Identification du document. Référence. ASIP_PGSSI_Referentiel_Dispositifs Connectés_V0.0.6.Docx. Version V 0.0.6. Nombre de pages 33

Documents pareils
Guide Pratique Règles pour les dispositifs connectés d un Système d Information de Santé

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

Guide pratique spécifique pour la mise en place d un accès Wifi

Le Dossier Médical Personnel et la sécurité

2 ASIP Santé/DSSIS : Guide Pratique - Règles de sauvegarde des Systèmes d Information de Santé (SIS) Juillet 2014 V0.3

État Réalisé En cours Planifié

Politique de sécurité de l actif informationnel

POLITIQUE DE SÉCURITÉ DES SYSTÈMES D INFORMATION DE L ÉTAT. Version 1.0

L hygiène informatique en entreprise Quelques recommandations simples

VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ

CHARTE INFORMATIQUE LGL

CATALOGUE DE SERVICES DE LA DIRECTION DU SYSTEME D INFORMATION DE L UNIVERSITE DE LIMOGES

Article 2 : Conseils et meilleures pratiques pour gérer un cloud privé

Charte informatique. Ce document n est qu un exemple. Il doit être adapté à chaque entreprise selon ses moyens et ses nécessités.

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

4 rue Alfred Kastler 19, rue du Daguenet NANTES Angers

Projet Sécurité des SI

Conditions Particulières de Maintenance. Table des matières. Ref : CPM-1.2 du 08/06/2011

dans un contexte d infogérance J-François MAHE Gie GIPS

Guide sur la sécurité des échanges informatisés d informations médicales

Solutions informatiques (SI) Semestre 1

L application doit être validée et l infrastructure informatique doit être qualifiée.

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

Conditions Générales d Utilisation de la plateforme depot-doublage.fr

REFERENTIEL DE CERTIFICATION

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014

Description de l entreprise DG

Systems Manager Gestion de périphériques mobiles par le Cloud

Intégration de la cybersécurité aux systèmes de conduite industriels. Méthodes et pratiques

7.1.2 Normes des réseaux locaux sans fil

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

Nouvelle configuration du réseau local Miniplan Claude-Éric Desguin

LES FONCTIONS DE SURVEILLANCE DES FICHIERS

Windows Server 2012 R2 Administration

CONDITIONS GENERALES D'UTILISATION DU LOGICIEL SYNCHRONISATION ET PARTAGEUBIKUBE / B CLOUD

Annonces internes SONATRACH RECHERCHE POUR SA DIRECTION CENTRALE INFORMATIQUE ET SYSTÈME D INFORMATION :

LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL. CNRS RSSIC version du 11 mai 2012

MAIRIE DE LA WANTZENAU MARCHE DE FOURNITURES PROCEDURE ADAPTEE CAHIER DES CHARGES

Manuel d utilisation de la plate-forme de gestion de parc UCOPIA. La mobilité à la hauteur des exigences professionnelles

Cyberclasse L'interface web pas à pas

Routeur Chiffrant Navista Version Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.

Gamme d appliances de sécurité gérées dans le cloud

La haute disponibilité de la CHAINE DE

Prestations d audit et de conseil 2015

Administration de systèmes

M A I T R E D O U V R A G E

Classification : Non sensible public 2 / 22

SOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS

Le catalogue TIC. Solutions. pour les. Professionnels

<Insert Picture Here> La GRC en temps de crise, difficile équilibre entre sentiment de sécurité et réduction des coûts

La Télémédecine dans le cadre de la Plateforme Régionale Santé de Martinique

DSI - Pôle Infrastructures

FORMATION SUPPORT MOAR. Mardi 26 juin 2012

KASPERSKY SECURITY FOR BUSINESS

Release Status Date Written by Edited by Approved by FR_1.00 Final 19/03/2014

CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES

DÉLIBÉRATION N DU 4 FÉVRIER 2014 DE LA COMMISSION DE CONTRÔLE

DDN/RSSI. Engagement éthique et déontologique de l'administrateur systèmes, réseaux et de système d'informations

Menaces informatiques et Pratiques de sécurité en France Édition Paris, 25 juin 2014

Charte d'utilisation des infrastructures de la plate-forme bioinformatique Genotoul

CONDITIONS PARTICULIERES SOLUTIONS CLOUD. API : Interface de programmation pouvant être utilisé par le Client pour interagir avec ses Services.

Référentiel de qualification de prestataires de services sécurisés d informatique en nuage (cloud computing) - référentiel d'exigences

Les principes de la sécurité

«ASSISTANT SECURITE RESEAU ET HELP DESK»

Guide d utilisation WEBPORTAL CPEM Portail d Applications Web CPEM

Cegid OPEN SECURITE PREMIUM

Informations sur la NFS

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de

Écoles Rurales Numériques et AbulÉdu

Référentiel d authentification des acteurs de santé

UCOPIA EXPRESS SOLUTION

Prestataire Informatique

Le rôle Serveur NPS et Protection d accès réseau

Service de réplication des données HP pour la gamme de disques Continuous Access P9000 XP

Cahier des Clauses Techniques Particulières

Gestion des Incidents SSI

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

Notre expertise au cœur de vos projets

Konica Minolta, un leader aux standards de sécurité les plus élevés du marché

Authentifications à W4 Engine en.net (SSO)

Qu est-ce qu un système d Information? 1

La sécurité des systèmes d information

Agrément des hébergeurs de données de santé. 1 Questions fréquentes

Auditabilité des SI et Sécurité

PROGRAMME DU CONCOURS DE RÉDACTEUR INFORMATICIEN

Les modules SI5 et PPE2

Spécialiste Systèmes et Réseaux

Serveur de messagerie

données à caractère personnel (ci-après "la LVP"), en particulier l'article 30 ;

La Révolution Numérique Au Service De l'hôpital de demain JUIN 2013 Strasbourg, FRANCE

et développement d applications informatiques

CONFIGURATION DE BASE. 6, Rue de l'industrie BP130 SOULTZ GUEBWILLER Cedex. Fax.: Tel.:

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Spécifications de l'offre Surveillance d'infrastructure à distance

ENVOLE 1.5. Calendrier Envole

Logiciel de connexion sécurisée. M2Me_Secure. NOTICE D'UTILISATION Document référence :

Transcription:

