'instruction criminelle Secret de la correspondance code pénal art. 314 bis Secret des communications loi du 21 mars 1991 Loi vie privée chap VIII, BCSS chap VII Etienne Stanus Institut Jules Bordet 76

77 Normes/ guides de bonnes pratiques Désignent un état habituellement répandu ou moyen considéréle plus souvent comme une règle à suivre. N ont pas valeur contraignante sauf àêtre inscrite explicitement dans la loi Liens utiles Etienne Stanus Institut Jules Bordet 77

78 Normes ISO/CEI 27%%% ISO/CEI : Introduction et vue globale de la famille 27xxx, glossaire des termes (5/2009) ISO/CEI : Norme de certification des SMSI (2005) ISO/CEI : Guide des bonnes pratiques en SMSI (BS 7799, 2005, renumérotation 2007) ISO/CEI : Guide d'implémentation d'un SMSI (3/2010) ISO/CEI : Norme de mesures de management de la sécuritéde l'information (12/7/2009) ISO/CEI : Norme de gestion de risques liés à la sécurité de l'information (5/2011) ISO/CEI : Guide de processus de certification et d'enregistrement (1/12/2011) ISO/CEI : Guide directeur pour l'audit des SMSI (14/11/2011) ISO/CEI : Lignes directrices de vérification en matière de mesures de sécurité (15/10/2011) ISO/CEI : Guide pour l'implémentation de ISO/CEI dans l'industrie des télécommunications (publié le 15/12/2008) ISO/CEI : Guide pour l'implémentation de ISO dans l'industrie de la santé(12 /6/2008) Disponibles sur Etienne Stanus Institut Jules Bordet 78

79 Food and Drug Administration Chapter 21 part 11: «regulations that provide criteria for acceptance by FDA, under certain circumstances of: Subpart B: electronic records, Subpart C: Electronic signatures, and handwritten signatures executed to electronic records as equivalent to paper records handwritten signatures executed on paper Etienne Stanus Institut Jules Bordet 79

80 FDA/HIPAA quelques liens intéressants Site general: FDA guidance for industry: Computerized systems in clinical trials: m htm FDA guidance: General principles of software validation: gulationandguidance/guidancedocuments/ucm p df Health Insurance Portability and Accountability Act Etienne Stanus Institut Jules Bordet 80

81 Où trouver l information de base? ou qu existe-t-il déjàdans l institution / sur le net? Etienne Stanus Institut Jules Bordet 81

82 Sources utiles Direction(s) Comité d éthique Départements (tous! ) Règlement vie privée: Annexe A, loi hôpitaux 1994 Règlement d ordre intérieur, procédures écrites Contrats d achat, de (télé)maintenance, d embauche Gestionnaires de risques / qualité Etienne Stanus Institut Jules Bordet 82

83 Système qualité/ gestion des risques Tout cela existe déjà probablement chez vous! Laboratoire ISO 17025/15189 Manuel de Qualité Formaliser les règles d organisation et les procédures Consolidation de la connaissance Coordinateur Qualité de mener àbien l établissement du manuel de qualité suivre son application et son évolution. Responsabilité des parties Cellule / projet qualité ISO 9000 Cellule/projet sécuritédu patient OMS Service interne/externe de prévention et protection Note: Evolution des normes 2011: draft 15189: Ajout d un volet très «sécuritédu système d information» Etienne Stanus Institut Jules Bordet 83

84 Information Technology Infrastructure V2 Soutien des services (Service Support) Library Fourniture des services (Service Delivery) Gestion des infrastructures informatiques (ICT infrastructure management) Gestion de la sécurité(security management) Point de vue métier (The business perspective) Gestion des applications (Application management) Gestion des actifs logiciels (Software asset management) Planification pour la mise en œuvre des services (Planning to implement service management)) V3 Stratégie des services (Service Strategy) Conception des services (Service Design) Transition des services (Service Transition) Exploitation des services (Service Operation) Amélioration continue des services (Continuous Service Improvement) Le «Service Support Repository»et les «logs d exploitation»sont des mines d informations importantes, mais à trier Etienne Stanus Institut Jules Bordet 84

85 GMSIH / ANAP Groupement pour la modernisation du système d information hospitalier ( ) Missions La mise en cohérence des systèmes d information utilisés par les établissements de santé, la contribution àleur interopérabilitéet leur ouverture, tout en aidant à développer leur sécurité. Favoriser l échange de l information dans les réseaux de santéen vue de l amélioration de la coordination des soins. Délivrables Publication de référentiel; Accompagnement concret dans les établissements ; Représentant dans les organismes de normalisation ; Intégréàl'Agence Nationale d'appui àla Performance des établissements sanitaires et médicosociaux (ANAP) Etienne Stanus Institut Jules Bordet 85

86 _securite_06_2004.zip Etienne Stanus Institut Jules Bordet 86

87 Première auto-évaluation concrète Etienne Stanus Institut Jules Bordet 87

88 Outil en Excel Etienne Stanus Institut Jules Bordet 88

89 Etienne Stanus Institut Jules Bordet 89

90 Etienne Stanus Institut Jules Bordet 90

91 Note Les données présentées ne sont pas représentatives d une entitéparticulière Toute ressemblance avec des personnes (morales) ou des événements existants ou ayant existé est fortuite Etienne Stanus Institut Jules Bordet 91

92 Note Les données présentées ne sont pas représentatives d une entitéparticulière Toute ressemblance avec des personnes (morales) ou des événements existants ou ayant existé est fortuite Etienne Stanus Institut Jules Bordet 92

93 Note Les données présentées ne sont pas représentatives d une entité particulière Toute ressemblance avec des personnes (morales) ou des événements existants ou ayant existé est fortuite Etienne Stanus Institut Jules Bordet 93

94 Note Les données présentées ne sont pas représentatives d une entité particulière Toute ressemblance avec des personnes (morales) ou des événements existants ou ayant existé est fortuite Etienne Stanus Institut Jules Bordet 94

95 Note Ne pas mettre la charrue avant les bœufs Etienne Stanus Institut Jules Bordet 95

96 Etienne Stanus Institut Jules Bordet 96

97 Et maintenant? SMSI: Quelques points sensibles Etienne Stanus Institut Jules Bordet 97

98 Mise en place d un SMSI Pour bien commencer Créer / participer «Forum de la sécuritéde l information» Groupes de travail Confidentialité Droits d accès au système d information Dossier / droits patient Bio banques. Etienne Stanus Institut Jules Bordet 98

