Une fiche de Mission pour les Référents SSI. Projet régional ARS PdL «Programme Hôpital Numérique» et «SSI»

Transcription

1 Une fiche de Mission pour les Référents SSI Projet régional ARS PdL «Programme Hôpital Numérique» et «SSI» Compte-rendu du groupe de Travail 24 octobre 2014

2 Personnes présentes François TESSON Véronique VALLEE Hervé MENORET Irène CHAIGNEAU Christophe DUVAL Peggy GAILLARD Vincent TRELY 14h00 17h00 Tour de table Introduction de François TESSON Notice et éléments de référence Résumé des échanges Ecosystème du Référent SSI Fiche Mission Référent SSI 2013 Agence Régionale de Santé des Pays de la Loire Direction de l Efficience de l Offre - 2

3 Le RGS de l ANSSI Le Programme Hôpital Numérique DGOS - Fiche pratique n 6 : Fiche de poste type d un RSSI et description des fonctions d un référent sécurité du système d information La PGSSI S de l ASIP Santé - ANNEXES : détail des grandes fonctions SSI Eléments de référence I 2013 Agence Régionale de Santé des Pays de la Loire Direction de l Efficience de l Offre - 3

4 Eléments de référence II Le terme «mission» renvoie au fait que l activité de référent SSI est une activité cumulée avec d autres activités du professionnel concerné. Il indique également que cette fonction peut avoir un caractère transitoire. Le terme «type» indique qu il s agit d une fiche standard, applicable à l ensemble des structures impliquées et qui devra donc être adaptée à minima pour chaque référent, au regard de son contexte. La méthode d élaboration suivra le principe suivant : Que doit FAIRE le Référent SSI? Comment le Référent SSI réalise-t-il ses missions? De quelles compétences et de quels soutiens a-t-il besoin pour FAIRE ou FAIRE FAIRE? Les grandes fonctions SSI Définition et mise en œuvre de la Politique de Sécurité des Systèmes d Information (ou PSSI S) Diagnostic et analyse des risques techniques et métiers Choix des mesures de sécurité et mise en œuvre (via l entité Informatique de la structure) Le Référent SSI «fait faire» Sensibilisation, formation et conseil sur les enjeux de la SSI Audit et contrôle de l application des règles de la PSSI Veille technologique et prospective Il est important de noter que le Référent SSI devra s appuyer sur les équipes informatiques en place et / ou les prestataires en charge de la gestion du SI et sur les équipes métiers de la structure La fiche mission pourra évoluer en fonction de l évolution du poste au sein de la structure Elle propose une trajectoire 2013 Agence Régionale de Santé des Pays de la Loire Direction de l Efficience de l Offre - 4

5 Résumé des échanges I Le Référent SSI est : Identifié, reconnu et nommé par la Direction Générale Courrier Soutenu par une instance décisionnaire sur la SSI. De manière pragmatique, dans la phase initiale de prise en compte de la SSI, cette instance doit être intégrée à une instance déjà existante au sein de la structure, qui traitera périodiquement de la thématique SSI (exemple : CME, Commission Risques Santé, Comité de Direction). Idéalement, à terme et suivant le contexte de la structure, un Comité de Sécurité des SI (COSSI) pourra être créé. Dépendant de la formalisation des processus critiques (HAS V2014) Le Référent SSI n est pas : Responsable de la Sécurité des SI (RSSI) Le rédacteur de la PSSI, même s il participe à ce travail ou le coordonne Un expert attendu des problématiques SSI Le rédacteur des analyses de risques et des procédures SSI 2013 Agence Régionale de Santé des Pays de la Loire Direction de l Efficience de l Offre - 5

6 Résumé des échanges II Le Groupe de Travail note les points suivants : Lorsque le Référent SSI est rattaché à la DSI, attention à sa légitimité en tant que «critique» des processus SI L interfaçage entre le Référent SSI et le Gestionnaire des Risques est évident Les événements indésirables liés à la SSI sont transmis pris en compte par le GDR. Le Référent SSI en assure le suivi et coordonne leur traitement. Les processus métiers incluant les processus critiques sont modélisés par les fonctions Qualité / Gestion des Risques Le Référent SSI doit être intégré dans la démarche projet de la DSI pour être informé du portefeuille de projet et des processus de changement, ceci afin d intégrer la sécurité dès l initiation des projets (intégration au PDCA) Envisager un groupe de travail périodique des Référents SSI qui permettrait d échanger sur les actions menées dans les établissements et avoir des retours sur des sujets d actualités (BYOD, messagerie sécurisées, évolution PGSSI-S ). DSI ou RSSI pourraient y être présents Agence Régionale de Santé des Pays de la Loire Direction de l Efficience de l Offre - 6

