SPF SANTE PUBLIQUE, SECURITE DE LA CHAINE ALIMENTAIRE ET ENVIRONNEMENT. Session d information Conseillers en sécurité 24/02/2012

Transcription

1 SPF SANTE PUBLIQUE, SECURITE DE LA CHAINE ALIMENTAIRE ET ENVIRONNEMENT 1 Session d information Conseillers en sécurité 24/02/2012

2 SPF SANTE PUBLIQUE, SECURITE DE LA CHAINE ALIMENTAIRE ET ENVIRONNEMENT 2 Ordre du jour - Introduction - Le conseiller en sécurité : - Feedback profils CS reçus - Explication fonction CS - Formations prévues - - Pause - Sécurité de l information en milieu hospitalier : Par où commencer? - Contexte légal - Exemples réels..9h30..9h40..10h..11h..11h15..12h15

3 SPF SANTE PUBLIQUE, SECURITE DE LA CHAINE ALIMENTAIRE ET ENVIRONNEMENT 1. Bases légales et réglementaires Loi du 15 janvier 1990 instituant la banque-carrefour art. 4 5 Toute autorité publique, personne physique et organisme public ou privé qui a accès aux données d identification des registres Banque-Carrefour ou en obtient la communication désigne, parmi ses membres du personnel ou non, un conseiller en matière de sécurité de l information et de protection de la vie privée L identité de ce conseiller en matière de sécurité de l information et de protection de la vie privée est communiquée à la section sécurité sociale du comité sectoriel de la sécurité sociale et de la santé art er, 8 La section sécurité sociale du comité sectoriel de la sécurité sociale et de la santé est chargée, en vue de la protection de la vie privée, de vérifier si les conseillers en sécurité reçoivent la formation permanente adéquate et travaillent de façon coordonnée ; à défaut, de prendre toutes mesures utiles pour assurer cette formation adéquate ou réaliser la coordination, notamment technique

4 SPF SANTE PUBLIQUE, SECURITE DE LA CHAINE ALIMENTAIRE ET ENVIRONNEMENT 1. Bases légales et réglementaires AR du 23 octobre 1964 fixant les normes générales des hôpitaux Inséré par AR du 16 décembre 1994 Tout hôpital doit, en ce qui concerne le traitement des données à caractère personnel relatives aux patients, en particulier des données médicales, disposer d un règlement relatif à la protection de la vie privée Ce règlement (et toutes les modifications qui y sont apportées) doit être transmis à la Commission pour la supervision et l évaluation des données statistiques qui concernent les activités médicales dans les hôpitaux Cette commission tient les règlements à la disposition de la Commission de la protection de la vie privée Le maître du fichier désigne un conseiller en sécurité chargé de la sécurité de l information; celui-ci conseille le responsable de la gestion journélière sur tous les aspects de la sécurité de l information La mission du conseiller en sécurité peut être précisée par arrêté royal

5 SPF SANTE PUBLIQUE, SECURITE DE LA CHAINE ALIMENTAIRE ET ENVIRONNEMENT 1. Bases légales et réglementaires AR du 12 février 2008 : communication par les hôpitaux de l identité des personnes chargées de la communication des données se rapportant à l établissement Le gestionnaire de chaque hôpital communique au Ministre qui a la santé publique dans ses attributions, l identité et les coordonnées du conseiller en sécurité visé à l annexe de l AR du 23 octobre 1964; toute modification relative aux personnes susmentionnées doit être communiquée dans le mois Protocole Carenet entre O.A. et hôpitaux (19 avril 2001) La surveillance des conditions techniques en matière de mode d enregistrement, de traitement et de conservation des données, ainsi au de l enregistrement et de l octroi de certificats doit être assurée par le conseiller en sécurité Les hôpitaux doivent communiquer à l Administrateur général de l INAMI les nom, prénom, qualité de leursconseillers en sécurité; toute modification intervenant dans ces données doit être communiquée dans les 15 jours.

6 SPF SANTE PUBLIQUE, SECURITE DE LA CHAINE ALIMENTAIRE ET ENVIRONNEMENT 2. Problématique actuelle Décision du Comité sectoriel de la sécurité sociale et de la santé Le 5 juillet 2011, le comité sectoriel de la sécurité sociale et de la santé a décidé que, à partir du 31 mai 2012, les hôpitaux ne pourront plus obtenir la communication des données à caractère personnel s ils ne disposent pas d un conseiller en sécurité de l information et d un plan de sécurité qu ils tiennent à la disposition du comité sectoriel NB : l accès aux données à caractère personnel concerne notamment l identité des patients, les données relatives au MAF et à l assurabilité permettant de déterminer le statut du patient pour l application du tierspayant Suite à cette décision, le comité sectoriel a demandé au SPF Santé publique d envoyer une circulaire aux hôpitaux pour leur rappeler leurs obligations leur faire part de la décision prise par le comité sectoriel le 5 juillet 2011 leur demander de compléter un questionnaire visant à évaluer le degré de formation et de compétences des conseillers en sécurité