PGSSI-S - Politique générale de sécurité des systèmes d information de santé Règles pour les s connectés d un Système d Information de Santé (SIS) «ASIP Santé / Pôle Technique et Sécurité» Identification du document Référence Etat Rédaction (R) ASIP_PGSSI_Referentiel_Dispositifs Connectés_V0.0.6.Docx En cours ASIP Santé / PTS Version V 0.0.6 Classification Diffusion restreinte GT PGSSI Nombre de pages 33 Destinataires externes Nom / Prénom Entité / Direction Nature de la diffusion GT PGSSI Documents de référence 1. Référence n 1 : Exigences de sécurité des SI pour les équipements biomédicaux des ES 2. Référence n 2 : Guide de l ANSSI La cybersécurité des systèmes industriels Historique du document Version Date Auteur s V 0.0.1 Oct. 2012 ASIP Santé / PTS Initialisation du document V 0.0.2 Oct. 2012 ASIP Santé / PTS Modification du document suite au GT V 0.0.3 à 0.0.5 Nov. 2012 ASIP Santé / PTS Modification / Réunion interne V 0.0.6 Fév. 2013 ASIP Santé / PTS Modification

Sommaire 1 Introduction... 3 1.1 Objet du document... 3 1.2 Champ d application du référentiel... 4 1.3 Enjeux relatifs aux s connectés... 5 2 Fondements du référentiel... 6 3 Utilisation du référentiel... 7 4 Liste des exigences de sécurité... 8 5 Liste d exigences synthétiques pour le gestionnaire d un SIS...24 6 Annexe : Liste du collectif à l origine de la formalisation des exigences de sécurité 32 Classification : Diffusion restreinte GT PGSSI 2 / 33

1 Introduction 1.1 Objet du document Le présent document définit les règles et les recommandations de sécurité relatives aux s connectés à un Système d Information de Santé (SIS). Il fait partie des référentiels spécifiques de la Politique Générale de Sécurité des Systèmes d Information de Santé (PGSSI-S). Figure 1 : Place du référentiel dans le Corpus documentaire de la PGSSI-S Ce référentiel spécifique exprime les règles de sécurité auxquelles doivent se conformer les fournisseurs d équipements médicaux connectés et les acteurs en charge de l exploitation et de la maintenance informatique de ces équipements. Les règles correspondent aux conditions requises pour que les risques sur la sécurité des informations traitées restent acceptables lorsqu un équipement médical est intégré dans un Système d Information de Santé, et est utilisé, exploité et maintenu pour le compte et sous le contrôle de la personne responsable de ce SIS. En conséquence, le document s adresse : aux industriels qui conçoivent et proposent des équipements médicaux et aux fournisseurs de services informatiques ou de télécommunication en rapport avec les s connectés ; aux acteurs relevant de la personne responsable d un SIS, qui interviennent dans le processus d acquisition des équipements, de leurs composantes informatiques ou des prestations d exploitation et de maintenance associées, ou qui ont la responsabilité de la mise en œuvre et de sa sécurité. Dans la suite du document, ces acteurs sont identifiés sous le vocable «gestionnaire de SIS». Par ailleurs, les professionnels de santé sont tenus de respecter les règles d utilisation des équipements médicaux connectés. Ces règles sont exprimées dans les guides pratiques du corpus documentaire de la PGSSI-S. Classification : Diffusion restreinte GT PGSSI 3 / 33

1.2 Champ d application du référentiel Equipements concernés : les s connectés Code de la santé publique (articles L 5211-1 et R 5211-1) : «On entend par médical tout instrument, appareil, équipement, matière, produit, à l'exception des produits d'origine humaine, ou tout autre article utilisé seul ou en association, y compris les accessoires et logiciels intervenant dans son fonctionnement, destiné par le fabricant à être utilisé chez l'homme à des fins médicales et dont l'action principale voulue n'est pas obtenue par des moyens pharmacologiques ou immunologiques ni par métabolisme, mais dont la fonction peut être assistée par de tels moyens». Dans le cadre de ce document, un (ou équipement) connecté est un équipement médical particulier qui intègre des matériels, des progiciels et des composants de communication et qui assure, dans un processus de soin, une fonction de traitement médical, d analyse médicale, de surveillance médicale, de diagnostic ou de supervision. Le fait partie du Système d Information de Santé dans le cadre de son usage ou de son exploitation et de sa maintenance, y compris de façon intermittente. Par la suite, le terme «système» recouvre un agrégat constitué : d un matériel informatique, de son système d exploitation, de ses données ou sa base de données, de son système de fichiers et de ses progiciels. Un équipement médical peut comporter un ou plusieurs systèmes. Les exigences de ce document s appliquent à chacun de ces «systèmes». Equipements non concernés : les s implantables et les s autonomes Les équipements médicaux implantables actifs ou non actifs qui ont vocation à être physiquement placés sur ou dans le corps du patient n entrent pas dans le champ d application de ce référentiel. Il en est de même pour les équipements médicaux autonomes, c est-à-dire dont l usage et l exploitation s effectuent indépendamment de tout SIS. Contextes de SIS concernés : tous a priori Le référentiel est applicable quels que soient les contextes de SIS rencontrés ou prévus et la structure juridique qui en est responsable, au sens des «Principes fondateurs de la PGSSI-S». Classification : Diffusion restreinte GT PGSSI 4 / 33

1.3 Enjeux relatifs aux s connectés Les systèmes et équipements utilisés aujourd hui n ont pas été conçus pour faire face aux nouvelles menaces que l évolution et les possibilités technologiques ont fait apparaitre, en particulier dans le domaine des malveillances informatiques. Dans le secteur de la santé plus qu ailleurs, l exploitation des vulnérabilités de ces s peut avoir des conséquences néfastes pour les Systèmes d Information de Santé auxquels les équipements sont connectés, et vitales pour les patients soignés. Par exemple, la modification, qu elle soit volontaire ou non, des paramètres d un équipement de radiologie peut avoir des effets désastreux sur la santé du patient ou celle du personnel de santé. Pour le gestionnaire d un SIS, il devient donc nécessaire d intégrer la sécurisation de ces équipements dans une réflexion générale de sécurité et notamment de prendre en compte ce critère dans le choix des équipements ou de leurs composantes et dans la mise en place de leur exploitation et de leur maintenance. En conséquence et afin de répondre aux besoins de sécurité des Systèmes d Information de Santé, les règles édictées dans le présent document visent à permettre en pratique : à l industriel ou fournisseur d équipements connectés ou de prestations associées de déterminer et d exprimer son engagement à l égard de la sécurité des produits et services fournis ; au gestionnaire d un SIS de vérifier que les risques représentés par les équipements connectés existants ou dont l intégration au Système d Information de Santé est projetée sont acceptables pour la personne responsable. Classification : Diffusion restreinte GT PGSSI 5 / 33

