PGSSI-S Guide pratique d une démarche sécurité SI en ES
Guide pratique d une démarche sécurité SI en ES pour sensibiliser les directions Cible : les directions des ES les établissements de taille moyenne, qui n ont pas initié de démarche sécurité (ou juste commencé). les Directions fonctionnelles de ces établissements (Directeur, DRH, DAF, ) et les médecins DIM, les directions des soins Objectifs : sensibilisation Répondre aux questions initiales du Directeur, de la Direction sur la mise en place d une démarche sécurité dans l établissement, Donner des recommandations aux directions au moment où on décide de nommer un référent sécurité, par exemple indiquer quels objectifs-feuille de route lui fixer, Aider les Directions d établissement à enclencher une dynamique sur le sujet de la politique de sécurité des systèmes d information.
Guide pratique d une démarche sécurité SI en ES Le contexte de la rédaction du guide : L opportunité de faire un retour d expérience des 2 projets Sécurité du SI, financés par le plan Hôpital 2012 : projets portés par les 2 syndicats inter hospitaliers du Limousin et du Nord Pas de Calais, qui visent chacun plus de 20 établissements de taille moyenne et sont en phase finale. La nécessité d inscrire les indicateurs Hôpital Numérique (qui portent sur la sécurité et qui sont aussi utilisés dans le cadre de la certification HAS), dans le cadre d une démarche globale Sécurité du SI. (Idem pour les exigences du guide pour l auditabilité des SI dans le cadre de la certification des comptes). Le développement de l usage des TIC pour la production de soins, les incidents de sécurité dans les établissements,. Le guide s inscrit dans les travaux de la Politique Générale de Sécurité du SI de santé (PGSSI-S), dont il est élément constitutif.
Le contenu du Guide Le guide est composé de 10 fiches complémentaires et indépendantes (il n est pas nécessaire de faire une lecture séquentielle). 10 fiches : 1 Les enjeux de la sécurité de l information pour l établissement de sante. 2 Maitriser la sécurité du Système d Information (SI) Comment? 3 Définition de la sécurité du Système d Information dans les établissements de santé. 4 Pourquoi la Direction est concernée par la sécurité? 5 Pré-requis : un diagnostic et une gouvernance sécurité. 6 La sécurité avant autre chose : le bon arbitrage. 7 Les facteurs clés de succès de la démarche. 8 La communication : un levier essentiel. 9 La documentation sécurité : un minimum est nécessaire. 10 Les coûts de la sécurité.
Le contenu du Guide La diffusion est prévue courant juillet (au plus tôt) / instruction DGOS aux directeurs d établissements Elaboration du guide : de février à mai 2013 trois itérations du document 2 comités de relecture
Quels sont les messages principaux destinés aux Directions des établissements de santé?
Les enjeux de la sécurité du SI dans les établissements L utilisation croissante, de plus en plus importante des technologies de l information dans la production des soins Impact positif sur la qualité des soins, les conditions de travail Mais aussi nouveaux risques et nouvelles contraintes Lien entre incidents de sécurité et qualité de l offre de soins Indisponibilité du DPI Défaut d intégrité du DPI, du paramétrage équipement bio médical Défaut de confidentialité de données médicales d un patient
Les enjeux de la sécurité du SI dans les établissements Les incidents de sécurité (vols, virus, divulgation de données, ) sont souvent liées à des erreurs humaines : Par négligence des règles de sécurité, Par ignorance, Par méconnaissance des risques. La démarche sécurité est là pour réduire le coût et l impact des incidents.
Comment maîtriser la sécurité du SI de l établissement? La Direction doit initier une démarche d amélioration continue, à l instar de ce qui est fait pour la qualité des soins. La démarche sécurité doit ainsi permettre de répondre aux exigences juridiques et réglementaires et de certification. Le guide ne rappelle pas les exigences juridiques et réglementaires, mais renvoie au document juridique de la PGSSI-S. La Direction doit mettre en place une organisation pour animer la démarche. La Direction doit fixer une trajectoire : Cohérente avec la situation et les moyens de l établissement, En ligne avec les besoins de Disponibilité, Intégrité, Confidentialité de l information, Preuve (traçabilité) pour les applications du SIH.
