ISO 27002 // Référentiels de la santé Vue des établissements de santé Club 27001 27/03/2015 Nicole Genotelle Version 1.0
Sommaire Contexte Thématiques 27002 // référentiels de santé Exemples de mise en œuvre 2
Quelques instances de la santé ANAP : Agence Nationale d Appui à la Performances des établissements de santé et médico-sociaux) ARS : Agences Régionales de Santé ASIP Santé : Agence des Systèmes d Information partagés en Santé DGOS : Direction Générale de l Offre de Soins Etablissements de santé : public, privé, ESPIC (environ 2700 en France) DSSIS : Délégation à la Stratégie des Systèmes d information de Santé HAS : Haute Autorité de Santé 3
Contexte Référentiel Promoteur Périmètre ISO 27799 : gestion de la sécurité de l information relative à la santé en utilisant 27002 Complément ISO 27002 dans le domaine de la santé Domaines Hôpital Numérique Subventions des ES en 2015 et 2017 PGSSI-S en cours de finalisation ISO version 2006 basée sur 27002:2005 DGOS ASIP Santé Informations de santé SI de Santé Comporte un canevas de PSSI (Dec. 2014) Certification des comptes DGOS SI au regard de la production financière Guide méthodologique de l auditabilité des SI Eléments d Investigation Obligatoires (EIO) HAS SI PSSIE publiée en juillet 2014 ANSSI SI HADS : Hébergeur Agréé de Données de Santé ASIP Santé SI externalisé RGS V2.0 publié été 2014 ANSSI Autorités administratives dans leurs relations entre elles et avec les usagers Carte CPS ASIP Santé Authentification + Signature SI ISO 22600 : Informatique de santé - Gestion de privilèges et contrôle d accès ISO 27789 Informatique de santé - Historique d'expertise des dossiers de santé informatisés ISO 17090, etc. ISO version 2014 ISO version 2013 Partages d informations de santé au-delà d un établissement Structure d historisation des accès aux dossiers informatisés de santé 4
Axes stratégiques HN Axe 1 : Gouvernance Combler les manques de Gouvernance SI et favoriser l implication dans le SI des professionnels de la santé et cadres dirigeants Axe 2 Compétences Renforcer les compétences relatives aux SIH Axe 3 : Offre Stimuler et structurer l offres de solutions Axe 4 : Financement Financer un socle de priorités, subordonné à l atteinte de cibles d usage 5
Objectifs DGOS Amener les ES à prendre en main leur SI et dont les aspects sécurité Subventions des ES sous conditions, par les ARS entre 2015 et 2017 Programme Hôpital numérique rapport d activité 2014 : «Ce programme concerne l ensemble des établissements de santé (publics, privés et ESPIC) et a notamment pour ambition de les amener à un palier de maturité de leurs systèmes d informations..» «Amener le système d information de l ensemble des établissements de santé au palier de maturité Hôpital numérique, caractérisé par : - Des pré-requis indispensables pour assurer une prise en charge du patient en toute sécurité - Cinq domaines fonctionnels prioritaires pour lesquels le programme définit des exigences d usage du SI.» 6
La carotte : subventions ARS Seuil d eligibilité : Prérequis nécessaire pour le dépôt de dossier Identités mouvements P1.1 : Taux d'applications au cœur du processus de soins, de la gestion administrative du patient et du PMSI connectées à un référentiel unique d'identités des patients P1.2 : Cellule d'identitovigilance opérationnelle P1.3 : Taux d'applications au cœur du processus de Traçabilité soins, de la gestion administrative du patient et du PMSI connectées à un référentiel unique de séjours et de mouvements des patients P1.4 : Existence d un référentiel unique de structure de l établissement (juridique, géographique, fonctionnel) piloté et mis à jour régulièrement dans les applicatifs, en temps utile Fiabilité disponibilité P2.1 : Existence d un PRA du SI formalisé P2.2 : Existence d une observation du taux de disponibilité avec fourniture du taux cible, de la méthode d évaluation et du taux évalué Disponibilité P2.3 : Existence de procédures assurant d'une part un fonctionnement dégradé du système d'information au cœur du processus de soins en cas de panne et d'autre part un retour à la normale Confidentialité P3.1 : Existence de la politique de sécurité, de l analyse des risques et d une fonction de référent sécurité P3.2 : Existence d une charte ou d un document formalisant les règles d accès et d usage du SI, en particulier pour les applications gérant des données de santé à caractère personnel, diffusé au personnel, aux nouveaux arrivants, prestataires et fournisseurs Confidentialité P3.3 : Existence et procédure de diffusion : Information des patients sur les conditions d utilisation des données de santé à caractère personnel P3.4 : 90% des applications gérant des données de santé à caractère personnel intégrant un dispositif d'authentification personnelle P3.5 : 100% des applications permettant une traçabilité des connexions au SIH Valeur cible : Les domaines prioritaires pour l obtention des subventions Les résultats d imagerie, de biologie et d anatomo-pathologie ; Le dossier patient informatisé et interopérable ; La prescription électronique alimentant le plan de soins ; La programmation des ressources et l agenda du patient ; Le pilotage médico-économique. Intégrité Sur la base de la SSI induite par les prérequis 7
