Auriane Lemesle, RSSI TéléSanté Centre PRÉSENTATION DU GUIDE DE LA DGOS À L ATTENTION DES DIRECTIONS
Introduction à la Sécurité des Systèmes d Information en établissements de santé Fiche N 1 : Les enjeux de la sécurité de l information pour l établissement de santé Fiche N 2 : Maîtriser la sécurité du SI, comment? Fiche N 3 : Définition de la sécurité du SI dans les établissements de santé Fiche N 4 : La Direction acteur important de la démarche sécurité Fiche N 5 : Prérequis : un diagnostic et une gouvernance sécurité Fiche N 6 : La sécurité avant d autres projets : le bon arbitrage Fiche N 7 : Les facteurs clés de succès de la démarche Fiche N 8 : La communication : un levier essentiel Fiche N 9 : La documentation sécurité : un minimum est nécessaire Fiche N 10 : Les coûts de la sécurité
Présentation du guide Destiné aux équipes de Directions des établissements de santé, publics comme privés Fait partie de la PGSSI-S Basé sur les retours d expérience de deux projets régionaux, dans le Nord Pas de Calais et dans le Limousin Pas d ordre de lecture imposé.
Fiche N 1 : Les enjeux de la sécurité de l information pour l établissement de santé Rappelle les enjeux et le contexte vis-àvis des nouvelles technologies de l information et de la communication. L évolution des pratiques Le lien entre incidents de sécurité et qualité de l offre de soins Les conséquences des incidents Les menaces qui pèsent sur le système d information La sécurité pour maîtriser le coût des incidents
Impacts possibles d un incident sur le SI Réputation / image De l événement qui ne porte pas atteinte à l image de l établissement au rejet définitif des patients pour un établissement Social & organisation De la gène ponctuelle à l arrêt prolongé de toute activité de soins De la démotivation du personnel au conflit social Financier De la perte sans impact significatif à celle remettant en cause l équilibre financier de l établissement Responsabilité / juridique De l affaire classée sans suite à la condamnation pénale ou risques judiciaires Patient De l inconfort au décès
Sécurité des SI Disponibilité L information doit être disponible à tout moment aux personnes qui ont accès à cette information. Qualité et continuité des soins Intégrité L information doit être précise, complète et ne doit ni être altérée, ni altérable. Les informations ne doivent pouvoir être modifiées que par les personnes autorisées. Confidentialité Secret professionnel S assurer que l information est seulement accessible à ceux qui en ont l autorisation. Preuve et le Contrôle Responsabilité Assurer la non-répudiation c est-à-dire l impossibilité de nier avoir reçu ou émis un message (preuve) et le contrôle du bon déroulement d une fonction c est-à-dire l auditabilité.
Apports de la sécurité Qualité Performance Disponibilité de l information Espace de confiance Economies Réduction des coûts de la non qualité Diminution des charges Limitation des risques projets Non perte de chiffre d affaire Notoriété Image de marque Confidentialité
Fiche N 2 : Maîtriser la sécurité du SI, comment? Donne les objectifs d une démarche de sécurité du SI avec les principes permettant de maîtriser sa mise en place et les actions prioritaires pour initier la démarche. Les objectifs de sécurité du système d information Répondre aux exigences règlementaires et de certification Valider une démarche réaliste et conforme aux objectifs prioritaires Mettre en place une organisation légitime Initier une démarche d amélioration continue Sensibiliser et informer S appuyer sur les aides extérieures
Fiche N 3 : Définition de la sécurité du SI dans les établissements de santé Présente le fondement d une démarche sécurité ainsi que les projets majeurs associés. Définition de la sécurité du système d information Notions fondamentales : DICP Une démarche itérative composée de plusieurs projets
Sécurité des SI 80 % Organisation Méthodes Garantir l intégrité et la disponibilité des informations et des traitements Techniques Sécurité des Systèmes d Information Préserver la confidentialité des données 20 % Outils Prouver et contrôler que les traitements ont été réalisés dans le strict respect de la législation