2 Fondements du référentiel Le guide «Maîtriser la SSI pour les systèmes industriels» L Agence Nationale de la Sécurité des Systèmes d Information (ANSSI) a publié un guide relatif à la SSI dans les systèmes industriels. Ce guide souligne l importance de la sécurité dans les systèmes spécifiques employés dans les activités de production. Il précise les vulnérabilités propres à ces systèmes, évoque les attaques et les négligences auxquelles ils sont exposés et indique les impacts d incidents réels : dommages matériels / corporels ; perte de chiffre d affaires ; impact sur l environnement ; vol de données ; responsabilité civile / pénale ; image et notoriété. Le guide recommande aux entreprises une démarche globale de sécurité pour leurs systèmes industriels et l accompagne de bonnes pratiques. En matière de SSI, un connecté s apparente à un système industriel. L usage d un connecté s inscrit principalement dans des activités de production de soins. L équipement réalise le plus souvent des fonctions spécifiques de supervision, de contrôle, de mesure, d acquisition de données, de pilotage d actionneurs. Le guide de l ANSSI est utile à la prise en compte de la sécurité des équipements connectés lors de leur intégration dans un SIS. Les «Exigences de sécurité des Systèmes d Information pour les équipements biomédicaux des établissements de santé» Un collectif de RSSI et d ingénieurs biomédicaux issus d instituts et de centres hospitaliers a défini des exigences de sécurité liées à l intégration d équipements biomédicaux dans un SIH, avec le support du Fonctionnaire de la Sécurité des Systèmes d information (FSSI), de l ANAP et de la DGOS, répondant ainsi à une demande formulée par le ministère de la santé. Les exigences de sécurité ont été déterminées sur la base de textes juridiques, de bonnes pratiques et de retours d expérience en matière d incidents de sécurité. La liste des exigences et la grille d évaluation associée permettent aux gestionnaires de SIH de définir et mettre à jour la politique de SSI à appliquer aux équipements biomédicaux dans leur établissement, et de préciser leurs attentes en matière de sécurité dans le cadre de l'acquisition de nouveaux équipements biomédicaux. Les «Exigences de sécurité des Systèmes d Information pour les équipements biomédicaux des établissements de santé» sont retenues pour constituer le présent référentiel, moyennant adaptation ou évolution si nécessaire. Leur champ d application est étendu à celui des équipements médicaux connectés au SIS de tout type de structure juridique 1. 1 Dans l énoncé des exigences le terme «établissement» désigne la structure juridique rencontrée ; à l origine il s agissait de l établissement de santé. Classification : Diffusion restreinte GT PGSSI 6 / 33

Les principales menaces induites par l intégration de s connectés dans un SIS Les exigences du référentiel ont été déterminées à partir de menaces spécifiques et de difficultés rencontrées en établissement hospitalier pour y faire face. Les menaces sont les suivantes : l attaque logique de l équipement, par exploitation de vulnérabilités de ses logiciels ; l introduction ou l activation de codes malveillants dans l équipement ; la perturbation de fonctionnement de l équipement à partir ou de son réseau ; la capture ou la modification de données sur la liaison entre l équipement et le SIS ; l accès illicite à l équipement, et l introduction ou l extraction de ses données ; le mésusage de l équipement par une personne autorisée ; la modification non autorisée des logiciels de l équipement. 3 Utilisation du référentiel Certaines exigences sont applicables par les industriels ou les fournisseurs de s connectés et de prestations associées. Le référentiel impose aux industriels et aux fournisseurs d indiquer par écrit, dans toute offre effectuée auprès d un gestionnaire de SIS, leur engagement de conformité (ou déclaration d applicabilité) vis-à-vis de ces exigences. Le référentiel impose aussi aux industriels de signaler à la personne publique les vulnérabilités qui sont détectées dans les logiciels des équipements fournis et dont l exploitation fortuite ou malveillante, lorsqu elle est possible, peut mettre la vie de personnes physiques en danger. Certaines exigences sont applicables par les gestionnaires de SIS, y compris des exigences relatives à des prestations sur les équipements connectés, lorsque ces prestations sont réalisées au sein de l organisation de SIS, sous la responsabilité de leur gestionnaire. Le référentiel impose aux gestionnaires de SIS : de s assurer du respect des exigences qui leurs sont applicables dans leur SIS, vis-àvis des s connectés existants ; dans le cadre de l intégration d un nouveau connecté dans leur SIS, de choisir les offres d équipements et de prestations relatives aux s connectés en fonction des engagements produits ; d estimer et de traiter les risques de sécurité induits par toutes les exigences non satisfaites, qu elles relèvent d industriels, de prestataires ou du gestionnaire de SIS lui-même. Le traitement d un risque de sécurité peut consister à adopter une ou plusieurs des options suivantes vis-à-vis de ce risque : le réduire, par des mesures de protection ou de prévention ; l accepter tel quel ; l éviter, par réaménagement de l intégration du connecté dans le SIS ; le transférer vers un tiers dans le cadre d un contrat. L utilisation du référentiel s effectue à partir de la liste des exigences du chapitre 4 suivant. Toutefois, le gestionnaire d un SIS peut utiliser la liste d exigences synthétiques du chapitre 0. Classification : Diffusion restreinte GT PGSSI 7 / 33

4 Liste des exigences de sécurité Deux paliers sont définis pour la mise en œuvre des exigences de sécurité applicables aux s connectés : un palier intermédiaire numéroté -1, porteur des exigences prioritaires, et un palier cible, pour lequel la couverture de l ensemble des exigences est exigée (des paliers cible et -1). N Exigence Exploitation et gestion des communications [E] Configuration de base Acteur concerné E = existe tel quel P = paramétrable V = à venir dans la prochaine version R = réalisable en spécifique N = n existe pas et ne sera pas réalisé [E1] Pour l'équipement médical utilisant des s informatiques courants (non spécifiques), les progiciels de l équipement sont installés sur les configurations standards de l établissement. L utilisation de configurations standards favorise l intégration, la maintenance, et la sécurisation de l équipement au sein du Système d Information de l établissement. Dans l hypothèse où la spécificité du «système» ne permet pas l utilisation d un matériel de l établissement, il est de la responsabilité de l'établissement de s'assurer que le fournisseur est à même de mettre en place les moyens de maintenir en permanence le niveau de sécurité du «système» afin d éviter que ce dernier ne soit la cible d attaques ou ne devienne un vecteur d attaques sur le réseau de l établissement. [E2] Les progiciels propres au système médical sont installés sur des systèmes d exploitation «standards de fait» tels que Windows, Unix ou Linux. L établissement dispose des compétences nécessaires à l administration de ces systèmes d exploitation, et ce, en vue de garder le contrôle de l équipement. [E3] Le «système» ou le progiciel est virtualisable. Le système virtualisé constitue un avantage certain pour faciliter une reprise rapide en cas d incident. Classification : Diffusion restreinte GT PGSSI 8 / 33