Déclinaison des thématiques 27002 // référentiels de santé Eclairage des points d attention santé
Rapprochement des référentiels Bonnes pratiques sécurité des SI en lien avec les thématiques évoquées dans la PGSSI-S, la certification des comptes Thématiques ISO 27002 : Bonnes pratiques sécurité Thématiques PSSI de la PGSSI-S (i.e. Prérequis SSI HN) Guide méthodologique auditabilité des SI (CC) Conformité Répondre aux obligations légales Revue de la sécurité de l information Politique de sécurité de l'information Promouvoir et organiser la sécurité Politique de sécurité de l'information Organisation de la sécurité de l'information Sécurité liée aux ressources humaines Organisation interne Sécurité liée aux ressources humaines Sécurités physiques et environnementales Assurer la sécurité physique des locaux Zone sécurisées Gestion des actifs Protéger les infrastructures informatiques Manipulation des supports Exploitation et gestion des communications Protection contre les logiciels malveillants et sauvegarde et sécurité des réseaux Contrôle d'accès Maîtriser les accès aux informations Exigences métier pour le contrôle d'accès, gestion des accès utilisateurs, au Acquisition, développement et maintenance des systèmes d'informations Acquérir des équipements logiciels et services systèmes et aux applications Exigences sécurité applicables aux SI et aux processus de développement et d assistance Gestion des incidents Limiter la survenue et les conséquences Gestion des incidents liés à la sécurité de d incidents de sécurité l information Gestion de la continuité d'activité Gestion de la continuité d'activité et redondances 27002 // référentiels de la santé 27/03/2015 9
Politique de sécurité et organisation et sécurité RH Commun Importance de la PSSI, de sa diffusion et du soutien de la direction Définition des rôles et responsabilité autour de la sécurité Importance de la sensibilisation Référentiels santé PGSSI-S (ASIP Santé) et HAS (EIO) Importance de la sensibilisation concernant l accès aux données personnel de santé Recueil du consentement des patients Certification des comptes (DGOS) Importance de la séparation des responsabilités RSSI / DSI 10
Gestion des actifs Commun Importance de la prise en compte des supports amovibles et en particulier leur manipulation Référentiels santé PGSSI-S (ASIP Santé) Identification et suivi des actifs (y compris mobiles) Certification des comptes (DGOS) Identification des responsabilités en matières de sécurité par rapport aux actifs (porteur) HAS (EIO) 11
Contrôle d accès logique et physique Commun Définition de profil métiers Suivi / Contrôles réguliers Contrôle d accès physiques restreints Sécurité environnementale Référentiels santé PGSSI-S (ASIP Santé) Importance de la maîtrise des accès aux applications contenant des données de santé Indicateurs d applications gérant des données de santé à caractère personnel intégrant un dispositif d'authentification personnelle Certification des comptes (DGOS) Importance de la séparation des pouvoirs et du suivi de ceux-ci Justification et contrôles renforcés en cas d applications aux fonctionnalités d authentification limitées Règles de gestion des mots de passe strictes HAS (EIO) Identification de niveaux d habilitation par application Sécurité physique et logique des matériels 12
Cryptographie Commun Sujet non traité (pas mûre pour les ES excepté sur les aspects messagerie) Référentiels santé PGSSI-S (ASIP Santé) Certification des comptes (DGOS) HAS (EIO) 13
Exploitation Commun Existence de procédures d exploitation Lutte contre le code malveillant Sauvegarde Importance de la traçabilité Référentiels santé PGSSI-S (ASIP Santé) Suivi du dimensionnement Suivi des vulnérabilités techniques Traçabilité des actions sur les données de santé et internet Indicateur d applications permettant une traçabilité des connexions au SIH Certification des comptes (DGOS) Revue d activité des comptes à pouvoir HAS (EIO) 14
Communication Commun Identification de l architecture Référentiels santé PGSSI-S (ASIP Santé) Maîtriser les flux Cloisonner les réseaux Sécuriser et maitriser l exploitation des réseaux Wifi distinct «professionnel» et «invité» Mettre en place des règles d échange et de partage de données de santé à caractère personnel Certification des comptes (DGOS) Existence de dispositif de pare-feu HAS (EIO) 15
