COMITE REGIONAL DE SECURITE DES SIS RESTITUTION DE L ENQUETE REGIONALE SUR LA SÉCURITÉ DES SYSTEMES D INFORMATION EN SANTÉ CRSSIS Poitou-Charentes Vincent PASCASSIO GCS Esanté Poitou-Charentes Le 16 décembre 2013
SOMMAIRE 1. CONTEXTE ET CADRE DE L ENQUETE - page 3 2. RESTITUTION DES RESULTATS VOLET A : IDENTIFICATION ET TAUX DE RÉPONSE - page 8 VOLET B : GOUVERNANCE MISE EN PLACE DANS LES ÉTABLISSEMENTS - page 11 VOLET C : IDENTIFICATION ET RECUEIL DES BESOINS - page 19 3. BILAN - page 31 4. GLOSSAIRE - page 34 5. REFERENCES ET CONTACT - page 36 2
1- CONTEXTE ET CADRE DE L ENQUETE 3
CONTEXTE DE L ENQUETE Dans le cadre de la dynamique régionale sur la sécurité des systèmes d information en santé (SIS), le Comité Régional de Sécurité des SIS (CRSSIS) créé en juin 2013 a souhaité : avoir une meilleure connaissance de la stratégie mise en place sur la sécurité des SI dans les établissements de la région et recenser les besoins des établissements en terme de sécurité des SIS afin d engager un plan d actions régional qui répond à la Politique Générale nationale de Sécurité des SIS en lien avec le programme Hôpital Numérique, la certification HAS, la certification et fiabilisation des comptes et autres accréditations et certifications. 4
CADRE DE L ENQUETE ECHANTILLON L enquête a été envoyée aux 69 établissements de santé de la région Les établissements du secteur médico-social n ont pas été sollicités pour l instant MÉTHODOLOGIE L enquête a été créée et validée par les membres du CRSSIS Publiée en ligne du 01/11/2013 au 06/12/2013 Communiquée directement par e-mail aux directions d établissements et relayée aux DSI / SI et Direction Qualité 1 réponse était possible par établissement 5
COMPOSITION DE L ENQUETE L enquête en ligne était composée de 3 volets : Volet A : «Identification» Recueil des noms, prénoms et adresses e-mail des participants afin de permettre une restitution ciblée des résultats de l enquête Volet B : «Gouvernance mise en place dans les établissements par rapport à la sécurité des SIS» Afin de mieux connaitre l existant dans les établissements Volet C : «Identification et recueil des besoins des établissements» Pour télécharger une copie de l enquête veuillez cliquer ici 6
INTERPRETATION DES RESULTATS La restitution des résultats a été anonymisée afin de ne pas faire apparaitre le nom des établissements. Les calculs de pourcentage ou de moyenne ont été réalisés sur les établissements qui ont répondu à l enquête. Lorsque cela n est pas précisé, les non-réponses à certaines questions ont été comptabilisées dans le calcul des moyennes. Les phrases entre guillemets sont la restitution des commentaires tels qu ils ont été saisis dans les zones libres de saisie de l enquête. Les sigles et abréviations sont définies dans le glossaire page 34. 7
VOLET A IDENTIFICATION ET TAUX DE REPONSE 2- RESTITUTION DES RESULTATS 8
TAUX DE REPONSE Sur les 69 établissements concernés par l enquête 38 établissements y ont répondu Soit un taux de réponse de 55 % 9
TAUX DE REPONSE PAR CATEGORIE D ETABLISSEMENT 69 Classés par catégorie, le nombre d établissements : ayant répondu concernés 38 5 5 4 13 6 6 8 9 5 4 5 6 0 4 9 18 CHU & CH de recours Clinique MCO Ets de proximité avec chirurgie Ets de proximité sans chirurgie Ex Hôpitaux locaux Monoactivité ETS PSY Monoactivité Monoactivité HAD SSR TOTAL 10
VOLET B GOUVERNANCE MISE EN PLACE DANS LES ETABLISSEMENTS PAR RAPPORT A LA SECURITE DES SIS 2- RESTITUTION DES RESULTATS 11