7 SPF SANTE PUBLIQUE, SECURITE DE LA CHAINE ALIMENTAIRE ET ENVIRONNEMENT 2. Problématique actuelle Autres constats Le SPF dispose bien d une liste de noms des conseillers en sécurité des hôpitaux (sauf 2 hôpitaux), mais cette liste n est pas à jour : les hôpitaux n ont pas explicitement communiqué les modifications Dans l enquête statistique annuelle, les hôpitaux sont tenus de renseigner chaque année le nom et la formation de leur responsable de la sécurité des données médicales et du responsable de la sécurité des données administratives, mais ne parle pas du conseiller en sécurité La «Commission pour la supervision et l évaluation des données statistiques qui concernent les activités médicales dans les hôpitaux» n existe plus et les hôpitaux ne transmettent plus de mise à jour de leur règlement

8 SPF SANTE PUBLIQUE, SECURITE DE LA CHAINE ALIMENTAIRE ET ENVIRONNEMENT 3. Circulaire aux hôpitaux Circulaire du 9 septembre 2011 Le SPF a effectivement transmis une circulaire aux hôpitaux en date du 9 septembre 2011 pour : rappeler les dispositions légales en matière de conseillers en sécurité faire part de la décision du comité sectoriel demander l identité des conseillers en sécurité et de préciser leur niveau de formation et de compétences pour assurer la fonction Par cette même circulaire, le SPF s est engagé à : coordonner les données récoltées par le SPF, le comité sectoriel de la sécurité sociale et de la santé et l INAMI pour identifier les manquements et les besoins organiser une session d information pour identifier les besoins de formation des conseillers en sécurité et rappeler leurs missions mettre en place un groupe de travail avec des conseillers en sécurité pour déterminer de «bonnes pratiques» en matière de sécurité de l information

9 SPF SANTE PUBLIQUE, SECURITE DE LA CHAINE ALIMENTAIRE ET ENVIRONNEMENT 4. Où en est-on aujourd hui? Réponses des hôpitaux à la circulaire Suite à la circulaire, près de 70% des hôpitaux ont communiqué les informations relatives à l identité, la formation et les domaines de compétences de leur conseiller en sécurité (actuellement, 60 hôpitaux n ont pas répondu!!) Mise en commun des bases de données SPF, INAMI et comité sectoriel Le SPF a attiré l attention des autres instances sur la caractère redondant des exigences et la nécessité d une simplification administrative L INAMI a fait part de son intention de supprimer l obligation (prévue dans l annexe au Protocole Carenet) de communiquer l identité du conseiller en prévention à l administrateur général de l INAMI Sur la base des réponses fourniers par les hôpitaux, le SPF et la banquecarrefour travaillent ensemble à la constitution d une source authentique : une base de données unique qui devra être tenue à jour par les hôpitaux

10 SPF SANTE PUBLIQUE, SECURITE DE LA CHAINE ALIMENTAIRE ET ENVIRONNEMENT 4. Où en est-on aujourd hui? Organisation d une session d information Journée de ce 24 février 2012 préparée en collaboration avec cellule «sécurité des données» de la banque carrefour sur la base des réponses à la circulaire fournies par les hôpitaux afin d identifier les besoins de formation des conseillers en sécurité des hôpitaux et d élaborer un programme de formation adapté Groupe de travail de conseillers en sécurité Sera constitué sur la base de l expertise présente au sein du secteur Missions de soutien aux hôpitaux pour rencontrer leurs obligations, par ex. : identification et diffusion de bonnes pratiques définition d une description de fonction des conseillers en sécurité réappropriation de la norme ISO pour le secteur hospitalier belge définition de normes de référence

11 SPF SANTE PUBLIQUE, SECURITE DE LA CHAINE ALIMENTAIRE ET ENVIRONNEMENT 5. Au programme de la session d information Evaluation de la situation du secteur sur la base des informations transmises par les hôpitaux Fonction et rôles du conseiller en sécurité dans les différents environnement Proposition d offre de formation, souple et modulaire Spécificités du secteur de la santé et contraintes légales Outils d aide pour les conseillers en sécurité

12 Le conseiller en sécurité Un métier Une fonction Un rôle dans une organisation Michel Brouyère Conseiller en sécurité a.d. Chaussée Saint Pierre, 375, Sint-Pieterssteenweg B-1040 Bruxelles, Brussel Website ehealth-platform:

13 Agenda de l exposé Introduction Sécurité les risques augmentent!!! Fonction du conseiller Rôle du conseiller en sécurité de l'information Autres fonctions impliquées dans l organisation Processus de désignation et suivi Groupe de travail Contenu du cours sécurité de l information Examen des modules 24/02/

14 Des fichiers informatiques de la N-VA dérobés A la section anversoise de la N-VA, des fichiers informatiques confidentiels du parti ont été volés. Il s agit de projets de textes pour le congrès du 21 avril, ainsi que de listes de membres. Les initiés parlent déjà d espionnage politique. Awareness 24/02/

15 Fonction (extrait de la lettre du Ministère) Le conseiller en sécurité conseille le responsable de la gestion journalière au sujet de tous les aspects de la sécurité de l'information. Ceci implique une mission d avis, de stimulation, de documentation et de contrôle le conseiller en sécurité promeut le respect des règles de sécurité imposées par une disposition légale ou règlementaire ou en vertu d une telle disposition, ainsi que l adoption, par les personnes employées dans l hôpital, d un comportement favorisant la sécurité. 24/02/