Acquisition, dév., maintenance et relations fournisseurs Commun Mise en place de clauses contractuelles SSI Encadrement des prestations (procédures, responsabilités) Référentiels santé PGSSI-S (ASIP Santé) Intégration de la SSI dans les cahiers des charges Demande d engagement des fournisseurs et industriels aux guides pratiques PGSSI (dispositifs connectés, accès tiers, règles d interventions à distances, etc ) par exemple pour les fournisseurs d équipements biomédicaux Exigences d interoperabilité (ex : DMP) S assurer de la capacité de restitution des données de santé à caractère personnel sous une forme réutilisable par la structure Validation avant MEP Formation (exploitation et utilisateurs) en cas de changement ou nouveaux composants Externalisation de données de santé = HADS Certification des comptes (DGOS) Procédure de gestion des dév. et acquisition (méthode de gestion de projet validé par la DSI) Sécurisation de la MEP Revue des habilitations après migration HAS (EIO) Charte sécurité du SI des prestataires intégrée à tous les AO Externalisation de données de santé = HADS 16
Gestion des incidents sécurité Commun Formaliser la gestion des incidents de sécurité Référentiels santé PGSSI-S (ASIP Santé) Recueil des preuves en particulier connexion à un service web Certification des comptes (DGOS) Les incidents majeurs et la mise en œuvre de traitements particuliers sont tracés HAS (EIO) 17
Gestion de la continuité Commun Limiter la survenue et les conséquences d incidents de sécurité Référentiels santé PGSSI-S (ASIP Santé) Mise en place d un plan de continuité de fonctionnement du SI Santé et le tester Existence d'un Plan de Reprise d'activité (PRA) formalisé pour l ensemble du SIH Suivi de la disponibilité des ressources informatiques Certification des comptes (DGOS) PRA qui couvre l exhaustivité des applications critiques au regard de la production financière Productions et diffusions d indicateurs sur la disponibilité du SI HAS (EIO) Existence d un plan de reprise de l activité (PRA) et de procédures dégradées connues des professionnels 18
Conformité Commun Revue indépendante de la sécurité Examen de la conformité technique Mise en place de dispositif permettant une amélioration continue Référentiels santé PGSSI-S (ASIP Santé) Respects des principes de la protection des données à caractères personnel Suivi des déclaration et demande d autorisation CNIL Répondre aux obligations de conservation et de restitution des données Veille réglementaire Certification des comptes (DGOS) HAS (EIO) 19
Mise en œuvre Exemples
Suivi de l avancement de la sécurité du SI / référentiels santé 21
Diagnostic de la sécurité du SI / référentiels 22
Rédaction de PSSI : PSSIE vs PSSI de la PGSSI-S Les 10 principes stratégiques de la PSSIE P1. Lorsque la maîtrise de ses systèmes d information l exige, l administration fait appel à des opérateurs et des prestataires de confiance. Dans le monde de la santé : exigence de la certification HADS pour l hébergement des données par un prestataire P2. Tout système d information de l État doit faire l objet d une analyse de risques permettant une prise en compte préventive de sa sécurité, adaptée aux enjeux du système considéré. Cette analyse s inscrit dans une démarche d amélioration continue de la sécurité du système, pendant toute sa durée de vie. Cette démarche doit également permettre de maintenir à jour une cartographie précise des systèmes d information en service. P3. Les moyens humains et financiers consacrés à la sécurité des systèmes d information de l État doivent être planifiés, quantifiés et identifiés au sein des ressources globales des systèmes d information. P4. Des moyens d authentification forte des agents de l État sur les systèmes d information doivent être mis en place. L usage d une carte à puce doit être privilégié. P5. Les opérations de gestion et d administration des systèmes d information de l État doivent être tracées et contrôlées. P6. La protection des systèmes d'information doit être assurée par l application rigoureuse de règles précises. Ces règles font l'objet de la présente PSSIE. P7. Chaque agent de l État, en tant qu utilisateur d un système d information, doit être informé de ses droits et devoirs mais également formé et sensibilisé à la cybersécurité. Les mesures techniques mises en place par l État dans ce domaine doivent être connues de tous. P8. Les administrateurs des systèmes d information doivent appliquer, après formation, les règles élémentaires d hygiène informatique. P9. Les produits et services acquis par les administrations et destinés à assurer la sécurité des systèmes d information de l État doivent faire l objet d une évaluation et d une attestation préalable de leur niveau de sécurité, selon une procédure reconnue par l ANSSI («labellisation»). P10. Les informations de l administration considérées comme sensibles, en raison de leurs besoins en confidentialité, intégrité ou disponibilité, sont hébergées sur le territoire national. 23
Merci de votre attention