Raoul Pignard, Directeur Général et Délégué Régional FHF Dominique Rochelle, Responsable Système d Information RETOUR D EXPÉRIENCE DU CH DE CHARTRES
Sommaire Présentation CH Chartres Constat Lancement de la dynamique sécurité du SI Décisions Actions engagées / Résultats obtenus Conclusions
Présentation CH Chartres Centre hospitalier de 1 255 lits et places (MCO 613/SSR 85/PSY 72/EHPAD 485) Budget de 194 M., 2500 agents répartis sur 3 sites (Louis Pasteur, Hôtel Dieu, Saint Brice) 33 900 séjours conventionnels et 15 700 séances (dialyses, chimiothérapies), 57 000 venues aux urgences SIH : Gestion administrative C-Page Dossier Patient Informatisé : DxCare PACS (Imagerie Médicale) : Carestream Echanges inter applications : Antares EAI
Constat La sécurité du SI avant 2013 Usage en interne à la DSI de l outil de diagnostic issu des travaux du GMSIH, un bilan tous les 2 ans à partir de 2005 Des efforts portés sur l infrastructure et donc les volets «continuité et disponibilité» Pas d évolution franche sur les volets organisation et gestion des ressources (applications, utilisateurs ).
Lancement de la dynamique sécurité du SI Eléments déclencheurs en 2013 : Participation au groupe de travail sécurité (Plan de Continuité d Activité) du GCS fin 2012 début 2013. Opportunité d un Audit Flash Sécurité, effectué par le GCS, en avril 2013. Dans les conclusions : Absence de formalisation du volet sécurité (P 3.1) Pas de politique de sécurité, pas de RSSI clairement identifié
Lancement de la dynamique sécurité du SI Eléments déclencheurs en 2013 : La volonté de la direction de déposer un dossier Hôpital Numérique en février 2014 L Audit Flash Sécurité, débouche sur une proposition de Plan d Actions entamé dès fin 2013.
Décisions Une PSSI, un RSSI, un Plan d actions Sécurité du SI suivi. PSSI : Rédaction de la politique de sécurité et validation du document fin 2013 par la direction. Publication de la PSSI, présentation aux instances (Comité de Direction, Directoire, CME)
Décisions Nomination d un Réfèrent SSI. Directeur adjoint en charge du PREF, avec une forte expérience en gestion de la qualité en ES Connaissance transverse des activités de l établissement et indépendant de la DSI La fonction s appuie sur les compétences de la Direction du Système d Information (correspondant opérationnel sécurité) et agit en tant que maître d ouvrage sécurité Décision issue des recommandations des documents DGOS (introduction à la sécurité et certification des comptes hôpitaux publics)
Décisions Suivi du plan sécurité en Commission du Système d Information
Actions engagées / Résultats obtenus Action de formation commune en participant à une session du GCS TéléSanté Centre «référent Sécurité des SIS» Mise en œuvre de cartographie des risques a priori sur le volet infrastructure informatique, la téléphonie. Suivi d incidents techniques (climatisation, électrique, exploitation SI) par des REX
Actions engagées / Résultats obtenus Formalisation du volet SSI dans les projets Migration de la messagerie d entreprise : implication du réfèrent SSI dans les choix fonctionnels (utilisation du Web Mail, usage sur les Smart Phones) Mise en œuvre d une exploitation en mode serveur centralisés du dossier patient avec l intégration d une authentification par carte CPS/CPE
Actions engagées / Résultats obtenus Formalisation du volet SSI dans les projets Déploiement logiciel de Bloc : Usage de l outil d analyse de risques SSI dans les projets informatiques (QERSI-S) Implication dans le projet d acquisition d outil de Filtrage des Accès Internet
Actions engagées / Résultats obtenus Enrichissement des éléments de la documentation Sécurité du SI en lien avec la PSSI (Cartographie, Classification des ressources, ) Création de la charte administrateur technique et applicatif. Révision des habilitations des administrateurs et des pratiques Séparation des usages comme utilisateurs et comme administrateur du SI Révision de la charte utilisateur Formalisation de l astreinte technique informatique
Conclusion Démarche jalonnée par le travail sur la sécurité du GCS Audit Flash Groupe de travail sécurité en lien avec le Collège DSIO Formation réfèrent SSI Veille réglementaire Création d une dynamique sur la gestion de la sécurité La démarche vient en complément au travail de la cellule qualité, n empiète pas sur le temps des ressources de la qualité
Conclusion Efficience de la démarche par l association des compétences Gestion de la Qualité et Gestion Système d Information L avenir proche Révision de la PSSI pour intégrer la PSSI-E, parue en juillet 2014 Actualisation du plan d action 2013, issu de l Audit Flash Généralisation de l usage de la CPS/CPE