16 Fonction (extrait de la lettre du Ministère) Le conseiller en sécurité travaille en étroite collaboration avec les services qui requièrent, ou peuvent requérir, son intervention, en particulier avec le service informatique et le service de sécurité d hygiène et d embellissement des lieux de travail de l hôpital. Le conseiller en sécurité doit disposer d une connaissance suffisante de la structure informatique de l hôpital ainsi que de la sécurité de l information. Il doit en permanence tenir cette connaissance à jour. 24/02/

17 Fonction (extrait de la lettre du Ministère) Le conseiller en sécurité rédige un projet de plan de sécurité pour une certaine durée, à l attention du responsable de la gestion journalière, en spécifiant sur base annuelle les moyens nécessaires à la réalisation du plan. une mission à 40% apparaît être le minimum 24/02/

18 Conseiller en sécurité de l information (métier) Interprétation de la réglementation en matière de sécurité de l'information sur mesure de l'organisation Proposer une stratégie de sécurisation Prendre des initiatives autour de la sécurité de l'information Coordonner des activités autour de la sécurité de l'information Gestionnaire de "information security management system" (ISMS) Gestionnaire de la politique pour la sécurité de l'information (ISP) Donner des conseils en matière de sécurité Établir une collaboration entre les organisations interne et externe Organiser des trainings de conscientisation en matière de sécurité à tous les niveaux de l'organisation Inspirateur de la "Plateforme pour la sécurité de l'information" 24/02/

19 Conseiller en sécurité de l information (métier) Préparer/proposer un budget annuel pour la sécurité de l'information Identifier les risques de sécurité et les mettre en relief Accompagnement interne, recherche, audit Préparer des audits externes indépendants de sécurité de l'information et suivre les recommandations Tâches spécifiques de la Sécurité sociale Suivi des normes minimales Questionnaire annuel Planning Recherche d'infractions possibles à la sécurité en matière de confidentialité, d'intégrité, d'autorisation,... à la demande de la Direction, du tribunal,... sur la base de procédures approuvées Suivi de l'évolution des menaces, des contre-mesures, des systèmes,... 24/02/

20 Plateforme pour la sécurité de l information Déléguer des responsabilités Offrir un soutien au management lors du processus de sécurisation Développer des objectifs, des stratégies et des directives de sécurité Évaluer des rapports de sécurité et contrôler dans quelle mesure de l'information importante est exposée ainsi que son impact business Définir le statut des différentes initiatives de sécurité Évaluer les incidents de sécurité importants Approuver toutes les modifications apportées à la politique de sécurité IT 24/02/

21 Rôle de la direction Un soutien clair et un comportement exemplaire de la direction est nécessaire pour pouvoir conduire la sécurité de l'information 24/02/

22 Incident Response Team Gestion en cas d'incident grave Estimation de la situation Limitation des dommages Assurance de la continuité Rétablissement de la situation normale Actions d'amélioration 24/02/

23 Autres fonctions impliquées Responsable systèmes Service achats Service juridique Project manager Développement Production 24/02/

24 Processus de désignation & accompagnement Envoi de la candidature par l hôpital Examen de la candidature par le comité sectoriel Approbation du conseiller Mise en place des formations Calendrier 24/02/

25 Situation fin février Une centaine d hôpitaux ont soumis leur candidature Formation prévisible sur base des CV: 40 % des candidats français néerlandais Informatique 18,66% 32,26% Informatique médicale 47,62% 61,54% Soins de santé 49,21% 45,09% Sécurité de l information 38,55% 39,13% Quelques formations ont été données dans le domaine médical 24/02/

26 Groupe de travail Constitution prochaine d un groupe de travail, regroupant les conseillers en sécurité des hôpitaux, en vue de déterminer, après approbation par la section santé du comité sectoriel de la sécurité sociale et de la santé, les bonnes pratiques en matière de sécurité de l information Appel à candidats 24/02/

27 Objectifs du groupe de travail Approfondissement du cadre légal en sécurité dans le domaine de la santé Mise en place de normes minimales Définition de polices de sécurité pour le domaine ehealth Gestion des utilisateurs; Serveurs; Cloud computing; Wifi policies ; Classification des données; Incidents de sécurité. 24/02/

28 Les formations proposées Formation modulaire Module 1 : les bases de l informatique Module 2 : informatique médicale (combiné avec 1) - 2 jours Module 3 : les soins de santé : aspects légaux & cas pratique - 1 jour Module 4 : Sécurité de l information - 5 jours Planning 24/02/

29 Sécurité de l information (contenu) Cours basé sur ISO Intègre des exercices et cas pratiques Les différents modules: 1. Méthodologie 2. Organisation de la sécurité 3. Gestion des ressources de l entreprise (asset management) 4. Sécurité liée au personnel 5. Sécurité physique et environnement 6. Sécurité liée au développement de projet 7. Gestion opérationnelle 8. Sécurité des accès logiques 9. Gestion des incidents 10. Continuité 11. Conformité et contrôle 24/02/

30 Module 1: méthodologie Approche (ISO 2700X) Mise en place d un ISMS et d une politique de sécurité de l'information (ISP) Choix d une méthode d analyse de risque adaptée Eléments pratiques 24/02/

31 Objectif: offre intégrale L'information security management couvre tous les aspects de sécurité (humain logique physique) Vue générale sur tous les risques de sécurité dans l'organisation Vue générale sur : Tout ce qui a été fait Tout ce qui doit être amélioré Sur tous les risques acceptés 24/02/