N Exigence Acteur concerné [E4] Le «système» est identifié et inventorié. Il est pris en compte dans les processus de gestion du parc de l'établissement. La connaissance de tous les équipements est nécessaire à l établissement pour qu il soit en capacité d analyser la cause d un incident ou d intervenir sur un équipement au besoin. [E5] Le «système» est intégré dans le domaine de l établissement en vue d'être administré. [E6] Les fournisseurs communiquent à l établissement le type et la version du système d exploitation ainsi que la liste exhaustive des progiciels installés, accompagnés de leurs versions, afin de permettre à l établissement d intégrer le système dans sa politique de veille sur les vulnérabilités. Ceci permet à l établissement de détecter les vulnérabilités de façon autonome, si besoin est, de mettre en œuvre les solutions de contournement ou procédures dégradées et de déployer ou faire déployer les correctifs de sécurité dès mise à disposition. [E7] Pendant la durée de la maintenance, le fournisseur maintient à jour cette liste de la configuration de l équipement, notamment après chaque modification effectuée sur le «système». [E8] Seuls les progiciels nécessaires au fonctionnement du système sont installés sur l équipement médical. Tout progiciel installé sur un équipement induit un risque supplémentaire (vulnérabilités affectant le progiciel). [E9] Les fournisseurs communiquent la liste exhaustive des services systèmes strictement nécessaires au fonctionnement attendu des progiciels. Tout service système installé sur un équipement induit un risque supplémentaire (vulnérabilités affectant le service exploitable ou service exploitable par un code malveillant). [E10] Les services non nécessaires sont désactivés par le fournisseur lors de l installation pour réduire tout usage malveillant. En désactivant les services annexes on réduit la surface d attaque. Protection contre les codes malveillants Classification : Diffusion restreinte GT PGSSI 9 / 33

N Exigence Acteur concerné [E11a] Le «système» est équipé du de protection contre les codes malveillants, utilisé par l'établissement. [E11b] Le «système» est équipé d un de protection contre les codes malveillants. Pour rappel, un poste sain connecté sur internet, en l absence de protection contre les codes malveillants, est contaminé ou attaqué en quelques minutes. [E12] Le se met à jour quotidiennement à partir d un serveur afin de bénéficier des dernières signatures et versions. Prime sur le serveur de l'établissement, celui du fournisseur du «système» ou de l éditeur du progiciel. [E13] Si le «système» est connecté de façon intermittente au réseau de l établissement, le fournisseur, en lien avec les équipes de l établissement, met en place les outils et procédures permettant la mise à jour des s de sécurité. [E14] Le progiciel fonctionne correctement et sans dégradation de performance de concert avec des s de protection contre les codes malveillants (anti-malware : anti-virus, anti-spyware, anti-rootkit, etc.) [E15] Des mesures de performance, - équipements de protection actifs -, sont réalisées dès la phase de qualification du progiciel. [E16] La fonction «autorun» d exécution automatique sur les périphériques amovibles est désactivée sur l équipement médical. [E17a] Le service plug'n play de l équipement est désactivé [E17b] Le service plug'n play de l équipement est désactivé sauf pour les périphériques livrés avec le système bio médical. Non applicable dans le cadre de ce référentiel Classification : Diffusion restreinte GT PGSSI 10 / 33

N Exigence Acteur concerné [E18] Le fournisseur propose des solutions et procédures associées, permettant d assurer une continuité de service même dégradée, en cas de défaillance ou d isolation du «système» suite à une attaque virale contre laquelle il n aurait pas de moyen de protection. [E19] La connexion au «système» d un support de stockage externe à des fins de mise à jour applicative, lors d'une intervention sur site ne doit être réalisée qu après que le fournisseur ait effectué une analyse complète du media sur un poste de l établissement doté d un progiciel anti-virus à jour au niveau de ses bases de signatures. Cette procédure est partie intégrante des procédures de maintenance sur site. [E20] Le progiciel peut fonctionner dans une architecture comportant un parefeu personnel lié au poste de travail Ce pare-feu réalise des fonctions de filtrage standard. [E21] Le progiciel peut fonctionner dans une architecture comportant un pare feu d établissement pour les accès à Internet Ce pare-feu réalise des fonctions de filtrage standard. [E22] En cas de besoin, le fournisseur communique à l établissement ses besoins de filtrage spécifiques qui seront mis en place par l établissement sous réserve d être compatibles avec sa Politique Globale de Sécurité. Interconnexions réseau [E23a] Si le «système» est connecté uniquement au réseau interne de l équipement, celui-ci et le réseau de l établissement sont physiquement cloisonnés. Ils utilisent, dans ces conditions, des équipements actifs non interconnectés. Par exemple, pour garantir la sûreté de fonctionnement, un réseau de monitorage est déconnecté du réseau de l établissement. Non applicable dans le cadre de ce référentiel [E23b] Si le «système» est connecté uniquement au réseau de l établissement, il utilise les équipements actifs du réseau de l établissement. Dans ce cas, le «système» se conforme aux règles de fonctionnement du réseau de l établissement (plan d adressage ; règles descriptives : auto négociation de la vitesse et du duplex interdits ) Classification : Diffusion restreinte GT PGSSI 11 / 33

N Exigence Acteur concerné [E23c] Si le «système» est simultanément connecté au réseau interne de l équipement et au réseau de l établissement, le plan d adressage du réseau interne est imposé par l établissement. Les deux interfaces réseau du «système» connectées sur ces deux réseaux ne communiquent pas entre elles (routage interdit). Par exemple, un réseau de monitoring avec un pont avec le réseau de l établissement. [E25] Le système est placé dans un sous-réseau logique ou «réseau virtuel» défini par l établissement permettant un cloisonnement vis-à-vis des autres sous-réseaux logiques de l établissement. Ce cloisonnement est total (aucun routage entre les réseaux) ou contrôlé (routage et filtrage) [E26] Une matrice des flux réseau est communiquée par le fournisseur. Elle précise la nature des échanges : les ports et protocoles nécessaires à ces échanges entre: le réseau virtuel sur lequel le «système» est connecté, les autres réseaux virtuels de l établissement ; éventuellement les réseaux sur le site du fournisseur permettant la télémaintenance de l équipement. Cette matrice permet à l établissement d identifier précisément les flux liés à l équipement et de configurer les équipements d interconnexion de manière à n autoriser que les flux nécessaires et filtrer ainsi les autres. [E27] La matrice des flux précise obligatoirement les éléments suivants: Nature de l information, finalité de l échange, Adresse source, Port source (Indiquer dynamique si c est le cas), Adresse cible, Port cible, Protocole de communication, Volumétrie (bande passante) [E28] Les variantes sécurisées des protocoles de communication sont favorisées, lorsqu elles sont disponibles. Il est en effet préférable que les communications soient chiffrées, même au sein de l établissement. [E29] Si le progiciel permet l échange de données avec des professionnels de santé libéraux ou d un autre établissement, via Internet, il fait appel aux moyens d authentification et de chiffrement des communications conformes au référentiel de l ASIP Santé et/ou du RGS [E30] L équipement utilise des connexions filaires. Classification : Diffusion restreinte GT PGSSI 12 / 33