La sécurité : une démarche itérative faite de plusieurs projets Des actions immédiates, à bas coût permettent d améliorer la sécurité Mais la sécurité est aussi faite de projets plus complexes (dont certains ont un impact important sur les utilisateurs du SIH) Sécuriser l infrastructure technique et son exploitation Sensibiliser les utilisateurs du SIH à leurs droits et devoirs Avoir un plan de sauvegarde des données Mettre en place la gestion de la confidentialité des données médicales (gestion des identités de tous les utilisateurs du SIH, gestion de leurs droits d accès aux applications informatiques, carte CPS pour tous (projet IAM)) Mettre en place un plan de continuité et de reprise d activité (projet PRA/PCA) Etc
La Direction doit s impliquer Désigner un pilote de la démarche (le RSSI) et les acteurs clés de la démarche sécurité, Valider les objectifs de sécurité, arbitrer le plan d actions Apporter un soutien actif, communiquer sur l enjeu et les bénéfices de la démarche Approuver la charte d utilisation du SI Soutenir les projets qui impactent les utilisateurs Fixer le budget nécessaire Contrôler et suivre l atteinte des objectifs
Par quoi commencer? D abord, demander un diagnostic pour identifier les risques sur les activités de l établissement Faire une analyse de ces risques pour identifier les actions nécessaires Pour cela, s appuyer sur des professionnels de la sécurité qui connaissent les bonnes pratiques, les référentiels sécurité, les exigences réglementaires
Démarche d analyse des risques Diagnostic sécurité de l établissement Identification d écarts Existe-t-il un risque pour l établissement, si l écart n est pas comblé? Impacts métiers Le risque est-il acceptable? Choix de traitement du risque ACTIONS Contribution aux choix des niveaux de priorité
L arbitrage de la Direction sur le plan d actions La Direction doit arbitrer entre toutes les actions identifiées dans le diagnostic, en fonction des moyens, des impacts organisationnels accepter le risque ou faire l action de réduction du risque; en tenant compte de : L importance des actions immédiates et à bas coût, La nécessité de lisser les actions sur plusieurs années. La Direction doit aussi arbitrer sur le budget annuel dédié à la sécurité.
D abord mettre en place la gouvernance sécurité Une gouvernance pérenne pour une démarche d amélioration continue. La démarche sécurité présente une grande similitude avec la démarche qualité et sécurité des soins. Et donc un mode de fonctionnement assez semblable Certains établissements du Nord et du Limousin envisagent une gouvernance unique de ces deux démarches.
La démarche qualité et la démarche sécurité Sécurité ACTIVITES DE L ETABLISSEMENT Qualité SSI OBJECTIFS Maîtrise des risques Médicaux & techniques Engagement de la direction Comité de pilotage Responsable SSI Cellule de gestion des risques Comité de pilotage Responsable Qualité Plan d action sécurité SI Plan d action qualité
Le choix du responsable sécurité Le responsable sécurité RSSI a au moins deux missions le pilotage de la démarche sécurité avec une connaissance transverse de l établissement; un positionnement pas forcément à la DSI pour assurer le suivi des risques et des incidents, le pilotage de l exécution du plan d actions, sa mise à jour, la production du tableau de bord sécurité, la rédaction de la Politique de Sécurité du SI, une veille réglementaire. l expertise sécurité informatique; un positionnement rattaché à la DSI, pour réaliser les actions techniques de sécurité, maintenir à jour la documentation technique Et donc le choix et le positionnement du responsable sécurité nécessitent réflexion. Certains établissements du Nord et du Limousin font piloter la démarche par le qualiticien, qui s appuie sur un expert de la DSI
La documentation sécurité La cartographie des risques Formalise le besoin de sécurité pour chaque application informatique du SI La Politique de Sécurité du SI de l établissement Formalise le cadre de la sécurité SI dans l établissement La charte d utilisation du SI Les droits et le devoir de tous les utilisateurs Des procédures opérationnelles techniques
Les coûts de la sécurité L essentiel des coûts : moyens humains internes et apport d expertise externe Sauf projets d infrastructure majeur par ex. nouvelle salle informatique Coût du Diagnostic (assistance externe) pour un établissement entre 75 et 150 lits (source projet Nord et Limousin) : Délai de réalisation du diagnostic : 2 à 3 mois Coût d une prestation plus complète avec en sus plan d actions, rédaction de documents sécurité (chiffres UniHA-CHRU de Lille) Charges internes : Premières actions du plan d actions : 1,5 ETP pendant deux mois En routine : entre 0,3 et 0,5 ETP pour un établissement entre 75 et 300 lits
En conclusion Le Guide pratique porte les principaux messages suivants : La Direction doit être convaincue que la sécurité du SI n est pas qu un projet informatique La Direction doit porter une vue globale de la démarche : des objectifs de sécurité répondant aux besoins de l établissement et aux exigences réglementaires et juridiques, une trajectoire réaliste La Direction doit connaitre les risques pesant sur le SI. L adhésion des utilisateurs est un point d attention majeur: Ce sont souvent les utilisateurs, par négligence ou ignorance, qui sont à l origine des incidents. L impact organisationnel d un projet ou d une procédure de sécurité du SI est souvent important (ex. projet contrôle d accès des utilisateurs, test des sauvegardes de données, tests du PRA/PCA)
Merci de votre attention