RSSI OU UN RÉFÉRENT SÉCURITÉ 20 établissements de santé (ES), soit 53%, ont actuellement un Responsable Sécurité des SI (RSSI) ou un Référent Sécurité Identifié à : 60 % (12 ES) plutôt comme un RSSI 40 % (8 ES) plutôt comme un Référent Sécurité Avec un rattachement hiérarchique à : 75 % à la Direction Générale 20 % à la DSI 5 % Autre : DSI du groupe (une clinique appartenant à un groupe) 12
SI RSSI OU REFERENT SECURITE LE TEMPS AFFECTÉ PAR L AGENT CONCERNÉ À CETTE MISSION : 3 agents n ont «pas de temps défini» (2 RSSI et 1 Réf. Sécurité) La moyenne du temps affecté lorsque ce temps a été défini ou évalué est de 17 % La même moyenne est de 22 % pour les profils «RSSI» et de 10 % pour les profils «Référents Sécurité» 5 RSSI et 4 Référent Sécurité ont 5% ou moins de leur temps affecté à cette mission 1 seul RSSI est à temps plein sur ce poste LE PROFIL DE CES AGENTS : Responsable des SI : 40% (8 ES) Ingénieur ou Administrateur Système : 10% (2 ES) Ingénieur Réseau : 5% (1 ES) RSSI de métier : 5% (1 ES) Non Informaticien : 10 % (2 ES) Autre : 30% (6 ES) Profil SI / Informatique : 60% Responsable Assurance Qualité ; Directeur ou Directeur Adjoint (*2) ; Chef de projet dossier médical ; 1 réponse sans précision 13
SI RSSI OU REFERENT SECURITE ANNÉE DE CRÉATION DU POSTE DANS LES ES En moyenne : 2010 En majorité une création récente : 6 en 2012 et 4 en 2013 Année de la création du poste Nombre d établissement Pourcentage 2003 1 5% 2006 1 5% 2008 2 16% 2009 1 5% 2010 1 5% 2011 2 11% 2012 6 32% 2013 4 21% 14
SI RSSI OU REFERENT SECURITE COMMUNICATION FAITE AUPRÈS DES UTILISATEURS POUR FAIRE CONNAITRE LE RSSI OU LE RÉFÉRENT SÉCURITÉ 1 non réponse 6 ES n ont pas fait de communication (28,5%) Les ES qui ont communiqué ont adopté plusieurs stratégies et utilisé différents moyens de communication : Communication orale : Information en réunion de Direction, en bureau de pole, lors d instances de l établissement (CME, CHSCT, Conseil de surveillance), en réunion de cellule d identito-vigilance, en réunion du comité de pilotage et gestion des risques, réunion CREX et réunion du personnel Communication écrite : Via une note d'information interne, décision du directeur diffusée dans l'établissement, un article dans le journal interne, le bulletin interne Le poste a été intégré dans : l organigramme l ES et de la direction, le Schéma Directeur du SI, les procédures internes, la charte informatique, la charte d'utilisation du DPI, les règles de confidentialité et droits d'accès au SIH 15
SI RSSI OU REFERENT SECURITE RAPPORT DE SECURITE Un rapport de sécurité est formalisé et envoyé périodiquement à la direction dans 4 établissements (20 %) Dans 75% ça n est pas le cas 1 non réponse (5%) LES DIFFICULTÉS RENCONTRÉES DANS L EXERCICE DE LA MISSION Manque de temps pour une veille réglementaire à 55 % Manque de formation à 40 % La question permettait de préciser d autres difficultés : Fonction trop récente pour le dire (3 ES - 15%) Manque de financement pour le poste (2 ES - 10%) Formalisation (2 ES - 10%) Manque de reconnaissance (1 ES - 5%) Gestion au niveau du siège du Groupe (1 ES - 5%) Manque de temps (1 ES - 5%) 16
SI PAS DE RSSI OU REFERENT SECURITE Rappel : 18 établissements n ont pas de RSSI ou de Référent Sécurité QUELLE EST LA RAISON DE LA NON-NOMINATION D UN RSSI? Réflexion en cours : 61% (11 ES) Manque de ressource : 28% (5 ES) Fonction diluée sur les membres du service informatique : 22% (4 ES) Charge RSSI non évaluée : 22 % (4 ES) Pas au courant de l obligation réglementaire : 11% (2 ES) Jugé pas nécessaire : 6% (1 ES) Autre : «Réflexion non engagée à ce stade» : 6% (1 ES) Refus de la direction ou de la DSI : 0% Manque de sensibilisation de la DG : 0% 17