99 Politique de sécurité cadre GMSIH: Guide méthodologique Politique de Sécurité cadre Politique d autorisation Fiche de poste du conseiller en sécurité de l information KSZ-BCSS: Documents PDF disponibles gratuitement sur Normes minimales de sécurités à respecter par les institutions de sécurité sociale Code éthique de bonne conduite des conseillers en sécurité Information Security Management System Etienne Stanus Institut Jules Bordet 99

100 Etablissement de périmètres Evolution des systèmes d information de santé Système Diogène HUG Prof Jean-Raoul Scherrer, MD Source: ge002.jpg G% pdf Etienne Stanus Institut Jules Bordet 100

101 Analyse de risque Quelques méthodes et outils parmi d autres EBIOS -Expression des Besoins et Identification des Objectifs de Sécurité Outil: EBIOS 2010 Licence Cecill Source: Application des politiques cd sécurité GMSIH MEHARI Méthode harmonisée d'analyse des risques n/ouvrages/type.asp?id=methodes Outil: MEHARI 2010 Licence GNU pour Excel, OpenOffice Autres méthodes: Etienne Stanus Institut Jules Bordet 101

102 Plan de Continuitéd'Activité ou plan de Secours Informatique? Continuité: de quoi? des soins => impératif des activités de support des activités de recherche Cohérence et implication dans et avec le plan «Mise en Alerte Service Hospitalier» Exercices et maintenance Etienne Stanus Institut Jules Bordet 102

103 Plan de Continuitéd'Activité Plan de Secours Informatique Prendre en compte Les possibilités de repli des utilisateurs, Les mesures de contournement pour les métiers le risque sanitaire épidémie, pandémie, risque pour le personnel la gestion de crise (cellules de crise...), la communication de crise, les mesures de contournement pour les métiers, les fonctions transverses (RH, logistique, etc.). Etienne Stanus Institut Jules Bordet 103

104 Transferts / archivages de données Restrictions aux transferts de données en dehors de l UE Vie privée (art L. vie privée 8/12/1992) Factures électroniques (art 60 3 CTVA) Obligation spécifique d archiver dans des lieux déterminés / en Belgique Dossier médical (art 15, 17 et 70 L.C. Hôpitaux 7/8/87) Documents sociaux (art. 22 AR 8/8/1980) Documents revenus imposables (art 315 CIR) Etienne Stanus Institut Jules Bordet 104

105 Classification Actifs Pas toujours simple entre l officiel, l officieux, les prêts, le matériel personnel, la recherche, Information Attention au vocabulaire: Hôpitaux: information publique, comptable/financière, médicoadministrative, médicale, VIP, sensible BCSS: documents Policy Dataclassification, Policy Datasecurity SécuritéFr: Non classifiée + restreint, confidentielle, secret, très secret, «archives incommunicables» SécuritéGb: Not protectively marked + Restricted, Confidential, Secret, Top Secret. SécuritéUSA: Confidential, Secret, Top Secret. Sensible: peut affecter défavorablement la vie privée Etienne Stanus Institut Jules Bordet 105

106 Archivage Règles transversales Droit des tiers Propriété intellectuelle Vie privée Signature électronique Preuve Force probante des documents électroniques en matière de soins de santé Règles spécifiques Par secteur: GMP, pharma, Par type de document: facture, dossier médical Durée de conservation Etienne Stanus Institut Jules Bordet 106

107 Politique d accès, quelques éléments de réflexion (qui, quand, comment?) Les médecins chargés de la mise au point du diagnostic et du traitement des patients; Les étudiants en médecine affectés officiellement à l'institution Les infirmiers, secrétaires médicales, assistants sociaux et autres collaborateurs paramédicaux qui partagent le secret médical, vu leurs fonctions propres relatives aux soins; Les administratifs hospitaliers chargés de la gestion des informations concernant les patients, du fichier d'identification et du suividu séjour des patients, en vue de la facturation et du contentieux; Les chercheurs dans le cadre d'un protocole de recherche clinique ayant fait l'objet d'un avis positif du Comité d'éthique Le personnel informatique chargédu traitement informatisédes données des patients, dans le cadre de l'informatique hospitalière. Le personnel administratif Le conseiller en sécurité de l information Autre? Etienne Stanus Institut Jules Bordet 107

108 Politique d accès, quelques éléments de réflexion (qui, quand, comment?) Le patient concerné; Les médecins traitants ou les praticiens de l'art de guérir désignés par le patient; Les médecins-conseils des organismes assureurs; Les organismes chargés de la gestion des dons d'organes; S'il y a lieu, et dans les cas définis par la loi, Les registres ( cancer, ) les autorités judiciaires; l'inami (données anonymisées); le Ministère de la Santé publique (données anonymisées). Sous traitants Etienne Stanus Institut Jules Bordet 108

109 Confidentialité Patient = personne en situation de fragilité 1 patient hospitalisé 75 personnes ont accès aux informations de santé (1) Cf.: d_ethiq ue_secret_professionnel_brochure_a5_print. pdf (1) Source: Caizergues C., Cianfarani F., Le secret médical, La revue du praticien, 1998, n 4, p.427 Etienne Stanus Institut Jules Bordet 109

110 Budget Accident ou panne matérielle importante : qui n en a pas eut? Virus: Conficker, Stuxnet, sality.gen, Piratage: Virginia Health Professions Database hacking 2009 : 8,257,378 patient records, 35,548,087 prescriptions dérobées, rançon demandée : 10 million $ foudre, inondations: Tubize, novembre 2010 Etienne Stanus Institut Jules Bordet 110

Les normes minimales de sécurité

Les normes minimales de sécurité Les normes minimales de sécurité Patrick BOCHART Conseiller en sécurité de l information Quai de Willebroeck, 38 B-1000 Bruxelles E-mail: security@ksz-bcss.fgov.be Site web BCSS: www.bcss.fgov.be 11/7/2014

Plus en détail

Comité sectoriel de la sécurité sociale et de la santé Section «Sécurité sociale»