N Exigence Acteur concerné [E31] Le cas échéant, en fonction de la Politique de Sécurité de l Etablissement de Santé, l équipement n'utilise pas de connexion sans fil. [E32a] La connexion du «système» sur le réseau est contrôlée par identification sur la base d une adresse IP fixe. [E32b] La connexion du «système» sur le réseau est contrôlée par identification sur la base de son adresse physique (ou «MAC adress») [E32c] La connexion du «système» sur le réseau est contrôlée par authentification via la norme 802.1X [E33] Le cas échéant, en fonction de la Politique de Sécurité de l Etablissement de Santé, l équipement peut s intégrer dans un réseau sans fil de l établissement sous réserve de respecter les mécanismes de sécurité mis en œuvre par l établissement, garantissant l authentification et le chiffrement des communications sur ce réseau. Contrôle d accès [A] Authentification [A1] Les journaux d évènement collectant les traces des opérations système et applicatives sont activés. Le contenu de ces journaux est défini par une stratégie d audit (incluant la purge) configurée au niveau du système d exploitation. [A2] Seuls les comptes nécessaires à l utilisation, à l administration et à la maintenance du «système» sont activés. Ainsi, le compte invité est désactivé. [A3] Le progiciel s'exécute sous un compte système de type «utilisateur sans pouvoir». Le compte système «administrateur» est exclusivement réservé aux opérations de maintenance. [A4] Le fournisseur de l équipement s engage à ce qu'aucun compte d'accès générique ne soit «codé en dur» dans le code ou dans les scripts du progiciel. Classification : Diffusion restreinte GT PGSSI 13 / 33

N Exigence [A5] La partie serveur de l'accès à la base de données, doit véhiculer le nom de l'utilisateur pour lequel le progiciel réalise les requêtes. Dans le cas contraire, il convient d expliquer comment l équipement médical gère la traçabilité d'accès et quel mécanisme est déployé pour faire le lien entre le compte générique d'accès et le compte utilisateur. Acteur concerné [A6a] L équipement médical utilise le service de l annuaire d identité et d authentification de l établissement pour authentifier les utilisateurs. [A6b] L équipement peut utiliser une base de comptes utilisateurs locale synchronisée ou non, de façon automatique avec l annuaire de l établissement. [A7] Qu elle soit locale ou déléguée, la procédure d authentification se déroule sous le contrôle d un mécanisme d authentification unique (SSO ) Habilitations [A8] Les droits d accès dans les progiciels de l équipement sont organisés et paramétrés suivant des rôles applicatifs. [A9] Les règles d habilitation consistent à attribuer ces rôles à des catégories d utilisateurs, lesquelles les regroupent suivant des attributs RH tels que le métier et le service d affectation (Unité Fonctionnelle). [A10] Les comptes utilisateurs génériques sont interdits. [A11a] L accès aux données sur le «système» requiert une authentification forte individuelle et nominative. [A11b] L accès aux données sur le «système» requiert une authentification simple individuelle et nominative par un couple identifiant / mot de passe. Classification : Diffusion restreinte GT PGSSI 14 / 33

N Exigence [A12a] Il ne doit pas être possible pour un utilisateur de lancer plusieurs sessions applicatives simultanées avec un même compte. Acteur concerné [A12b] Le nombre de sessions applicatives simultanées, avec un même compte, est limité. [A13] Le progiciel affiche systématiquement à l utilisateur, lors de la connexion, les dates et heures de la dernière connexion réalisée avec le même identifiant. [A14] Si les identifiants et les mots de passe sont gérés dans le progiciel, le «système» permet l attribution d identifiants individuels sans contrainte de format. L établissement peut ainsi appliquer sa stratégie d identifiants utilisateurs (longueur, règle de nommage, caractères alphabétiques ou alphanumériques). [A15] Si les identifiants et les mots de passe sont gérés dans le progiciel, celui-ci impose à l'utilisateur, le changement de son mot de passe à sa première connexion [A16] Le progiciel doit astreindre l utilisateur au changement régulier de son mot de passe. [A17] A cette occasion, le progiciel doit interdire la réutilisation des trois derniers mots de passe. [A18] Si les identifiants et les mots de passe sont gérés dans le progiciel, celui-ci s assure qu après plusieurs saisies incorrectes successives du mot de passe pour un identifiant valide, l'accès est bloqué temporairement. [A19] Le «système» intègre un mécanisme de verrouillage automatique du poste en cas de non-utilisation pendant un temps donné paramétrable (time out). Classification : Diffusion restreinte GT PGSSI 15 / 33

N Exigence [A20] Le «système» intègre un mécanisme de déconnexion automatique du poste après non-utilisation pendant un temps donné paramétrable (time out). Acteur concerné [A21] Ces mécanismes de déconnexion ne doivent pas perturber les fonctions de monitoring et d affichage des équipements dédiés, par exemple, à la surveillance continue de paramètres physiologiques du patient. Traçabilité [A23] Les ouvertures et fermetures des progiciels sont tracées. [A24] Toutes les fonctions utilisées dans le progiciel sont tracées, que ce soit des fonctions de consultation de données à l écran ou de documents embarqués dans le progiciel, que des fonctions d impression, ou de modification et de suppression de données. [A25] Les journaux d accès permettent de mémoriser l ensemble des différents accès aux données et non pas seulement le dernier accès. [A26] Les traces sont exploitables facilement. Le système intègre une fonction d'interrogation des traces permettant notamment d'interroger l'ensemble des accès et actions par utilisateur, ou pour un patient donné. [A27a] L identification des praticiens dans l ensemble des données dans le progiciel est effectuée en utilisant le numéro du Répertoire Partagé des Professionnels de Santé (RPPS): ce numéro doit obligatoirement figurer sur les données produites, y compris les prescriptions et ordonnances. [A27b] L identification des praticiens dans l ensemble des données dans le progiciel est effectuée en utilisant un identifiant local au sein de l établissement: ce numéro doit obligatoirement figurer sur les données produites, y compris les prescriptions et ordonnances. [A28] Le paramétrage des profils et l attribution de profils à des utilisateurs ou catégories d utilisateurs n'est autorisé qu aux administrateurs authentifiés du système de gestion des habilitations. Classification : Diffusion restreinte GT PGSSI 16 / 33