DERNIERES QUESTIONS DU VOLET B COMITE SÉCURITÉ Il existe un comité sécurité qui aborde la sécurité des SI dans 63 % des établissements (24 ES), en sachant que : 8 établissements sans RSSI ou réf. Sécurité ont un comité sécurité et que 4 établissements avec RSSI ou réf. Sécurité n ont pas de comité sécurité La fréquence de réunion du comité : Plus d une fois par trimestre : 29 % (7 ES) 1 fois par trimestre : 25 % (6 ES) 2 fois par an : 25 % (6 ES) 1 fois par an : 17 % (4 ES) AUDIT SÉCURITÉ 1 audit sécurité a été réalisé dans 54 % des ES ayant répondu à la question 13 oui / 11 non (et 14 non réponse à cette question) Fréquence de réalisation : 4 : Audit unique, réalisé une seule fois et pas replanifié depuis 6 : Audit(s) ponctuel(s) réalisé(s) au besoin et sans périodicité particulière 3 : Audits périodiques planifiés tous les 2 ou 3 ans 0 : Audit périodique planifiés tous les ans 18
VOLET C IDENTIFICATION ET RECUEIL DES BESOINS DES ETABLISSEMENTS 2- RESTITUTION DES RESULTATS 19
PRIORITÉS IDENTIFIÉES LES PRIORITÉS IDENTIFIÉS PAR LES ES SUR LA SÉCURITÉ DES SIS (1 même établissement pouvait préciser plusieurs priorités) nombre d établissements Analyse de risques Rédaction de la Politique Sécurité des SI (PSSI) 19 20 Sensibilisation des utilisateurs sur la sécurité du SI Plan de communication et diffusion de la PSSI, de 15 16 Nomination d un RSSI Réalisation d un audit de sécurité SI 13 13 Autre 11 Rédaction d une charte informatique Formation du référent sécurité ou du RSSI 9 9 Mise en place d un comité de sécurité SI 5 0 5 10 15 20 25 20
PRIORITÉS IDENTIFIÉES Détails des priorités identifiées comme «Autre» : Le Plan de Reprise d Activité (PRA) a été cité par 6 établissements «élaboration ou rédaction PRA» * 4, «Validation du PRA», «PRA» «Mise en place d un SSO / CPS» «Mise à jour de la charte et PSSI suite à une nouvelle analyse des risques» «Mise à jour de la PSSI» «Intégrer les recommandations et guides édités par l'anssi» «Priorités définies par la DSI du Groupe» 21
BESOINS LES BESOINS IDENTIFIÉS PAR LES ES SUR LA SÉCURITÉ DES SIS (1 établissement pouvait préciser plusieurs besoins) nombre d établissements TOTAL 40 Veille juridique sur la sécurité des SIS 31 Formation 24 Audit 21 Sensibilisation 19 Prestations de MOA, d AMOA ou de MOE 12 0 5 10 15 20 25 30 35 40 45 22
BESOINS VEILLE SUR LA SECURITE DES SIS Restitution des commentaires insérés dans les zones libres, classés par thématique Pourquoi de la veille? «Indispensable» «Temps RSSI insuffisant pour assumer cette veille en interne (2 réponses)» «Pouvoir accéder ponctuellement à un référentiel ou un expert afin de pouvoir poser des questions et obtenir des réponses/éclairages» «Pas au fait de l'ensemble des règlements» Sujet de la veille : «Sécurité des SIS, y compris réglementation CNIL ou règlement parallèle (droit à l'image lié aux photographies numériques, par exemple)» 23
BESOINS FORMATION Restitution des commentaires insérés dans les zones libres, classés par thématique «Au même titre que pour les autres risques, il est toujours plus efficace de sensibiliser et d'impliquer les acteurs professionnels, via des formations "ciblées" et adaptées, plutôt que de "dire" et/ou "écrire" sur le risque en matière de sécurité informatique.» Sur les moyens : «Fournir des supports de sensibilisation / formation "prêts à l'emploi» «Formaliser une check liste des risques (sans ne rien omettre) et faire remplir par chaque utilisateur.» Sur le sujet des formations : «Journée proposée par le GCS à poursuivre» Il s agit d une journée de formation organisée en 2013 par le GCS dont le sujet était : «FORMATION CYBERCRIMINALITE SECURITE DES SIH / SIS» 24