32 Objectif: offre intégrale 24/02/

33 Module 2 : organisation Objectif: mise en place d'un service (d'une plate forme) pour gérer les risques liés à la sécurité de l'information Analyse des responsabilités Définir les rôles de chacun: RACI matrice (direction, département sécurité, développeurs, fournisseurs etc.) Implication dans le recrutement (contrat de travail) Mise en place d une cellule de gestion des incidents Mise en place d un groupe de sécurité ISMS et l ISP processus de mise en place et de suivi 24/02/

34 Module 3 : gestion des ressources de l entreprise Examen des ressources de l entreprise Alignement sur l information security policy Inventaire des valeurs et des moyens y compris humains Classification des données Mesures de sécurité 24/02/

35 Information Security Policy (ISP) La gestion des ressources a pour objet le maintien d'une protection adéquate de ces ressources. Dans le contexte de ehealth, des données confidentielles sont manipulées. La manipulation de ces données est soumise à une législation spécifique, entre autres en rapport avec la vie privée, qui inclut la législation des données médicales. Les ressources doivent être inventoriées et classifiées (également pour la gestion de la continuité). Les données sont traitées en accord avec leur classification. 24/02/

36 Ressources de l entreprise Moyens de protection Environnement physique par localisation Environnement : air conditionné, générateur etc Ressources humaines par rôles responsabilités fonctions Documentation classifiée par degré de sensibilité Les ressources médicales Questions : que protéger? Quelles informations et sources d informations sont critiques? 24/02/

37 Software Ressources de l entreprise Operating systems, Applications Database Par fournisseurs, types Réseaux VLANs, switches, routers, hubs Communication PBX, laser links, fax, modems 24/02/

38 Mesures Désigner des propriétaires Attribuer une classification initiale et la revoir régulièrement Classifier les données Autorité pour l'approbation des demandes d'accès et des modalités d'utilisation Rôle entre autres du comité sectoriel Critères d'accès Authentification / autorisation / chiffrement / irréfutabilité Mesures de sécurité techniques Stockage de données Communication de données Supprimer des données Archiver 24/02/2012 Attention à l'impression et au papier! 38 38

39 Module 4 : sécurisation relative au personnel But: prévenir tout accès non autorisé et dommage à la propriété (information et matériel) d'une institution. Confidentialité Intégrité Disponibilité Limitation des risques à la suite d'erreurs humaines, de vol, de fraude ou d'un usage inapproprié / abus Conscience des menaces et risques concernant la sécurité de l'information Coupler la conscience à la responsabilité Voir la partie consacrée à l'organisation Formation et moyens pour pouvoir respecter l'isp dans le cadre de leur mission... 24/02/

40 Matière examinée Risque personnel pour le collaborateur Menaces et faiblesses Exploitation des faiblesses Sécurisation par l'utilisateur final Environnement physique Authentification Messagerie électronique Surf Social engineering Les politiques de sécurité (accès internet, mot de passe, usage du mail,etc ) 24/02/

41 Module 5 : sécurité physique But de la sécurité physique Répartir la sécurité physique en zones Contrôle physique des accès Sécurisation de différents types de locaux Protection contre des menaces externes Travailler dans des zones sécurisées Accès public et livraisons 24/02/

42 Module 6 : sécurisation des projets Objectif Les systèmes / applications doivent être sécurisés depuis l'architecture à l'implémentation Les Malware et risques Développement de systèmes Sécurisation technique Regard sur toutes les couches OSI 24/02/

43 Scope et mise en place Le soutien de la sécurisation s'impose depuis le début Lorsque la sécurité est ajoutée par la suite, cela augmente considérablement la complexité Les attaques sont de nature variée entre autres : Malware Exploitation des faiblesses de la sécurisation de l'infrastructure Sécurité : à prévoir dans le cycle de vie complet et dans toutes les facettes du système / de l'application Concept Architecture Conception Développement Tests Déploiement Gestion Les systèmes / applications doivent être sécurisés depuis l'architecture à l'implémentation 24/02/

44 Module 7 : gestion opérationnelle Une gestion correcte de l'environnement ICT est d'une importance capitale afin de garantir la sécurité de l'information. Approche structurée Les processus importants en sécurité de l information ITIL(Information Technology Infrastructure Library), CobiT(Control Objectives for Information and related Technology) 24/02/

45 Processus Information Technology Infrastructure Library (ITIL) Cadre de référence pour la mise en place des processus de gestion dans une organisation ICT ITIL n'est pas une méthode ou un modèle mais une série de best practices Service Delivery. - Capacity Management - Availability Management - IT Service Continuity Management (ITSCM) - Service Level Management - Security Management Service Support. - Change Management - Release Management - Problem Management - Incident Management - Configuration Management - Service Desk 24/02/

46 Processus Information Technology Infrastructure Library (ITIL) Planning to Implement Service Management. Security Management. ICT Infrastructure Management. - Network service Management - Operations Management - Management of local processors - Computer installation and acceptance - Systems Management The Business Perspective. Application Management. Software Asset Management 24/02/

47 Module 8 : sécurité des accès Confidentialité, intégrité, authenticité - définitions Introduction à la cryptographie Authentification Moyens d'identification Autorisations Examen d exemples, cas pratiques Législation et logging 24/02/