N Exigence Acteur concerné [A29] Le progiciel trace les actions réalisées par les utilisateurs. [A30] La durée de conservation des traces est paramétrable. [A31] Le système permet un export des traces à des fins d archivage sur media externe, sans perturber le système en production, ceci, à des fins de conservation et de traitement des traces pendant la durée définie par l établissement. Export, extraction et échange de données [D] [D1] Tout déplacement de données personnelles par extraction, copie ou procédure d export vers des disques locaux ou médias amovibles est strictement interdit sauf aux personnels de l établissement de santé habilités et ayant droit et besoin à en connaitre. [D2] Le profil standard d utilisation du progiciel interdit la réalisation de requêtes nominatives. La réalisation de requêtes médicales nominatives ne doit être permise que pour des profils habilités et ayant droit à en connaitre. [D3] L export de données patients dans le cadre d infocentres et d outils décisionnels, est réalisé uniquement au sein de l établissement et fait l objet d une anonymisation non réversible des identités des patients. Interfaces [I] [I1] L accès de l équipement médical à des données produites par d autres progiciels utilise les interfaces des progiciels appelés (API, web services, ) et non des requêtes directes. [I2] L'appel à un module externe du progiciel via une interface s établit par la communication de l'identité de l'utilisateur final pour le compte duquel l'accès est réalisé [I3] Il est strictement interdit de transmettre les identifiants de l'appelant de façon non chiffrée. Classification : Diffusion restreinte GT PGSSI 17 / 33

N Exigence Acteur concerné [I4] Le système interdit nativement les copies d'écran (hard copy). Identito-vigilance [V] [V1] Le système privilégie l interconnexion au SIS pour récupérer une identification authentique du patient. Stockage / Sauvegarde [S] [S1] Si l équipement médical est porteur de données classées (ou réputées) sensibles par l établissement, un stockage en ligne sécurisé des données est mis en place. [S2.a] Ce stockage utilise les s installés dans l établissement (baies de stockage par exemple). [S2.b] Ce stockage utilise les s installés sur l équipement [S3] Les données produites par l équipement sont sauvegardées. [S4.a] Cette sauvegarde utilise les s installés dans l établissement. [S4.b] Cette sauvegarde utilise les s installés sur l équipement Acquisition, développement et maintenance des systèmes d'information [M] [M1] Le fournisseur fournit à l établissement le schéma détaillé d architecture de l équipement où sont présentés les modules fonctionnels et techniques, ainsi que les interfaces. Classification : Diffusion restreinte GT PGSSI 18 / 33

N Exigence [M2] L architecture générale du «système», et les progiciels embarqués doivent être sans adhérence avec les «briques» systèmes utilisées et ce, en vue de faciliter les migrations de systèmes d exploitation et de bases de données. Acteur concerné [M3] Les périphériques spécifiques livrés avec le disposent de pilotes certifiés par le fournisseur du système d exploitation utilisé. [M4] Le fournisseur justifie d un support privilégié auprès du fournisseur de la base de données (resp. du système d exploitation). [M5] Le fournisseur fournit tout document (livre blanc ou livre de référence) attestant que le progiciel respecte l intégralité des règles et recommandations édictées par le fournisseur. [M6] Le fournisseur du progiciel s engage à suivre les évolutions de version du fournisseur de la base de données et notamment à implémenter sa solution de façon à garantir le fonctionnement sur les versions supportées en correctif et évolutif par le fournisseur de la base de donnée. [M7] Le fournisseur s engage à appliquer des correctifs critiques (FIX) du fournisseur de la base de données permettant d'utiliser la version supportée par le fournisseur dans des délais raisonnables (moins de 3 semaines). [M8] Le fournisseur s engage à fournir à l établissement le modèle conceptuel des données et le modèle physique des données. Le fournisseur a obligation de permettre à l établissement l extraction intégrale et structurées de l ensemble des informations contenues dans le progiciel. Par extraction structurée, on entend : extraction conforme au modèle physique des données. [M9] Le fournisseur s engage à suivre les évolutions de version du fournisseur du système d'exploitation et notamment à implémenter sa solution de façon à garantir le fonctionnement sur les versions supportées en correctif et évolutif par le fournisseur du système d'exploitation. Classification : Diffusion restreinte GT PGSSI 19 / 33

N Exigence [M10] Le fournisseur s engage à l application des correctifs critiques (FIX) du système d'exploitation permettant d'utiliser la version supportée par l éditeur de ce dernier. Soit la mise à jour est faite par le fournisseur ; soit, à défaut, par l'établissement qui applique ces corrections, après information de celui-ci qui doit alors signaler toute incompatibilité entre les correctifs et l équipement. Acteur concerné [M11] La mise à niveau des correctifs est prévue usuellement sur une base mensuelle; une procédure d'application de correctifs en urgence est prévue. [M12] Le fournisseur s'engage à proposer une solution curative ou de contournement rapide en réponse aux alertes émises par le CERTA et transmises par l'établissement. [M13] Afin de garantir la confidentialité des données médicales personnelles stockées localement, l équipement doit embarquer un de chiffrement des données nominatives. [M14] Afin de garantir l intégrité des données, l équipement médical doit mettre en œuvre des protocoles de transmission adaptés permettant de vérifier l équivalence des données reçues à celles émises. [M15] Lors de la numérisation et de la compression des images (imagerie médicale), des procédures normalisées sont mises en œuvre afin de garantir l intégrité de ces données Maintenance [M16] Un service de maintenance est proposé par le fournisseur, compatible avec la politique de maintenance médicale de l établissement. [M17] La mise en place de la télémaintenance est soumise à l'acceptation et au retour signé d un engagement de confidentialité Classification : Diffusion restreinte GT PGSSI 20 / 33

N Exigence [M18] La télémaintenance s appuie uniquement sur des connexions sécurisées de type VPN entre le site du fournisseur et le serveur VPN de l établissement. Les protocoles et services utilisés à l intérieur du tunnel VPN sont définis en accord avec l établissement. Les adresses des machines du fournisseur assurant la télémaintenance sont définies et fixes. Acteur concerné [M19] Le fournisseur peut sous-traiter tout ou partie des opérations de maintenance et/ou télémaintenance sous réserve d'une déclaration et d'un accord préalable de l'établissement. [M20] La télémaintenance nécessite l authentification du fournisseur conformément à la politique de sécurité de l établissement. Le type d authentification est décrit dans le contrat de maintenance. [M21] La télémaintenance est autorisée et activée pour une durée fixée après appel préalable de l'établissement. Le délai d'intervention court dès l activation effective de la connexion. [M22] Toute opération de maintenance sur site ou de télémaintenance fait l'objet d'un compte-rendu détaillé qui précise : la date et l'heure d'intervention, le motif d intervention, les opérations effectuées, le résultat de l'intervention, la liste nominative des intervenants. [M23] Le compte rendu est transmis conformément aux règles précisées dans la politique de maintenance médicale. [M24] Les techniciens du fournisseur qui réalisent des opérations de maintenance ou de télémaintenance ne sont pas autorisés à accéder à l identité des patients. [M25] Le «système» ne doit accéder à Internet, pour les mises à jour à distance, que par l intermédiaire d un proxy avec authentification. Les sites accédés sont identifiés par des adresses IP fixes, configurées par l établissement. [M26] Si une opération de maintenance requiert le remplacement d'un média de stockage ou d'un matériel défectueux, l action qui s impose est engagée et l établissement s assure de la destruction physique du matériel défectueux (avant éventuellement de le rendre au prestataire pour recyclage). Classification : Diffusion restreinte GT PGSSI 21 / 33