Comité sectoriel de la sécurité sociale et de la santé Section «Sécurité sociale» Comité sectoriel de la sécurité sociale et de la santé Section «Sécurité sociale» CSSS/10/101 AVIS N 10/21 DU 7 SEPTEMBRE 2010 CONCERNANT LA DEMANDE DU MINISTRE DES AFFAIRES SOCIALES RELATIVE AU PROTOCOLE,

Plus en détail

ISMS. Normes Minimales. Version 2015 (ISO 27002:2013) (Information Security Management System)

ISMS. Normes Minimales. Version 2015 (ISO 27002:2013) (Information Security Management System) ISMS Normes Minimales Version 2015 (ISO 27002:2013) Remarque : Ce document intègre les remarques formulées par un groupe de travail auquel ont participé les personnes suivantes: messieurs Houbaille (BCSS),

Plus en détail

Comité sectoriel de la sécurité sociale et de la santé Section «Santé»

Comité sectoriel de la sécurité sociale et de la santé Section «Santé» Comité sectoriel de la sécurité sociale et de la santé Section «Santé» CSSS/11/ DÉLIBÉRATION N 11/66 DU 20 SEPTEMBRE 2011 RELATIVE AU TRAITEMENT DE DONNÉES À CARACTÈRE PERSONNEL RELATIVES À LA SANTÉ PAR

Plus en détail

ISMS. Politique de sécurité de l'information. (Information Security Management System) (Information Security Policy)

ISMS. Politique de sécurité de l'information. (Information Security Management System) (Information Security Policy) ISMS (Information Security Management System) Politique de sécurité de l'information (Information Security Policy) P 1 1 Définition de la sécurité de l'information L'information est une ressource qui,

Plus en détail

Le Workflow comme moteur des projets de conformité

Le Workflow comme moteur des projets de conformité White Paper Le Workflow comme moteur des projets de conformité Présentation Les entreprises sont aujourd'hui soumises aux nouvelles régulations, lois et standards de gouvernance les obligeant à mettre

Plus en détail

données à caractère personnel (ci-après LVP), en particulier l'article 29 ; Avis n 53/2014 du 3 septembre 2014

données à caractère personnel (ci-après LVP), en particulier l'article 29 ; Avis n 53/2014 du 3 septembre 2014 1/12 Avis n 53/2014 du 3 septembre 2014 Objet: Projet d'arrêté du Gouvernement wallon présentant le projet de décret insérant certaines dispositions dans le Code wallon de l'action sociale et de la Santé,

Plus en détail

Comité sectoriel de la sécurité sociale et de la santé Section Santé

Comité sectoriel de la sécurité sociale et de la santé Section Santé Comité sectoriel de la sécurité sociale et de la santé Section Santé CSSSS/14/032 DÉLIBÉRATION N 14/016 DU 18 FÉVRIER 2014 PORTANT SUR LE RÈGLEMENT DU PARTAGE DE DONNÉES DE SANTÉ ENTRE LES SYSTÈMES DE

Plus en détail

Opportunités s de mutualisation ITIL et ISO 27001

Opportunités s de mutualisation ITIL et ISO 27001 Opportunités s de mutualisation ITIL et ISO 27001 Club ISO 27001 Paris,19 avril 2007 Alexandre Fernandez-Toro Rappels sur l ISO l 27001 Norme précisant les exigences pour La

Plus en détail

MV Consulting. ITIL & IS02700x. Club - 27001- Toulouse Sébastien Rabaud Michel Viala. Michel Viala

MV Consulting. ITIL & IS02700x. Club - 27001- Toulouse Sébastien Rabaud Michel Viala. Michel Viala MV Consulting Michel Viala ITIL & IS02700x Club - 27001- Toulouse Sébastien Rabaud Michel Viala ITIL & ISO2700x : Présentation Intervenants Michel VIALA : Consultant ITIL confronté à la prise en compte

Plus en détail

THEORIE ET CAS PRATIQUES

THEORIE ET CAS PRATIQUES THEORIE ET CAS PRATIQUES A DEFINIR 8/28/2012 Option AUDIT 1 INTRODUCTION L informatique : omniprésente et indispensable Développement des S.I. accroissement des risques Le SI = Système Nerveux de l entreprise

Plus en détail

ITIL : Premiers Contacts

ITIL : Premiers Contacts IT Infrastructure Library ITIL : Premiers Contacts ou Comment Optimiser la Fourniture des Services Informatiques Vincent DOUHAIRIE Directeur Associé vincent.douhairie douhairie@synopse. @synopse.fr ITIL

Plus en détail

Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM»

Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM» Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM» -Imed Yazidi- LSTI certified ISO 27001 Lead Implementer 14/02/2013 ENGINEERING PROCUREMENT & PROJECT MANAGEMENT s.a Présentation

Plus en détail

2. Technique d analyse de la demande

2. Technique d analyse de la demande 1. Recevoir et analyser une requête du client 2. Sommaire 1.... Introduction 2.... Technique d analyse de la demande 2.1.... Classification 2.2.... Test 2.3.... Transmission 2.4.... Rapport 1. Introduction

Plus en détail

ISO/CEI 27001:2005 ISMS -Information Security Management System

ISO/CEI 27001:2005 ISMS -Information Security Management System ISO/CEI 27001:2005 ISMS -Information Security Management System Maury-Infosec Conseils en sécurité de l'information ISO/CEI 27001:2005 ISMS La norme ISO/CEI 27001:2005 est issue de la norme BSI 7799-2:2002

Plus en détail

Vu la demande de l'agentschap Binnenlands Bestuur, reçue le 24/02/2012 ;

Vu la demande de l'agentschap Binnenlands Bestuur, reçue le 24/02/2012 ; 1/7 Comité sectoriel du Registre national Délibération RN n 39/2012 du 9 mai 2012 Objet : demande d'autorisation formulée par l'agentschap voor Binnenlands Bestuur (Agence des Affaires intérieures) de

Plus en détail

Politique de sécurité

Politique de sécurité Politique de sécurité 1. Environnement Un CPAS dépend pour son bon fonctionnement d'un ensemble d'éléments: - de son personnel et son savoir-faire (expérience); - de ses informations (données sociales,

Plus en détail

Directive de sécurité sur la sauvegarde des données en ligne

Directive de sécurité sur la sauvegarde des données en ligne Directive de sécurité sur la sauvegarde des données en ligne Entrée en vigueur le 18 juin 2010 Préparé et sous la responsabilité de la Direction des services juridiques Section affaires juridiques Approuvé