48 Module 9 : gestion des incidents Mise en place d une cellule d incident management Examen des moyens à mettre place Identification des incidents graves Plan catastrophe et continuité 24/02/

49 Nature des incidents : Incident response team quotidiens (ex. scanning) à très graves (menacent la continuité des activités) La gestion des incidents quotidiens et mineurs doit être assurée dans la "gestion opérationnelle" Incident response : ensemble de mesures décrites et éprouvées visant à faire face à un incident important Incident important : la continuité des activités de l'entreprise est menacée 24/02/

50 Lien avec le DRP But : description des processus et procédures lorsqu'un incident important se produit sur la base de scénarios d'incidents techniques importants - ex. perte d'un data center, panne électrique en tenant compte de l'importance relative des processus ICT pour définir des priorités prenez en compte les différentes phases dans l'approche d'incidents graves coordination par l'irt 24/02/

51 24/02/2012 Examen des incidents graves Phase de reconnaissance Rassemblez l'information Évitez toute panique Évaluez la situation Reconnaissez la gravité de la situation Prenez les mesures qui s'imposent sur la base des processus et procédures Activez l'irt Phase de réaction Organisez régulièrement des réunions de concertation avec l'irt Continuez à rassembler des informations et évaluez la situation (changeante) Activez les mesures afin de limiter l'impact de l'incident - stabilisation de la situation Neutralisez la cause de l'incident Prenez les mesures qui s'imposent sur la base des processus et procédures afin de garantir la continuité Conservez les preuves - recherche forenscique Organisez la communication Phase de rétablissement Retour à la situation normale sur la base des processus et procédures Continuez à communiquer Leçons et actions d'amélioration 51

52 Evaluation de la situation L'incident est-il passager ou permanent? Quelles moyens d'exploitation importants ont été touchés? personnel processus business infrastructure, systèmes La continuité (d'une partie) des activités de l'entreprise estelle menacée? L'incident est-il dû à des modifications / interventions récentes? 24/02/

53 Module 10 : continuité Introduction Business continuity plan (BCP) ICT contingency plan (ICP) Disaster recovery plan (DRP) Tests Leçons retenues 24/02/

54 Gestion de la continuité Objectif : possibilité de réaction en cas de perturbation des activités de l'organisation et protection des processus business critiques en cas d'incidents lourds Responsabilité importante pour la continuité de la prestation de services de santé publique en Belgique Processus documenté Basé sur des analyses des risques Mesures préventives et correctives Processus et plan basé sur des exercices 24/02/

55 Module 11 : conformité et contrôle Contrôle du respect des exigences légales et contractuelles en matière de sécurité Évaluation de la sécurité de l'information sur la base de la gestion Accompagnement quotidien Contrôle interne Audit interne Audit externe 24/02/

56 24/02/

57 You!

58 SPF SANTE PUBLIQUE, SECURITE DE LA CHAINE ALIMENTAIRE ET ENVIRONNEMENT 58 Pause 15minutes

59 Sécuritéde l information en milieu hospitalier Par oùcommencer? Dr Ir Etienne Stanus Conseiller en sécurité de l information Institut Jules Bordet etienne.stanus@bordet.be

60 Droit du patient: qualitédes soins Capacité des services de santé destinés aux individus et aux populations d'augmenter la probabilitéd'atteindre les résultats de santésouhaités, en conformitéavec les connaissancesprofessionnelles du moment". Avoir la bonne information au bon endroit au bon moment Etienne Stanus Institut Jules Bordet 60

61 Quelques mots importants Service de santé: impliquer toutes les disciplines connaissances: implique les systèmes d informations sous-jacents Probabilité: sous-entend obligation de moyens / résultats selon le gestion du risque, des événements indésirables, Conformité, moment: gouvernance, amélioration continue, audits Etienne Stanus Institut Jules Bordet 61

62 Plan de l exposéen forme de Cycle de Shewhart / Roue de Deming: Plan: Quelques définitions Un début d analyse de risque DO Contexte juridique, Contexte normatif Documents existants Systèmes PDCA similaires Un exemple d outil existant Check Autoévaluation Act Mise en place d un Système de Management de la Sécuritéde l Information Quelques méthodes d analyse de risque Quelques points sensibles Etienne Stanus Institut Jules Bordet 62

63 Etienne Stanus Institut Jules Bordet 63

64 Système d information Un S.I est un réseau complexe de relations structurées oùinterviennent hommes, machines et procédures qui a pour but d engendrer des flux ordonnés d informations pertinentes provenant de différentes sources et destinées à servir de base aux décisions. Source: Hugues Angot (Prof. Ichec, ) Etienne Stanus Institut Jules Bordet 64

65 Sécuriséles SI => notion de risque Sens Commun: Risque: contingence indésirable, appréhendée, relativement anodine et peu probable. Danger: hautement probable, suppose la possibilité d'un dommage grave, notamment des blessures ou la mort. Définition ISO 31000:2009 le risque est l effet de l incertitude sur les objectifs Définition de l ingénieur: le risque est la combinaison de probabilité d évènement(s) et de sa (leurs) conséquence(s) Etienne Stanus Institut Jules Bordet 65