N Exigence Acteur concerné [M27] Si une mise à jour ou une panne nécessite le remplacement d un «système» par un autre, l ancien système ne doit plus rester en fonction dans l établissement. Il est effectivement enlevé. Le fournisseur donne les informations nécessaires à la mise à jour de l inventaire de l établissement. [M28] Lors de la réforme d un «système», celui-ci est effectivement enlevé. L établissement s assure de sa destruction physique. Le fournisseur donne les informations nécessaires à la mise à jour de l inventaire de l établissement. [M29] Le système doit être documenté. La documentation doit comprendre des dossiers d architecture, d installation, d exploitation et de maintenance compatibles avec la politique de maintenance médicale. Gestion de la continuité d activité [C] C1 En fonction de l analyse de criticité de l équipement : [C1a] L établissement met en place plusieurs systèmes distincts afin d assurer la redondance des fonctions assurées par l équipement médical. Il peut assurer cette redondance par l intermédiaire d une convention avec d autres organismes. [C1b] Le «système» intègre ses propres équipements de redondance. [C1c] L établissement dispose d un de secours préconfiguré «sur étagère» en vue d assurer un remplacement rapide du «système» en cas de panne. Cet équipement de secours est de configuration strictement identique à l équipement courant même en cas de modification de la configuration. [C1e] L équipement intègre des mécanismes de redondance permettant le fonctionnement parallèle de deux systèmes équivalents (mode actif-actif) ou d un système nominal avec basculement automatique sur un système de secours (mode actif-passif). [C2] Le fournisseur de l équipement participe avec l établissement, à la rédaction des modes de fonctionnement dégradés en cas de panne. Ces fonctionnements et les procédures de secours sont formalisés et connus des utilisateurs conformément aux processus de l établissement. Classification : Diffusion restreinte GT PGSSI 22 / 33

N Exigence Acteur concerné [C3] En cas d incident majeur sur le réseau de l établissement (attaque virale massive, par exemple) l équipement médical peut fonctionner, en mode dégradé, en étant isolé du réseau de l établissement. Conformité [O] [O1] Il est du ressort du fournisseur d'acquérir et de concéder à l'établissement l'ensemble des licences d'utilisation nécessaires au fonctionnement de l équipement. Ceci concerne les droits d usage des progiciels, des matériels et de l ensemble des couches logiques utilisées (Système d exploitation, algorithme, progiciels sécuritaires, progiciels réseaux, progiciels de base de données, progiciels systèmes, progiciels de transfert et de prise de main à distance, progiciels applicatifs, etc.) [O2] Le fournisseur communique la liste exhaustive des licences d'utilisation progicielles et/ou matérielles acquises pour l'établissement et concédées à l'établissement par les ayants droit. Classification : Diffusion restreinte GT PGSSI 23 / 33

5 Liste d exigences synthétiques pour le gestionnaire d un SIS N Exigence synthétique Les progiciels propres au système médical sont installés sur des systèmes d exploitation que l établissement a la compétence d administrer (systèmes d exploitation présents dans le SIS de l établissement ou «standards de fait» tels que Windows, Unix ou Linux). Le «système» est identifié et inventorié dans la gestion du parc (type et version du système d exploitation et des progiciels installés, avec mise à jour) et pris en compte dans le domaine d administration de l'établissement. Seuls les progiciels nécessaires au fonctionnement du système sont installés sur l équipement médical et les services non nécessaires du système d exploitation sont désactivés, sur la base des indications du fournisseur. Le système interdit nativement les copies d'écran (hard copy). Les modes d activation de l équipement à partir de périphériques amovibles sont réduits au strict nécessaire (désactivation de la fonction «autorun» d exécution automatique depuis un périphérique amovible, et du service plug'n play). Des solutions et procédures associées, permettant d assurer une continuité de service même dégradée, en cas de défaillance ou d isolation du «système» suite à un incident (par exemple : attaque virale de l équipement contre laquelle il n y aurait pas de moyen de protection, attaque virale massive dans le SIS, panne). Le «système» bénéficie, sans dégradation de son fonctionnement, d un de protection contre les codes malveillants (anti-malware : antivirus, anti-spyware, anti-rootkit etc.). Ce interne ou assuré par le SIS est tenu à jour. Numéros d exigences élémentaires [E1] [E2] [E4] [E5] [E6] [E7] [E8] [E9] [E10] [I4] [E16] [E17] [E18] [C2] [C3] [E11] [E12] [E13] [E14] [E15] E = existe tel quel P = paramétrable V = à venir dans la prochaine version R = réalisable en spécifique N = n existe pas et ne sera pas réalisé Classification : Diffusion restreinte GT PGSSI 24 / 33

N Exigence synthétique Le «système» bénéficie de s pare feux à l échelle du poste de travail et de l accès internet de l établissement, qui prennent en compte ses besoins spécifiques de filtrage compatibles avec les règles de l établissement. Numéros d exigences élémentaires [E20] [E21] [E22] Le «système» se conforme aux règles de fonctionnement du réseau de l établissement et à son plan d adressage. Si le «système» est simultanément connecté au réseau interne de l équipement (réseau de monitoring par exemple) et au réseau de l établissement, les deux interfaces réseau du «système» connectées sur ces deux réseaux ne communiquent pas entre elles (routage interdit). [E23] Sur la base d une matrice de flux réseau précisée par le fournisseur, le système est placé dans un sous-réseau logique ou «réseau virtuel» défini par l établissement permettant un cloisonnement vis-à-vis des autres sous-réseaux logiques de l établissement. Ce cloisonnement est total (aucun routage entre les réseaux) ou contrôlé (routage et filtrage). La matrice des flux précise la nature des échanges, les ports et protocoles nécessaires à ces échanges entre : le réseau virtuel sur lequel le «système» est connecté, les autres réseaux virtuels de l établissement ; éventuellement les réseaux sur le site du fournisseur permettant la télémaintenance de l équipement. Elle indique les éléments suivants : Nature de l information, finalité de l échange, Adresse source, Port source (Indiquer dynamique si c est le cas), Adresse cible, Port cible, Protocole de communication, Volumétrie (bande passante). [E25] [E26] [E27] Les variantes sécurisées des protocoles de communication sont favorisées, lorsqu elles sont disponibles. Afin de garantir l intégrité des données, l équipement médical doit mettre en œuvre des protocoles de transmission adaptés permettant de vérifier l équivalence des données reçues à celles émises. Si le progiciel permet l échange de données avec des professionnels de santé libéraux ou d un autre établissement, via Internet, il fait appel aux moyens d authentification et de chiffrement des communications conformes au référentiel de l ASIP Santé et/ou du RGS. [E28] [E29] [M14] L équipement utilise des connexions filaires ou peut s intégrer dans un réseau sans fil si la politique de sécurité de l établissement l autorise, sous réserve de respecter les mécanismes de sécurité mis en œuvre par l établissement, garantissant l authentification et le chiffrement des communications sur ce réseau. [E30] [E31] [E33] Classification : Diffusion restreinte GT PGSSI 25 / 33