Plus en détail

Politique d'utilisation des dispositifs mobiles

Politique d'utilisation des dispositifs mobiles ISMS (Information Security Management System) Politique d'utilisation des dispositifs mobiles Version control please always check if you are using the latest version. Doc. Ref. :isms.0046.politique utililisation

Plus en détail

ISO/CEI 20000-1 NORME INTERNATIONALE. Technologies de l'information Gestion des services Partie 1: Exigences du système de management des services

ISO/CEI 20000-1 NORME INTERNATIONALE. Technologies de l'information Gestion des services Partie 1: Exigences du système de management des services NORME INTERNATIONALE ISO/CEI 20000-1 Deuxième édition 2011-04-15 Technologies de l'information Gestion des services Partie 1: Exigences du système de management des services Information technology Service

Plus en détail

Politique de sécurité de l information

Politique de sécurité de l information 5, Place Ville Marie, bureau 800, Montréal (Québec) H3B 2G2 T. 514 288.3256 1 800 363.4688 Téléc. 514 843.8375 www.cpaquebec.ca Politique de sécurité de l information Émise par la Direction, Gestion des

Plus en détail

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Norme ISO 22301 Système de Management de la Continuité d'activité

Plus en détail

Catalogue de critères pour la reconnaissance de plateformes alternatives. Annexe 4

Catalogue de critères pour la reconnaissance de plateformes alternatives. Annexe 4 Catalogue de critères pour la reconnaissance de plateformes alternatives Annexe 4 Table des matières 1 Objectif et contenu 3 2 Notions 3 2.1 Fournisseur... 3 2.2 Plateforme... 3 3 Exigences relatives à

Plus en détail

Forum Suisse pour le Droit de la Communication. Séminaire du 28 novembre 2008

Forum Suisse pour le Droit de la Communication. Séminaire du 28 novembre 2008 Forum Suisse pour le Droit de la Communication Université de Genève Séminaire du 28 novembre 2008 Devoirs et responsabilités des organes de sociétés en matière de sécurité informatique Wolfgang Straub

Plus en détail

Comité sectoriel de la sécurité sociale et de la santé Section "santé"

Comité sectoriel de la sécurité sociale et de la santé Section santé Comité sectoriel de la sécurité sociale et de la santé Section "santé" CSSSS/12/291 DÉLIBÉRATION N 12/082 DU 18 SEPTEMBRE 2012 RELATIVE À LA COMMUNICATION DE DONNÉES À CARACTÈRE PERSONNEL RELATIVES À LA

Plus en détail

Montrer que la gestion des risques en sécurité de l information est liée au métier

Montrer que la gestion des risques en sécurité de l information est liée au métier Montrer que la gestion des risques en sécurité de l information est liée au métier Missions de l entreprise Risques métier Solutions pragmatiques et adaptées Savoir gérer la différence Adapter à la norme

Plus en détail

Agrément des hébergeurs de données de santé. 1 Questions fréquentes

Agrément des hébergeurs de données de santé. 1 Questions fréquentes Agrément des hébergeurs de données de santé 1 Questions fréquentes QUELS DROITS POUR LES PERSONNES CONCERNEES PAR LES DONNEES DE SANTE HEBERGEES? La loi précise que l'hébergement de données de santé à

Plus en détail

INF4420: Sécurité Informatique

INF4420: Sécurité Informatique INF4420: Pratique de la : Principes de gestion - Cadre légal et déontologique José M. Fernandez D-6428 340-4711 poste 5433 Où sommes-nous? Semaine 1 Intro Semaines 2, 3 et 4 Cryptographie Semaine 6, 7

Plus en détail

Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale»

Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale» Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale» SCSZ/09/042 DELIBERATION N 09/030 DU 5 MAI 2009 RELATIVE A LA COMMUNICATION DE DONNEES A CARACTERE PERSONNEL PAR LA BANQUE

Plus en détail

LES ORIGINES D ITIL Origine gouvernementale britannique 20 ans d existence et d expérience Les organisations gérant le référentiel :

LES ORIGINES D ITIL Origine gouvernementale britannique 20 ans d existence et d expérience Les organisations gérant le référentiel : La méthode ITIL plan Introduction C est quoi ITIL? Utilisation d ITIL Objectifs Les principes d ITIL Domaines couverts par ITIL Les trois versions d ITIL Pourquoi ITIL a-t-il tant de succès Inconvénients

Plus en détail

ISO/CEI 27005 NORME INTERNATIONALE. Technologies de l'information Techniques de sécurité Gestion des risques liés à la sécurité de l'information

ISO/CEI 27005 NORME INTERNATIONALE. Technologies de l'information Techniques de sécurité Gestion des risques liés à la sécurité de l'information NORME INTERNATIONALE ISO/CEI 27005 Deuxième édition 2011-06-01 Technologies de l'information Techniques de sécurité Gestion des risques liés à la sécurité de l'information Information technology Security

Plus en détail

Vu le rapport d auditorat de la Banque-carrefour reçu le 7 mars 2006;

Vu le rapport d auditorat de la Banque-carrefour reçu le 7 mars 2006; CSSS/06/052 1 DELIBERATION N 06/020 DU 18 AVRIL 2006 RELATIVE A LA DEMANDE D ACCES AUX REGISTRES BANQUE CARREFOUR DE LA SECURITE SOCIALE DANS LE CHEF DU SERVICE PUBLIC FEDERAL FINANCES DANS LE CADRE DE

Plus en détail

DDN/RSSI. Engagement éthique et déontologique de l'administrateur systèmes, réseaux et de système d'informations

DDN/RSSI. Engagement éthique et déontologique de l'administrateur systèmes, réseaux et de système d'informations DDN/RSSI Engagement éthique et déontologique de l'administrateur systèmes, réseaux et de système d'informations Page 1 10/03/2015 SOMMAIRE. Article I. Définitions...3 Section I.1 Administrateur...3 Section

Plus en détail

Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale»

Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale» Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale» CSSS/08/061 DÉLIBÉRATION N 08/019 DU 8 AVRIL 2008 RELATIVE À LA COMMUNICATION DE CERTAINES DONNÉES À CARACTÈRE PERSONNEL

Plus en détail

ISO 17799 la norme de la sécurité de l'information

ISO 17799 la norme de la sécurité de l'information ISO 17799 la norme de la sécurité de l'information Maury Infosec Conseils en sécurité de l'information La sécurité de l information L information constitue le capital intellectuel de chaque organisation.