BESOINS FORMATIONS A DESTINATION : 38% 46% 8% 58% 67% Des équipes de la DSI Des directions d établissement Des équipes médicales et paramédicales Des équipes administratives Autre «Autres» et commentaires saisis dans la zone libre de la question sur les besoins de formation : «Tous les utilisateurs informatiques mais surtout la Direction» «Cellule d Identito Vigilance et correspondant CNIL» «Les équipes de la DSI peuvent être formées plus spécifiquement à la sécurité.» «Formation du RSI et des référents établissements» «Formations spécifiques souhaitées par le référent sécurité» 25
BESOINS SENSIBILISATION Restitution des commentaires insérés dans les zones libres, classés par thématique Sur les moyens de sensibilisation : «Support de sensibilisation / formation prêts à l'emploi» «Avoir des supports de sensibilisation différent selon les types d utilisateurs» «Documents synthétiques accessibles aux utilisateurs (gestion mot de passe, bonnes pratiques de sécurité...)» «Elaboration d'une charte informatique» «Tous les moyens mis en œuvre seraient bon» «Moyens de sensibiliser les "métiers" et directions fonctionnelles aux risques et à la SSI par des discours externes à la DSIO en particulier dans leurs domaines respectifs de responsabilité (DRH, Biomed,...)» Qui réalise la sensibilisation? «La sensibilisation est plus efficace lorsque réalisée par un organisme extérieur et non les informaticiens locaux» Qui est sensibilisé? «Sensibilisation des utilisateurs (2 réponses)» Non précisément définis à ce jour (2 réponses) 26
BESOINS AUDIT Restitution des commentaires insérés dans les zones libres, classés par thématique Neutralité des audits : «L'établissement XX a besoin de cette démarche d'audits, réalisée par des personnes "neutres", expertes et externes à la structure.» «Un œil extérieur serait un plus» Préalable à la démarche : «Un audit constituerait un préalable essentiel pour définir nos besoins en matière de sécurité informatique (remise à plat du réseau, sécurisation systématique des accès au PC ou aux différents progiciels par un identifiant et un mot de passe personnalisé, installation de serveurs dédiés)» Projections : «A l'avenir réalisation d audit, notamment des tests d'intrusion (1fois/an)» «Recherche d'une société pour AUDIT sécurité/ intrusion du SI en 2014» 27
BESOINS PRESTATIONS DE MOA, D AMOA OU DE MOE COMMENTAIRES ASSOCIÉS Restitution des commentaires insérés dans les zones libres, classés par thématique Pourquoi des prestations? «L'établissement, en raison de sa taille, ne dispose pas des compétences informatiques suffisantes lui permettant de répondre seul aux exigences posées par la certification. Il devra donc même pour définir ces besoins faire appel à une aide extérieure» Sujet de ces prestations : Le «PRA» a été plusieurs fois remonté 28
BESOINS & MUTUALISATION Les ES qui ont répondu à la question sont tous favorables à la mutualisation «Oui» à 100% sur 35 réponses (et 3 non réponses) Pour quels besoins et prestations? (plusieurs réponses étaient possibles) TOTAL Veille juridique Formation nombre d établissements 35 30 28 Sensibilisation 27 Prestations d audit 23 Prestations de MOA, d AMOA ou de MOE 12 0 5 10 15 20 25 30 35 40 29