N Exigence synthétique La connexion du «système» sur le réseau est contrôlée par identification sur la base de son adresse physique (ou «MAC adress»), d une adresse IP fixe ou par authentification selon la norme 802.1X Numéros d exigences élémentaires [E32] Seuls les comptes nécessaires à l utilisation, à l administration et à la maintenance du «système» sont activés. Ainsi, le compte invité est désactivé. Aucun compte d'accès générique n est «codé en dur» dans le code ou dans les scripts du progiciel. Les comptes utilisateurs génériques sont interdits. Le progiciel s'exécute sous un compte système de type «utilisateur sans pouvoir». Le compte système «administrateur» est exclusivement réservé aux opérations de maintenance. [A2] [A3] [A4] [A10] Le paramétrage des profils et l attribution de profils aux utilisateurs, suivant des attributs RH tels que le métier et le service d affectation (Unité Fonctionnelle), n'est autorisé qu aux administrateurs authentifiés du système de gestion des habilitations. Les droits d accès dans les progiciels de l équipement sont organisés et paramétrés suivant des rôles applicatifs. Le profil standard d utilisation du progiciel interdit la réalisation de requêtes nominatives. La réalisation de requêtes médicales nominatives ne doit être permise que pour des profils habilités et ayant droit à en connaître. [A28] [A9] [A8] [D2] La partie serveur de l'accès à la base de données doit véhiculer le nom en clair de l'utilisateur pour lequel le progiciel réalise les requêtes. Dans le cas contraire, il convient d expliquer comment l équipement médical gère la traçabilité d'accès et quel mécanisme est déployé pour faire le lien entre le compte générique d'accès et le compte utilisateur. [A5] [I2] [I3] L accès aux données sur le «système» requiert une authentification individuelle et nominative a minima par identifiant / mot de passe et de préférence plus forte et sous le contrôle d un mécanisme d authentification unique (SSO ) [A7] [A11] Si les identifiants et les mots de passe sont gérés dans le progiciel, celui-ci impose à l'utilisateur, le changement régulier de son mot de passe et à la première connexion. Le progiciel doit interdire la réutilisation des trois derniers mots de passe et doit permettre à l établissement d appliquer sa stratégie d identifiants utilisateurs (longueur, règle de nommage, caractères alphabétiques ou alphanumériques). [A14] [A15] [A16] [A17] Classification : Diffusion restreinte GT PGSSI 26 / 33

N Exigence synthétique Le «système» intègre des mécanismes de limitation des sessions applicatives simultanées pour le même compte, de limitation de tentatives d authentification infructueuses (accès bloqué temporairement), d affichage à l utilisateur de la dernière connexion réalisée avec le même identifiant, de verrouillage automatique du poste en cas de non-utilisation pendant une durée paramétrable et de déconnexion automatique au bout d une durée de non-utilisation également paramétrable. Numéros d exigences élémentaires [A12] [A13] [A18] [A19] [A20] [A21] Ces mécanismes ne doivent pas perturber les fonctions de monitoring et d affichage des équipements dédiés, par exemple, à la surveillance continue de paramètres physiologiques du patient. L identification des praticiens dans l ensemble des données dans le progiciel doit s effectuer en utilisant le numéro du Répertoire Partagé des Professionnels de Santé (RPPS) ou un identifiant local au sein de l établissement. Ce numéro doit figurer sur les données produites, y compris les prescriptions et ordonnances. [A27] Les journaux d évènement collectant les traces des opérations système et applicatives sont activés. Les ouvertures et fermetures des progiciels sont tracées. Le contenu de ces journaux est défini par une stratégie d audit (incluant la purge) configurée au niveau du système d exploitation. [A1] [A23] Toutes les fonctions utilisées dans le progiciel sont tracées : actions réalisées par les utilisateurs, consultation de données à l écran ou de documents embarqués dans le progiciel, impression, modification ou suppression de données. [A24] [A25] [A29] Les traces sont exploitables facilement. Le système intègre une fonction d'interrogation des traces permettant notamment d'interroger l'ensemble des accès et actions par utilisateur, ou pour un patient donné. La durée de conservation des traces est paramétrable. Le système permet un export des traces à des fins d archivage sur media externe, sans perturber le système en production, ceci, à des fins de conservation et de traitement des traces pendant la durée définie par l établissement. [A26] [A30] [A31] Classification : Diffusion restreinte GT PGSSI 27 / 33

N Exigence synthétique Tout déplacement de données personnelles par extraction, copie ou procédure d export vers des disques locaux ou médias amovibles est strictement interdit sauf aux personnels de l établissement de santé habilités et ayant droit et besoin à en connaitre. L export vers des infocentres et outils décisionnels doit faire l objet d une anonymisation non réversible des identités des patients. Numéros d exigences élémentaires [D1] [D3] L accès de l équipement médical à des données produites par d autres progiciels utilise les interfaces des progiciels appelés (API, web services, ) et non des requêtes directes. [I1] Le système privilégie l interconnexion au SIS pour récupérer une identification authentique du patient. [V1] Si l équipement médical est porteur de données classées (ou réputées) sensibles par l établissement, un stockage en ligne sécurisé des données est mis en place dans l équipement ou dans l établissement. Afin de garantir la confidentialité des données médicales personnelles stockées localement, l équipement doit embarquer un de chiffrement des données nominatives. [S1] [S2] [M13] Les données produites par l équipement sont sauvegardées. [S3] [S4] Le système doit être documenté et doit comprendre le schéma détaillé d architecture de l équipement où sont présentés les modules fonctionnels et techniques, ainsi que les interfaces. La documentation doit comprendre des dossiers d architecture, d installation, d exploitation et de maintenance compatibles avec la politique de maintenance médicale. Le fournisseur s engage à fournir à l établissement le modèle conceptuel des données et le modèle physique des données. Le fournisseur a obligation de permettre à l établissement l extraction intégrale et structurées de l ensemble des informations contenues dans le progiciel. Par extraction structurée, on entend : extraction conforme au modèle physique des données. [M1] [M29] [M8] Classification : Diffusion restreinte GT PGSSI 28 / 33

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back