Plus en détail

Mini-Rapport d Audit basé sur la méthode d analyse MEHARI

Mini-Rapport d Audit basé sur la méthode d analyse MEHARI Projet Réseau Sécurité Mini-Rapport d Audit basé sur la méthode d analyse MEHARI Equipe Analyse 15/12/07 Sommaire II/ Présentation de la méthode MEHARI...4 III/ Définition et classification des éléments

Plus en détail

L analyse de risques avec MEHARI

L analyse de risques avec MEHARI L analyse de risques avec MEHARI Conférence Clusif : MEHARI 2010 Marc Touboul - marc.touboul@bull.net Responsable du Pôle Conseil Organisation SSI Bull, 2010 agenda Bull Pôle Conseil SSI Un exemple de

Plus en détail

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (2ième édition)

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (2ième édition) Généralités sur la sécurité informatique 1. Introduction 13 2. Les domaines et normes associés 16 2.1 Les bonnes pratiques ITIL V3 16 2.1.1 Stratégie des services - Service Strategy 17 2.1.2 Conception

Plus en détail

Protection des données

Protection des données Protection des données Mesures concernant les services en nuage Mémento Mentions légales Éditeur Image educa.ch faithie/shutterstock.com educa.ch CC BY-NC-ND (creativecommons.org) Avril 2015 1. Protection

Plus en détail

Vu le rapport d auditorat de la Banque Carrefour de la sécurité sociale du 21 décembre 2006;

Vu le rapport d auditorat de la Banque Carrefour de la sécurité sociale du 21 décembre 2006; CSSS/07/005 DÉLIBÉRATION N 07/003 DU 9 JANVIER 2007 RELATIVE À LA COMMUNICATION DE DONNÉES À CARACTÈRE PERSONNEL PAR LES ORGANISMES ASSUREURS AUX DISPENSATEURS DE SOINS EN VUE DE LA DÉTERMINATION DU STATUT

Plus en détail

Directives d éligibilité et de périmètre ISO/CEI 20000

Directives d éligibilité et de périmètre ISO/CEI 20000 Directives d éligibilité et de périmètre ISO/CEI 20000 traduction française 1 V1.1 du document «itsmf ISO/CEI 20000 Certification Scheme Scoping Guidelines» 1. Introduction Ce document doit être considéré

Plus en détail

SERVICE SUPPORT MANAGER E-GOV (M/F)

SERVICE SUPPORT MANAGER E-GOV (M/F) SERVICE SUPPORT MANAGER E-GOV (M/F) BRUXELLES FEDICT (SERVICE PUBLIC FEDERAL TECHNOLOGIE DE L INFORMATION ET DE LA COMMUNICATION) AFG07862 Contexte de la fonction La fonction de service support manager

Plus en détail

2 Quelques définitions

2 Quelques définitions LIGNES DIRECTRICES POUR LA SÉCURITÉ DE L'INFORMATION DES DONNÉES À CARACTÈRE PERSONNEL DANS LES VILLES ET LES COMMUNES, LES INSTITUTIONS FAISANT PARTIE DU RÉSEAU GÉRÉ PAR LA BANQUE-CARREFOUR DE LA SÉCURITÉ

Plus en détail

Gestion des Incidents SSI

Gestion des Incidents SSI Gestion des Incidents SSI S. Choplin D. Lazure Architectures Sécurisées Master 2 ISRI/MIAGE/2IBS Université de Picardie J. Verne Références CLUSIF Gestion des incidents de sécurité du système d information

Plus en détail

Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale»

Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale» Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale» CSSS/09/102 DÉLIBÉRATION N 09/055 DU 1 ER SEPTEMBRE 2009 RELATIVE À LA COMMUNICATION DE DONNÉES À CARACTÈRE PERSONNEL PAR

Plus en détail

Prestations d audit et de conseil 2015

Prestations d audit et de conseil 2015 M. Denis VIROLE Directeur des Services +33 (0) 6 11 37 47 56 denis.virole@ageris-group.com Mme Sandrine BEURTHE Responsable Administrative +33 (0) 3 87 62 06 00 sandrine.beurthe@ageris-group.com Prestations

Plus en détail

CHFI CHFI CISSP. Penetration t. Penetration testing. Microsoft CISCO. ical Hacker. Certified Ethical Hacker. CATALOGUE FORMATION Année 2010 / 2011

CHFI CHFI CISSP. Penetration t. Penetration testing. Microsoft CISCO. ical Hacker. Certified Ethical Hacker. CATALOGUE FORMATION Année 2010 / 2011 CATALOGUE FORMATION Année 2010 / 2011 Certified Ethical Hacker Penetration testing tified CHFI Ethical Hacker CHFI Management de la sécurité des SI ical Hacker Penetration t CISSP CISSP Ethical Hacker

Plus en détail

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes Table des matières 1. Objet de la politique... 4 2. Cadre légal et règlementaire...

Plus en détail

CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES

CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES informatiques d Inria CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES Table des matières 1. Préambule...3 2. Définitions...3 3. Domaine d application...4 4. Autorisation d accès aux ressources informatiques...5

Plus en détail

D ITIL à D ISO 20000, une démarche complémentaire

D ITIL à D ISO 20000, une démarche complémentaire D ITIL à D ISO 20000, une démarche complémentaire www.teamup-consulting.com Teamup Consulting - 1 Certificat nºinf/2007/29319 1 ère société de conseil française certifiée ISO 20000-1:2011 Sommaire Introduction

Plus en détail

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012 Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012 Sommaire 1 L évolution des menaces 2 L évolution du SMSI

Plus en détail

Comité sectoriel de la Sécurité sociale et de la Santé

Comité sectoriel de la Sécurité sociale et de la Santé Comité sectoriel de la Sécurité sociale et de la Santé CSSS/09/010 DÉLIBÉRATION N 09/008 DU 20 JANVIER 2009 RELATIVE À L APPLICATION DE LA GESTION INTÉGRÉE DES UTILISATEURS ET DES ACCÈS PAR LA PLATE-FORME