Fiche N 4 : La Direction acteur important de la démarche sécurité Précise les différents points où l action de la Direction est nécessaire. Les rôles de la Direction dans la démarche Un soutien obligatoire pour une démarche réussie Les actions à lancer La charte d usage du système d information
Personnes à impliquer Les services généraux pour les aspects de sécurité physique d accès aux locaux et de sécurisation des équipements et fluides Le service informatique, qui est le garant de la mise en œuvre du plan d action relevant de la sécurité informatique. Le correspondant informatique et libertés (CIL). Le responsable des risques et/ou le responsable qualité et sécurité des soins, qui permet d intégrer la sécurité SI dans une gestion globale et coordonnée des risques. Le responsable de la communication
Fiche N 5 : Prérequis : un diagnostic et une gouvernance sécurité Indique par quoi commencer et donne des repères pour organiser la démarche. Pré-diagnostic : 10 questions à se poser Faire réaliser un diagnostic externe Démarche d analyse de risques Elaboration du plan d actions Similarité avec la démarche qualité Pilotage et organisation
Les démarches qualité et sécurité ACTIVITÉS DE Sécurité L ÉTABLISSEMENT Qualité OBJECTIFS Maîtrise des risques Rectifier le traitement du risque Evaluer le risque Rectifier le traitement du risque Evaluer le risque SSI Médicaux et techniques Surveiller le risque Traiter le risque Surveiller le risque Traiter le risque Engagement de la Direction Comité de pilotage Responsable SSI Plan d action sécurité SI Politique de sécurité du SI Cellule de gestion des risques Comité de pilotage Responsable Qualité Plan d action qualité Manuel Qualité
Organisation Un référent sécurité qui pilote la démarche de sécurité (suivi des risques, information de la Direction, production de tableaux de bord, veille technologique et réglementaire, organisation d audits ) Une instance de pilotage (dédiée ou non) se réunissant périodiquement et dans laquelle seront évoqués les risques et les mesures opérationnelles de sécurité. Cette instance doit réunir une représentation aussi complète que possible des services de l établissement (DRH, Services Généraux, Informatique, services de soins, services logistiques )
Fiche N 6 : La sécurité avant d autres projets : le bon arbitrage Propose aussi de commencer par des actions «pépites» relativement faciles à mettre en place. L arbitrage des priorités Arbitrage par les gains : identifier les actions pépites Arbitrage par les risques Une bonne pratique budgétaire
Fiche N 7 : Les facteurs clés de succès de la démarche Décrit les retours d expérience de démarches réussies au sein des établissements. Les trois éléments de base La vision globale portée par la Direction Point d attention majeur : l adhésion des utilisateurs Démarche impérative même en l absence d incident Documenter la démarche Echange et mutualisation avec d autres établissements
Fiche N 8 : La communication : un levier essentiel Rappelle l importance de la communication et les messages principaux dans une démarche sécurité. La communication doit viser un double objectif Les axes de communication Le Directeur de l établissement doit soutenir cette communication Les principes généraux de communication La communication vers les intervenants externes
Fiche N 9 : La documentation sécurité : un minimum est nécessaire Décrit les principales briques documentaires. La cartographie des risques La politique de sécurité La charte d utilisation Les procédures opérationnelles et techniques Le plan d actions pluriannuel
Fiche N 10 : Les coûts de la sécurité Donne des pistes pour une évaluation budgétaire des coûts de la sécurité. Un budget global difficile à chiffrer précisément Une bonne pratique budgétaire Un budget sécurité dans les projets d évolution du système d information Les coûts pour la mise en place d une gouvernance et d une PSSI La charge de travail pour l amorçage du plan d actions Les coûts d un projet de sécurisation des infrastructures Les coûts d un projet de la gestion de la confidentialité des données médicales