BESOINS & MUTUALISATION Autres besoins «mutualisables» en liaison avec la sécurité des SIS et commentaires libres : «attention à ce que la mutualisation ne produise pas une "dilution" du service rendu aux établissements» «Modèles de procédure (ex PRA - PCA - politique de sécurité...)» «Partenariat avec société de formation spécialisée sur la sécurité des SI de santé. Idem pour société qui réalise des audits de sécurité adaptés au domaine de la santé.» «Documentation sur la veille juridique.» «Plaquette d'info personnalisable pour les salariés/médecins sur les bons gestes pour garantir la sécurité du SI.» 30
3- BILAN 31
3- BILAN SUR L EXISTANT DANS LES ES Le poste de RSSI ou de Référent sécurité n existe pas encore dans tous les établissements Et lorsqu il existe, sa nomination est plutôt récente Le temps réellement alloué à la mission reste faible, voir symbolique dans certaines structures S il est majoritairement rattaché à la Direction Générale, on peut craindre des limites dans son indépendance d action car il cumule souvent cette fonction avec le poste de Responsable des Systèmes d Information ou celui d agent de la Direction des SI La plupart des établissements qui n ont pas encore cette fonction dans l organigramme mènent actuellement une réflexion à ce sujet 32
3- BILAN SUR LES BESOINS Les établissements ont fait remonter des besoins forts sur la sécurité des SIS Avec des priorités et des attentes sur : de la veille sécurité (juridique, réglementaire et technique) de la formation et de la sensibilisation des différents utilisateurs du SI, et des équipes amenées à intervenir plus directement sur ces sujets de la mise à disposition de supports prêts à être utilisés et diffusés en interne dans les établissements des prestations d audit réalisé par des organismes extérieurs pour plus de neutralité Et plus à la marge sur de l accompagnement de type AMOA comme du conseil sur le PRA Ils ont souligné l importance d un «regard extérieur et neutre» sur ces sujets Les établissements de la région sont fortement en faveur de la mutualisation 33
4- GLOSSAIRE 34
4- GLOSSAIRE ANSSI : Agence nationale de la sécurité des systèmes d'information CNIL : Commission Nationale de l Informatique et des Libertés CPS : Carte de Professionnel de Santé CRSSIS : Comité Régional de Sécurité des SIS liste des membres sur le portail Esanté : www.esante-poitou-charentes.fr ES : Etablissement de Santé MOA, AMOA : Maitrise d Ouvrage, Assistance à Maitrise d Ouvrage MOE : Maitrise d Œuvre PGSSI-S : Politique Générale nationale de Sécurité des Systèmes d Information en Santé PRA : Plan de Reprise d Activité RSI : Responsable des Systèmes d Information RSSI : Responsable Sécurité des Systèmes d Information SIS : Systèmes d Information en Santé SSO : Authentification unique (ou identification unique ; en anglais Single Sign-On) 35
5- REFERENCES ET CONTACT 36
5- REFERENCES ET CONTACT Cette restitution a été réalisée par Vincent Pascassio du GCS Esanté Poitou- Charentes, en collaboration avec les membres du CRSSIS. Pour en savoir plus et pour toute question sur cette enquête, sur le CRSSIS et la démarche régionale, n hésitez pas à contacter Vincent PASCASSIO : Par e-mail : vincent.pascassio@esante-poitou-charentes.fr Ou par téléphone : 05 49 50 93 14 Vous trouverez également des informations sur le portail Esanté à l adresse www.esante-poitou-charentes.fr 37