Plus en détail

Release Status Date Written by Edited by Approved by FR_1.00 Final 19/03/2014

Release Status Date Written by Edited by Approved by FR_1.00 Final 19/03/2014 ISMS (Information Security Management System) Politique de sécurité relative à des services de Cloud Version control please always check if you are using the latest version. Doc. Ref. :isms.050.cloud computing

Plus en détail

Mise en œuvre de la certification ISO 27001

Mise en œuvre de la certification ISO 27001 Mise en œuvre de la certification ISO 27001 1 Sommaire : 1. Définitions 2. Pourquoi vouloir obtenir une certification? 3. Les étapes pour obtenir l ISO 27001 4. Implémentation 5. Surveillance et audit

Plus en détail

ISO/CEI 19770-1. Technologies de l information Gestion des actifs logiciels. Partie 1: Procédés et évaluation progressive de la conformité

ISO/CEI 19770-1. Technologies de l information Gestion des actifs logiciels. Partie 1: Procédés et évaluation progressive de la conformité NORME INTERNATIONALE ISO/CEI 19770-1 Deuxième édition 2012-06-15 Technologies de l information Gestion des actifs logiciels Partie 1: Procédés et évaluation progressive de la conformité Information technology

Plus en détail

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001 ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet e.papet@dev1-0.com Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001 PLAN Introduction Générale Introduction MEHARI L'analyse

Plus en détail

données à caractère personnel (ci-après "la LVP"), en particulier l'article 30 ;

données à caractère personnel (ci-après la LVP), en particulier l'article 30 ; 1/8 Recommandation n 01/2013 du 21 janvier 2013 Objet : Recommandation d'initiative relative aux mesures de sécurité à respecter afin de prévenir les fuites de données (CO-AR-2013-001) La Commission de

Plus en détail

Excellence. Technicité. Sagesse

Excellence. Technicité. Sagesse 2014 Excellence Technicité Sagesse Audit Conseil ATHENA est un cabinet de services créé en 2007 et spécialisé dans les domaines de la sécurité informatique et la gouvernance. De part son expertise, ATHENA

Plus en détail

Prise en compte des nouvelles technologies dans les risques d audit

Prise en compte des nouvelles technologies dans les risques d audit DES COLLECTIVITÉS PUBLIQUES LATINES Prise en compte des nouvelles technologies dans les risques d audit SEPTEMBRE 2013 1 AGENDA 1. Contexte réglementaire 2. Objectifs de l audit 3. Nouvelle technologies

Plus en détail

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Norme ISO 22301 Système de Management de la Continuité d'activité

Plus en détail

La politique de sécurité

La politique de sécurité La politique de sécurité D'après le gestionnaire Master 2 Professionnel Informatique 1 Introduction Depuis les années 2000, la sécurité informatique s'est généralisée dans les grandes structures Maintenant,

Plus en détail

LIVRE BLANC DECIDEUR. Newtest : contribution à ITIL. Newtest et ITIL...3. Gestion des niveaux de service - Service Level Management...

LIVRE BLANC DECIDEUR. Newtest : contribution à ITIL. Newtest et ITIL...3. Gestion des niveaux de service - Service Level Management... Yphise LIVRE BLANC LIVRE BLANC DECIDEUR Newtest : contribution à ITIL Newtest et ITIL...3 Gestion des niveaux de service - Service Level Management...5 Gestion de la disponibilité - Availability Management...7

Plus en détail

Exigences de contrôle pour les fournisseurs externes

Exigences de contrôle pour les fournisseurs externes Exigences de contrôle pour les fournisseurs externes Cybersécurité Pour les fournisseurs à cyber-risque faible Exigences de cybersécurité 1. Protection des actifs et configuration des systèmes Les données

Plus en détail

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI Approche Méthodologique de la Gestion des vulnérabilités Jean-Paul JOANANY - RSSI Generali un grand nom de l Assurance Le Groupe Generali Generali en France 60 pays 65 millions de clients 80.000 collaborateurs

Plus en détail

données à caractère personnel (ci-après la "LVP"), en particulier l'article 29 ;

données à caractère personnel (ci-après la LVP), en particulier l'article 29 ; 1/9 Avis n 22/2014 du 19 mars 2014 Objet : demande d'avis concernant un projet d'arrêté royal réglementant les traitements par les médicaments de substitution (CO-A-2014-006) La Commission de la protection

Plus en détail

Panorama général des normes et outils d audit. François VERGEZ AFAI

Panorama général des normes et outils d audit. François VERGEZ AFAI Panorama général des normes et outils d audit. François VERGEZ AFAI 3 Système d information, une tentative de définition (1/2) Un système d information peut être défini comme l ensemble des moyens matériels,

Plus en détail

BIG DATA Jeudi 22 mars 2012

BIG DATA Jeudi 22 mars 2012 BIG DATA Jeudi 22 mars 2012 87 boulevard de Courcelles 75008 PARIS Tel :01.56.43.68.80 Fax : 01.40.75.01.96 contact@haas-avocats.com www.haas-avocats.com www.jurilexblog.com 1 2012 Haas société d Avocats

Plus en détail

SITUATION DES PROJETS DU REGISTRE NATIONAL.

SITUATION DES PROJETS DU REGISTRE NATIONAL. SITUATION DES PROJETS DU REGISTRE NATIONAL. ETAT DE LA SITUATION DE QUELQUES PROJETS DU SERVICE DU REGISTRE NATIONAL. PRESENTATION AU COMITE DES UTILISATEURS DU R.N. LE 16 MARS 2007. Liste des projets.