66 Démarche générale Évaluer les risques et leur criticité quels risques, quelles menaces, quel scenarii sur quelles données et quelle activité avec quelles conséquences Rechercher et sélectionner les parades : que va-t-on sécuriser, quand et comment Avec quelles ressources (temps, compétences, ) Mettre en œuvre les protections Prévention, réduction, acceptation, transfert du risque vérifier leur efficacité. Etienne Stanus Institut Jules Bordet 66

67 Diagramme d Ishikawa Ressources humaines Règlementation externe Sécurité physique et environnemen t Contrôle d accès logique Développement et maintenance. Changement Gestion de la continuité Procédures internes Effets positifs ou négatifs Inventaire et classification Ressources Règlementation interne Etienne Stanus Institut Jules Bordet 67

68 De la loi. et de l esprit des lois Etienne Stanus Institut Jules Bordet 68

69 Quelques lois et règlements Celles citées dans la circulaire du 9/9/2011 Loi coordonnée sur les hôpitaux Lois relatives à la Banque-carrefour Protocole Carenet Et quelques autres. Etienne Stanus Institut Jules Bordet 69

70 Droits du patient (loi 22/8/2002) Les droits du patient comprennent : La qualité du service Le choix du praticien Le droit à l'information Le consentement La protection de la vie privée Un dossier de patient soigneusement tenu àjour et conservé en lieu sûr. Le recours à la médiation Etienne Stanus Institut Jules Bordet 70

71 Lois et directive sur la protection de la vie privée Données à caractère personnel Déclaration préalable àla collecte de ces données Traitement licite, justifié, proportionnel Objectif défini Qualité des données Données sensibles: race, santé, judiciaire, opinions politiques et syndicales, convictions philosophiques, préférences sexuelles. Droit de la personne concernée Restrictions d exportation de ces données Etienne Stanus Institut Jules Bordet 71

72 Proposition de révision de la directive européenne (26/1/2012) Consentement en termes «clairs» Information sur le stockage des données, comment àquelles fins et pour quelle durée. Désignation d un déléguéàla protection des données si traitement de données à risque au regard des droits et libertés des personnes physiques Droit àl'oubli numérique: obligation de suppression des données sauf motif légitime. Obligation de notification des violations de sécurité àl autoriténationale àla personne concernée Portabilité des données Etienne Stanus Institut Jules Bordet 72

73 Conventions collectives de travail CCT 81: Convention collective de travail n 81 du 26 avril 2002 relative a la protection de la vie privée des travailleurs a l'égard du contrôle des données de communication électroniques en réseau CCT 68: Convention collective de travail n 68 du 16 juin 1998 relative a la protection de la vie privée des travailleurs a l'égard de la surveillance par cameras sur le lieu de travail Etienne Stanus Institut Jules Bordet 73

74 Recherche / Ethique Arrêté Royal instituant les CEM ou Comité d'ethique Médicaux Hospitaliers (12 août 1994) Loi relative àla recherche sur les embryons in vitro (5/2003) Loi relative à l'expérimentation humaine (5/2004) Loi relative àl'obtention et àl'utilisation de matériel corporel humain destinéàdes applications médicales humaines ou àdes fins de recherche scientifique (décembre 2008) Etienne Stanus Institut Jules Bordet 74

75 Secret professionnel et devoir de discrétion Qui est concerné? Art. 458 du Code pénal. Tous ceux qui, par état ou par profession, sont dépositaires des secrets qu on leur confie. Art. 70 du Code de déontologie médicale. Le médecin veillera àfaire respecter par ses auxiliaires les impératifs du secret médical Personnel sui generis: obligation de confidentialité, relative àtout ce qu ils pourraient apprendre sur l identitéet/ou l état du patient durant leur travail Etienne Stanus Institut Jules Bordet 75

76 Sanction Dans quelle mesure? Plaintes: Loi sur la criminalitéinformatique 28/11/2000 faux en informatique fraude Hacking sabotage de données informatiques modification du Code d'instruction criminelle Secret de la correspondance code pénal art. 314 bis Secret des communications loi du 21 mars 1991 Loi vie privée chap VIII, BCSS chap VII Etienne Stanus Institut Jules Bordet 76

77 Normes/ guides de bonnes pratiques Désignent un état habituellement répandu ou moyen considéréle plus souvent comme une règle à suivre. N ont pas valeur contraignante sauf àêtre inscrite explicitement dans la loi Liens utiles Etienne Stanus Institut Jules Bordet 77

78 Normes ISO/CEI 27%%% ISO/CEI : Introduction et vue globale de la famille 27xxx, glossaire des termes (5/2009) ISO/CEI : Norme de certification des SMSI (2005) ISO/CEI : Guide des bonnes pratiques en SMSI (BS 7799, 2005, renumérotation 2007) ISO/CEI : Guide d'implémentation d'un SMSI (3/2010) ISO/CEI : Norme de mesures de management de la sécuritéde l'information (12/7/2009) ISO/CEI : Norme de gestion de risques liés à la sécurité de l'information (5/2011) ISO/CEI : Guide de processus de certification et d'enregistrement (1/12/2011) ISO/CEI : Guide directeur pour l'audit des SMSI (14/11/2011) ISO/CEI : Lignes directrices de vérification en matière de mesures de sécurité (15/10/2011) ISO/CEI : Guide pour l'implémentation de ISO/CEI dans l'industrie des télécommunications (publié le 15/12/2008) ISO/CEI : Guide pour l'implémentation de ISO dans l'industrie de la santé(12 /6/2008) Disponibles sur Etienne Stanus Institut Jules Bordet 78