7 Fiche Mission Le Référent SSI : Prend connaissance des documents SSI au niveau national, régional et local Coordonne les analyses de risques informatiques / métiers liées à la SSI et assure le suivi du plan de traitement des risques Rend compte périodiquement à l instance décisionnaire sur la SSI Participe aux instances de la gestion des risques Sensibilise les personnels aux risques et aux dangers du numérique, selon les recommandations des textes de référence Ou coordonne les actions de sensibilisation Coordonne la définition, la rédaction et la mise en œuvre de la PSSI Participe activement Assure le suivi de la réalisation des éléments constituant la PSSI et leur diffusion dans l Etablissement Assure une veille technique, organisationnelle et réglementaire sur les principes de la SSI Elabore et assure le suivi d un tableau de bord des actions SSI Assure le reporting Assure le suivi et coordonne le traitement des événements indésirables liés à la SSI Quand l organisation de l Etablissement ne l a pas prévu, s assure de la conformité de l Etablissement avec les exigences CNIL Le Référent SSI possède les compétences et qualités suivantes : Il sait adapter son langage à ses interlocuteurs Il est motivé par les systèmes d information et leurs grands principes de fonctionnement et de management Il a connaissance des principaux processus et outils du SI Il est diplomate, communicant et bon rédacteur Il maîtrise les outils bureautiques 2013 Agence Régionale de Santé des Pays de la Loire Direction de l Efficience de l Offre - 7

8 Le PDCA S : Simple M : Mesurable A : Accessible R : Responsabilisant T : Tangible On peut également traduire SMART : Spécifique (est-ce bien défini?), Mesurable, choisir un Accord acceptable, Réaliste et réalisable, dans un Temps déterminé SMI : Système de Management Intégré 2013 Agence Régionale de Santé des Pays de la Loire Direction de l Efficience de l Offre - 8

9 Ecosystème du Référent SSI Direction Générale Biomédical Infrastructures PSSI Comité Sécurité des SI Cellule Identitovigilance DSIH DIM Référent SSI Gestion des Risques Dans le contexte de certains Etablissements de Santé, en particulier de petite taille, la création d un Comité SSI en plus des Instances existantes peut s avérer difficile. On cherchera alors à positionner la responsabilité du suivi de la PSSI au sein d un Comité existant. Le Comité retenu ajoutera le suivi de la PSSI à son ordre du jour régulier Agence Régionale de Santé des Pays de la Loire Direction de l Efficience de l Offre - 9

10 Activités SSI détail et tâches I Définition et mise en œuvre de la PGSSI Prendre connaissance des documents produits dans le cadre du Programme Hôpital numérique en lien avec la SSI Prendre connaissance de la PGSSI-S et de ses annexes définies par l ASIP Santé Adapter les besoins et les objectifs de sécurité de la structure en collaboration avec le Management «administratif» et le Management «Médical» Contextualiser une PSSI adaptée à son contexte Communiquer les éléments de cette PSSI Mettre en place un système de management de la PSSI (type processus Qualité), incluant un suivi et une mesure d atteinte des objectifs Proposer un plan d actions annuel permettant la déclinaison de la PSSI Mettre en œuvre les actions permettant de décliner cette PSSI Diagnostic et analyse des risques Diagnostiquer le niveau de sécurité général de la structure à l aide des outils d évaluation fournis par les Instances nationales et / ou régionales Etablir et classer les familles de risques issues de l audit Réaliser des analyses de risque par fonction métier (Que peut-il arriver? Quelles en seraient les conséquences? Comment couvrir le risque? Quelles mesures immédiates prendre en cas d incident? Quelles mesures correctives mettre en œuvre?) Intégrer dans le plan d actions les actions de couverture des risques Choix des mesures de sécurité et plan de mise en œuvre Tenir à jour le plan d actions et en communiquer régulièrement l avancement Lister les mesures techniques ou organisationnelles à mettre en œuvre pour couvrir les risques Négocier avec chaque ligne métier les conditions de leur mise en œuvre Contractualiser le plan de mise en œuvre (ce sont les Directions Métiers ou Médicales qui «assument les risques») Travailler en étroite collaboration avec l équipe informatique pour couvrir les risques techniques Travailler en collaboration avec l équipe biomédicale pour couvrir les risques liés ANNEXES 2013 Agence Régionale de Santé des Pays de la Loire Direction de l Efficience de l Offre - 10

11 Activités SSI détail et tâches II Sensibilisation, formation et conseil sur les enjeux de la SSI Sensibiliser les cœurs de Métiers aux enjeux de la SSI et adapter le discours à l auditoire Travailler en collaboration avec la DRH et la Direction des Soins pour intégrer la SSI dans les processus de recrutement et de formation des professionnels Participer aux réunions de lancement de l ensemble des projets techniques pour y porter la voix SSI et vérifier que l amont, le pendant et l aval sont conformes aux exigences de la PSSI Utiliser tous les moyens disponibles pour mener les actions de sensibilisation (journal interne, Intranet, réunions plénières ) Audit et contrôle de l application des règles de la PSSI Prendre connaissance des outils d audit et de contrôle produits par les Instances nationales et / ou régionales Réaliser a minima un audit interne annuel global permettant de mesurer le niveau de sécurité Commanditer a minima tous les 3 ans un audit technique externe (systèmes, réseaux, management de la PSSI) Rendre compte régulièrement de l évolution du niveau de sécurité Mettre à jour le plan de gestion des risques en fonction des changements au sein de la structure Veille technologique et prospective Assurer une veille sur les sites institutionnels du Ministère, qui documentent régulièrement les modalités de mise en œuvre et de suivi de la PGSSI-S Assurer une veille technologique globale liée à la SSI Se mettre en rapport régulier avec le coordinateur régional Alerter le coordinateur régional ou les Instances nationales en cas de risque majeur détecté ANNEXES 2013 Agence Régionale de Santé des Pays de la Loire Direction de l Efficience de l Offre - 11

12 Agence Régionale de Santé Pays de la Loire CS NANTES Cedex 2 T