Plus en détail

Comité sectoriel de la sécurité sociale et de la santé Section «sécurité sociale»

Comité sectoriel de la sécurité sociale et de la santé Section «sécurité sociale» Comité sectoriel de la sécurité sociale et de la santé Section «sécurité sociale» CSSS/14/061 DÉLIBÉRATION N 14/027 DU 6 MAI 2014 RELATIVE À L'ACCÈS À LA BANQUE DE DONNÉES "DÉCLARATION DE TRAVAUX" AU PROFIT

Plus en détail

Règlement d INTERPOL sur le traitement des données

Règlement d INTERPOL sur le traitement des données BUREAU DES AFFAIRES JURIDIQUES Règlement d INTERPOL sur le traitement des données [III/IRPD/GA/2011(2014)] REFERENCES 51 ème session de l Assemblée générale, résolution AGN/51/RES/1, portant adoption du

Plus en détail

Comité sectoriel de la sécurité sociale et de la santé Section sécurité sociale

Comité sectoriel de la sécurité sociale et de la santé Section sécurité sociale 1 Comité sectoriel de la sécurité sociale et de la santé Section sécurité sociale CSSS/12/207 DÉLIBÉRATION N 12/059 DU 3 JUILLET 2012 RELATIVE À LA COMMUNICATION DE CERTAINES DONNÉES À CARACTÈRE PERSONNEL

Plus en détail

Politique de sécurité de l information et des technologies. Direction des systèmes et technologies de l information

Politique de sécurité de l information et des technologies. Direction des systèmes et technologies de l information Politique de sécurité de l information et des technologies Direction des systèmes et technologies de l information Adoptée par le conseil d administration le 17 février 2015 Responsable Document préparé

Plus en détail

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing D un point de vue juridique, la CNIL constate que le Cloud computing soulève un certain nombre de difficultés

Plus en détail

2.La bibliothèque ITIL est composé de 2 ouvrages 4 6 8 La bibliothèque : Dans sa version actuelle, ITIL est composé de huit ouvrages :

2.La bibliothèque ITIL est composé de 2 ouvrages 4 6 8 La bibliothèque : Dans sa version actuelle, ITIL est composé de huit ouvrages : Itil (IT Infrastructure Library) a été créé en Grande Bretagne en 1987. Ce référentiel des meilleures pratiques couvre deux grands domaines : la fourniture de services (gestion des niveaux de service,

Plus en détail

Comité sectoriel de la Sécurité sociale et de la Santé Section «Santé»

Comité sectoriel de la Sécurité sociale et de la Santé Section «Santé» Comité sectoriel de la Sécurité sociale et de la Santé Section «Santé» CSSSS/13/042 DÉLIBÉRATION N 09/017 DU 17 MARS 2009, DERNIÈREMENT MODIFIÉE LE 22 JANVIER 2013, RELATIVE À LA COMMUNICATION DE DONNÉES

Plus en détail

Brève étude de la norme ISO/IEC 27003

Brève étude de la norme ISO/IEC 27003 RECOMMANDATIONS Brève étude de la norme ISO/IEC 27003 Décembre 2011 CLUB DE LA SECURITE DE L INFORMATION FRANÇAIS 11, rue de Mogador 75009 PARIS Tel : 01 53 25 08 80 Fax : 01 53 08 81 clusif@clusif.asso.fr

Plus en détail

Orientations de l ANSI pour le Management de la Sécurité des Systèmes d information. Awatef HOMRI,

Orientations de l ANSI pour le Management de la Sécurité des Systèmes d information. Awatef HOMRI, Orientations de l ANSI pour le Management de la Sécurité des Systèmes d information Awatef HOMRI, ISO27001 Lead Auditor, ITIL Ingénieur en chef, ANSI Awatef.homri@ansi.tn 1 Agenda Management de la Sécurité

Plus en détail

agrément DES professions paramédicales

agrément DES professions paramédicales agrément DES professions paramédicales LES ERGOTHÉRAPEUTES Table des matières Pourquoi agréer les ergothérapeutes?...3 Un ergothérapeute au sens de la loi : de qui s'agit-il?...4 L'agrément est obligatoire...5

Plus en détail

LA CONTINUITÉ DES AFFAIRES

LA CONTINUITÉ DES AFFAIRES FORMATION LA CONTINUITÉ DES AFFAIRES Patrick Boucher CISSP, CISA, CGEIT, ITIL et Auditeur ISO 27001 1 LE 5 MAI 2009 QUI SUIS-JE? Patrick Boucher : Analyste principal chez Gardien Virtuel depuis 2003. Expérience

Plus en détail

Accès réseau Banque-Carrefour par l Internet Version 3.2. 06/06/2005

Accès réseau Banque-Carrefour par l Internet Version 3.2. 06/06/2005 ISMS (Information Security Management System) Utilisation de l Internet comme moyen d accès au réseau de la Banque-Carrefour de la sécurité dans le cadre du traitement de données à caractère personnel

Plus en détail

Vu la demande d'avis technique et juridique adressée au Service public fédéral Intérieur en date du 26 novembre 2014 ;

Vu la demande d'avis technique et juridique adressée au Service public fédéral Intérieur en date du 26 novembre 2014 ; 1/11 Comité sectoriel du Registre national Délibération RN n 108/2014 du 10 décembre 2014 Objet: Autorisation générale d utilisation du numéro d identification au Registre national dans le cadre du recours

Plus en détail

Objet: stages pour les candidats secouristes-ambulanciers

Objet: stages pour les candidats secouristes-ambulanciers . MINISTERE DES AFFAIRES SOCIALES, DE LA SANTE PUBLIQUE ET DE L'ENVIRONNEMENT Al' ADMINISTRATION DES SOINS DE SANTE Secours Sanitaires à la Population Civile Service 100. 1010 BRUXELLES, 0 9 nec.1001 Cité

Plus en détail

Comité sectoriel de la sécurité sociale et de la santé Section sécurité sociale

Comité sectoriel de la sécurité sociale et de la santé Section sécurité sociale Comité sectoriel de la sécurité sociale et de la santé Section sécurité sociale CSSS/14/182 DELIBERATION N 13/084 DU 3 SEPTEMBRE 2013, MODIFIEE LE 5 NOVEMBRE 2013 ET LE 4 NOVEMBRE 2014, RELATIVE A LA COMMUNICATION

Plus en détail

Maîtriser les conditions d application du décret hébergeur dans les coopérations

Maîtriser les conditions d application du décret hébergeur dans les coopérations ENJEUX Le cadre légal de l'hébergement des données de santé à caractère personnel est fixé par l article L.1111-8 du code de la santé publique, précisé par le décret 2006-6 du 4 janvier 2006 s agissant

Plus en détail

Appendice 2. (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs

Appendice 2. (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs Appendice 2 (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs NOTE Dans les propositions de Texte identique, XXX désigne un qualificatif de norme