79 Food and Drug Administration Chapter 21 part 11: «regulations that provide criteria for acceptance by FDA, under certain circumstances of: Subpart B: electronic records, Subpart C: Electronic signatures, and handwritten signatures executed to electronic records as equivalent to paper records handwritten signatures executed on paper Etienne Stanus Institut Jules Bordet 79

80 FDA/HIPAA quelques liens intéressants Site general: FDA guidance for industry: Computerized systems in clinical trials: m htm FDA guidance: General principles of software validation: gulationandguidance/guidancedocuments/ucm p df Health Insurance Portability and Accountability Act Etienne Stanus Institut Jules Bordet 80

81 Où trouver l information de base? ou qu existe-t-il déjàdans l institution / sur le net? Etienne Stanus Institut Jules Bordet 81

82 Sources utiles Direction(s) Comité d éthique Départements (tous! ) Règlement vie privée: Annexe A, loi hôpitaux 1994 Règlement d ordre intérieur, procédures écrites Contrats d achat, de (télé)maintenance, d embauche Gestionnaires de risques / qualité Etienne Stanus Institut Jules Bordet 82

83 Système qualité/ gestion des risques Tout cela existe déjà probablement chez vous! Laboratoire ISO 17025/15189 Manuel de Qualité Formaliser les règles d organisation et les procédures Consolidation de la connaissance Coordinateur Qualité de mener àbien l établissement du manuel de qualité suivre son application et son évolution. Responsabilité des parties Cellule / projet qualité ISO 9000 Cellule/projet sécuritédu patient OMS Service interne/externe de prévention et protection Note: Evolution des normes 2011: draft 15189: Ajout d un volet très «sécuritédu système d information» Etienne Stanus Institut Jules Bordet 83

84 Information Technology Infrastructure V2 Soutien des services (Service Support) Library Fourniture des services (Service Delivery) Gestion des infrastructures informatiques (ICT infrastructure management) Gestion de la sécurité(security management) Point de vue métier (The business perspective) Gestion des applications (Application management) Gestion des actifs logiciels (Software asset management) Planification pour la mise en œuvre des services (Planning to implement service management)) V3 Stratégie des services (Service Strategy) Conception des services (Service Design) Transition des services (Service Transition) Exploitation des services (Service Operation) Amélioration continue des services (Continuous Service Improvement) Le «Service Support Repository»et les «logs d exploitation»sont des mines d informations importantes, mais à trier Etienne Stanus Institut Jules Bordet 84

85 GMSIH / ANAP Groupement pour la modernisation du système d information hospitalier ( ) Missions La mise en cohérence des systèmes d information utilisés par les établissements de santé, la contribution àleur interopérabilitéet leur ouverture, tout en aidant à développer leur sécurité. Favoriser l échange de l information dans les réseaux de santéen vue de l amélioration de la coordination des soins. Délivrables Publication de référentiel; Accompagnement concret dans les établissements ; Représentant dans les organismes de normalisation ; Intégréàl'Agence Nationale d'appui àla Performance des établissements sanitaires et médicosociaux (ANAP) Etienne Stanus Institut Jules Bordet 85

86 _securite_06_2004.zip Etienne Stanus Institut Jules Bordet 86

87 Première auto-évaluation concrète Etienne Stanus Institut Jules Bordet 87

88 Outil en Excel Etienne Stanus Institut Jules Bordet 88

89 Etienne Stanus Institut Jules Bordet 89

90 Etienne Stanus Institut Jules Bordet 90

91 Note Les données présentées ne sont pas représentatives d une entitéparticulière Toute ressemblance avec des personnes (morales) ou des événements existants ou ayant existé est fortuite Etienne Stanus Institut Jules Bordet 91

92 Note Les données présentées ne sont pas représentatives d une entitéparticulière Toute ressemblance avec des personnes (morales) ou des événements existants ou ayant existé est fortuite Etienne Stanus Institut Jules Bordet 92

93 Note Les données présentées ne sont pas représentatives d une entité particulière Toute ressemblance avec des personnes (morales) ou des événements existants ou ayant existé est fortuite Etienne Stanus Institut Jules Bordet 93

94 Note Les données présentées ne sont pas représentatives d une entité particulière Toute ressemblance avec des personnes (morales) ou des événements existants ou ayant existé est fortuite Etienne Stanus Institut Jules Bordet 94

95 Note Ne pas mettre la charrue avant les bœufs Etienne Stanus Institut Jules Bordet 95

96 Etienne Stanus Institut Jules Bordet 96

97 Et maintenant? SMSI: Quelques points sensibles Etienne Stanus Institut Jules Bordet 97

98 Mise en place d un SMSI Pour bien commencer Créer / participer «Forum de la sécuritéde l information» Groupes de travail Confidentialité Droits d accès au système d information Dossier / droits patient Bio banques. Etienne Stanus Institut Jules Bordet 98

99 Politique de sécurité cadre GMSIH: Guide méthodologique Politique de Sécurité cadre Politique d autorisation Fiche de poste du conseiller en sécurité de l information KSZ-BCSS: Documents PDF disponibles gratuitement sur Normes minimales de sécurités à respecter par les institutions de sécurité sociale Code éthique de bonne conduite des conseillers en sécurité Information Security Management System Etienne Stanus Institut Jules Bordet 99

100 Etablissement de périmètres Evolution des systèmes d information de santé Système Diogène HUG Prof Jean-Raoul Scherrer, MD Source: ge002.jpg G% pdf Etienne Stanus Institut Jules Bordet 100

101 Analyse de risque Quelques méthodes et outils parmi d autres EBIOS -Expression des Besoins et Identification des Objectifs de Sécurité Outil: EBIOS 2010 Licence Cecill Source: Application des politiques cd sécurité GMSIH MEHARI Méthode harmonisée d'analyse des risques n/ouvrages/type.asp?id=methodes Outil: MEHARI 2010 Licence GNU pour Excel, OpenOffice Autres méthodes: Etienne Stanus Institut Jules Bordet 101

102 Plan de Continuitéd'Activité ou plan de Secours Informatique? Continuité: de quoi? des soins => impératif des activités de support des activités de recherche Cohérence et implication dans et avec le plan «Mise en Alerte Service Hospitalier» Exercices et maintenance Etienne Stanus Institut Jules Bordet 102

103 Plan de Continuitéd'Activité Plan de Secours Informatique Prendre en compte Les possibilités de repli des utilisateurs, Les mesures de contournement pour les métiers le risque sanitaire épidémie, pandémie, risque pour le personnel la gestion de crise (cellules de crise...), la communication de crise, les mesures de contournement pour les métiers, les fonctions transverses (RH, logistique, etc.). Etienne Stanus Institut Jules Bordet 103

104 Transferts / archivages de données Restrictions aux transferts de données en dehors de l UE Vie privée (art L. vie privée 8/12/1992) Factures électroniques (art 60 3 CTVA) Obligation spécifique d archiver dans des lieux déterminés / en Belgique Dossier médical (art 15, 17 et 70 L.C. Hôpitaux 7/8/87) Documents sociaux (art. 22 AR 8/8/1980) Documents revenus imposables (art 315 CIR) Etienne Stanus Institut Jules Bordet 104

105 Classification Actifs Pas toujours simple entre l officiel, l officieux, les prêts, le matériel personnel, la recherche, Information Attention au vocabulaire: Hôpitaux: information publique, comptable/financière, médicoadministrative, médicale, VIP, sensible BCSS: documents Policy Dataclassification, Policy Datasecurity SécuritéFr: Non classifiée + restreint, confidentielle, secret, très secret, «archives incommunicables» SécuritéGb: Not protectively marked + Restricted, Confidential, Secret, Top Secret. SécuritéUSA: Confidential, Secret, Top Secret. Sensible: peut affecter défavorablement la vie privée Etienne Stanus Institut Jules Bordet 105

106 Archivage Règles transversales Droit des tiers Propriété intellectuelle Vie privée Signature électronique Preuve Force probante des documents électroniques en matière de soins de santé Règles spécifiques Par secteur: GMP, pharma, Par type de document: facture, dossier médical Durée de conservation Etienne Stanus Institut Jules Bordet 106

107 Politique d accès, quelques éléments de réflexion (qui, quand, comment?) Les médecins chargés de la mise au point du diagnostic et du traitement des patients; Les étudiants en médecine affectés officiellement à l'institution Les infirmiers, secrétaires médicales, assistants sociaux et autres collaborateurs paramédicaux qui partagent le secret médical, vu leurs fonctions propres relatives aux soins; Les administratifs hospitaliers chargés de la gestion des informations concernant les patients, du fichier d'identification et du suividu séjour des patients, en vue de la facturation et du contentieux; Les chercheurs dans le cadre d'un protocole de recherche clinique ayant fait l'objet d'un avis positif du Comité d'éthique Le personnel informatique chargédu traitement informatisédes données des patients, dans le cadre de l'informatique hospitalière. Le personnel administratif Le conseiller en sécurité de l information Autre? Etienne Stanus Institut Jules Bordet 107

108 Politique d accès, quelques éléments de réflexion (qui, quand, comment?) Le patient concerné; Les médecins traitants ou les praticiens de l'art de guérir désignés par le patient; Les médecins-conseils des organismes assureurs; Les organismes chargés de la gestion des dons d'organes; S'il y a lieu, et dans les cas définis par la loi, Les registres ( cancer, ) les autorités judiciaires; l'inami (données anonymisées); le Ministère de la Santé publique (données anonymisées). Sous traitants Etienne Stanus Institut Jules Bordet 108

109 Confidentialité Patient = personne en situation de fragilité 1 patient hospitalisé 75 personnes ont accès aux informations de santé (1) Cf.: d_ethiq ue_secret_professionnel_brochure_a5_print. pdf (1) Source: Caizergues C., Cianfarani F., Le secret médical, La revue du praticien, 1998, n 4, p.427 Etienne Stanus Institut Jules Bordet 109

110 Budget Accident ou panne matérielle importante : qui n en a pas eut? Virus: Conficker, Stuxnet, sality.gen, Piratage: Virginia Health Professions Database hacking 2009 : 8,257,378 patient records, 35,548,087 prescriptions dérobées, rançon demandée : 10 million $ foudre, inondations: Tubize, novembre 2010 Etienne Stanus Institut Jules Bordet 110