Plus en détail

ÉVOLUTION DES BONNES PRATIQUES EN SÉCURITÉ DE L INFORMATION AVEC COBIT 5

ÉVOLUTION DES BONNES PRATIQUES EN SÉCURITÉ DE L INFORMATION AVEC COBIT 5 ÉVOLUTION DES BONNES PRATIQUES EN SÉCURITÉ DE L INFORMATION AVEC COBIT 5 CONFÉRENCIER: MARTIN M. SAMSON, CGEIT, CISM, CRISC 6 FÉVRIER 2013 http://www.isaca quebec.ca VOLET GOUVERNANCE Ordre du jour Introduction/Objectifs;

Plus en détail

Sécurité des ordinateurs portables

Sécurité des ordinateurs portables ISMS (Information Security Management System) Sécurité des ordinateurs portables 2009 Version control please always check if you re using the latest version Doc. Ref. : isms.025.laptop Release Status Date

Plus en détail

ADDENDA AU CONTRAT BLACKBERRY SOLUTION DE LICENCE POUR WATCHDOX CLOUD DE BLACKBERRY («le ADDENDA»)

ADDENDA AU CONTRAT BLACKBERRY SOLUTION DE LICENCE POUR WATCHDOX CLOUD DE BLACKBERRY («le ADDENDA») ADDENDA AU CONTRAT BLACKBERRY SOLUTION DE LICENCE POUR WATCHDOX CLOUD DE BLACKBERRY («le ADDENDA») AVIS IMPORTANT: Afin d'accéder et / ou utiliser ce service Cloud (tel que défini ci-dessous) Vous devez

Plus en détail

La protection de vos données médicales chez l assureur

La protection de vos données médicales chez l assureur La protection de vos données médicales chez l assureur Brochure 2009 2 Questions & Réponses fréquentes FAQ 2009 La communication de données est le point de passage obligé pour le bon fonctionnement de

Plus en détail

ITIL V2. Historique et présentation générale

ITIL V2. Historique et présentation générale ITIL V2 Historique et présentation générale Création : novembre 2004 Mise à jour : août 2009 A propos du document Ce document de référence sur le référentiel ITIL a été réalisé en 2004 et la traduction

Plus en détail

Points d'audit SCI-E : contrôles englobant toute l'entreprise et cadre du SCI

Points d'audit SCI-E : contrôles englobant toute l'entreprise et cadre du SCI Société d assurance Type d'agrément Société d'audit Auditeur responsable Année d'exercice 2015 Version du modèle 28.04.2015 Division Assurances Page 1 / 1 Audit base_points d'audit_sci-e_version 2015_FR.xlsx

Plus en détail

ITIL 2011 Fondamentaux avec certification - 3 jours (français et anglais)

ITIL 2011 Fondamentaux avec certification - 3 jours (français et anglais) ITIL 2011 Fondamentaux avec certification - 3 jours (français et anglais) Vue d ensemble de la formation ITIL est un ensemble de conseils sur les meilleures pratiques, devenu un référentiel pour la gestion

Plus en détail

données à caractère personnel (ci-après "la LVP"), en particulier l'article 29 ;

données à caractère personnel (ci-après la LVP), en particulier l'article 29 ; 1/19 Avis n 04/2015 du 25 février 2015 Objet : avis relatif à un projet de circulaire portant sur l'utilisation du "cloud" par les hôpitaux (CO-A-2014-053) La Commission de la protection de la vie privée

Plus en détail

Retour d expérience sur la mise en place d un Plan de Continuité des Activités PCA. James Linder 25.05.2008

Retour d expérience sur la mise en place d un Plan de Continuité des Activités PCA. James Linder 25.05.2008 Retour d expérience sur la mise en place d un Plan de Continuité des Activités PCA James Linder 25.05.2008 1 Objectifs Pourquoi un plan de secours? Pour ne ne pas pas être être bloqué dans son son travail

Plus en détail

Fiche de projet pour les institutions publiques

Fiche de projet pour les institutions publiques POLITIQUE SCIENTIFIQUE FEDERALE rue de la Science 8 B-1000 BRUXELLES Tél. 02 238 34 11 Fax 02 230 59 12 www.belspo.be Fiche de projet pour les institutions publiques Cette fiche est remplie par une institution

Plus en détail

ITIL, quel impact dans nos laboratoires? Pourquoi se poser cette question? Geneviève Romier, CNRS UREC

ITIL, quel impact dans nos laboratoires? Pourquoi se poser cette question? Geneviève Romier, CNRS UREC ITIL, quel impact dans nos laboratoires? Pourquoi se poser cette question? Geneviève Romier, CNRS UREC Plan Autour d'itil ITIL qu'est-ce que c'est? Bénéfices attendus Ce qu'itil ne peut pas faire Pourquoi

Plus en détail

Colloque 2005. Du contrôle permanent à la maîtrise globale des SI. Jean-Louis Bleicher Banque Fédérale des Banques Populaires

Colloque 2005. Du contrôle permanent à la maîtrise globale des SI. Jean-Louis Bleicher Banque Fédérale des Banques Populaires Colloque 2005 de la Sécurité des Systèmes d Information Du contrôle permanent à la maîtrise globale des SI Jean-Louis Bleicher Banque Fédérale des Banques Populaires Mercredi 7 décembre 2005 Du contrôle

Plus en détail

Club 27001 toulousain

Club 27001 toulousain Club 27001 toulousain Couverture organisme national Ordre du jour Fonctionnement du Club (Hervé Schauer - HSC) Comment mettre en œuvre une politique de sécurité cohérente et pragmatique (Hervé Schauer

Plus en détail

Commission Nationale de l Informatique et des Libertés Recommandation (97-008)

Commission Nationale de l Informatique et des Libertés Recommandation (97-008) RECOMMANDATION Délibération n 97-008 du 4 février 1997 portant adoption d'une recommandation sur le traitement des données de santé à caractère personnel (Journal officiel du 12 avril 1997) La Commission

Plus en détail

Orange Business Services. Direction de la sécurité. De l utilisation de la supervision de sécurité en Cyber-Defense? JSSI 2011 Stéphane Sciacco

Orange Business Services. Direction de la sécurité. De l utilisation de la supervision de sécurité en Cyber-Defense? JSSI 2011 Stéphane Sciacco De l utilisation de la supervision de sécurité en Cyber-Defense? Orange Business Services Direction de la sécurité JSSI 2011 Stéphane Sciacco 1 Groupe France Télécom Sommaire Introduction Organisation

Plus en détail