#FASN #LAB 4 SI : priorité à la sécurité Animé par Frédéric Vilanova, Président, Clusir Aix-Marseille • Philippe Barbot, Responsable de la sécurité informatique, CH de Bagnols sur Cèze • Claire Lenain, Directrice adjointe du pôle Urbanisation et services de confiance, Coordination métiers, ASIP • Philippe Tourron, Responsable de la Sécurité des Systèmes d’Information, Assistance publique-hôpitaux de Marseille (AP-HM) • Jean-Christophe Turbatte, Chargé de mission SI, ORU PACA #FASN #LAB 4 SI : priorité à la sécurité Hébergement de données de santé, identitovigilance, ransonware, label sécurité des logiciels,… la gestion par les risques et la maîtrise de la sécurité informatique est au cœur des responsabilités des établissements de santé. Comment assurer une sécurité maximale alors que l’hôpital s’ouvre chaque jour davantage vers la ville ? #FASN LAB 4. SI : Priorité à la Sécurité Frederic VILANOVA, Président Clusir Aix Marseille, VP Paca Professionnalisation des menaces… Outch! Professionnalisation des menaces Source: (1) Gartner Magic Quadrant Juillet 2015 (2) Prévisions Gartner, Septembre 2016 IoTs Objets connectés… Aie! Gouverner, manager, opérer: 3 niveaux De nombreuses directives et normes dont Hôpital Numérique, GDPR, etc. Un parc applicatif et matériel très hétérogène avec une surface d’exposition très importante Les niveaux Une approche globalisée de planification et d’organisation pour envisager la sécurité dans son contexte métier, des parties prenantes internes et externes des métiers. Les niveaux Les niveaux Les niveaux Performance and Conformance System of Internal Control Compliance with External Regulations #FASN Ouverture de l’hôpital vers la ville dans un espace de confiance numérique Claire LENAIN, directrice adjointe Pôle urbanisation et services de confiance Protéger les données de santé de l’hôpital Le processus de soins est aujourd’hui largement informatisé à l’hôpital • Atlas SIH 2016 (DGOS) : 94% des établissements déclarent l'informatisation de leur dossier patient achevée ou en cours L’établissement est responsable de traitement de ses applications qui manipulent de la donnée de santé Tout responsable de traitement doit s’assurer de mettre en œuvre (lui-même ou en ayant recourt à des sous-traitants) les mesures de sécurité adaptées à la sensibilité des données (cf. article 34 de la loi « Informatique et Libertés). • Sécurité du système d’information (infrastructures…) • Guide d’hygiène informatique de l’ANSSI • INSTRUCTION N°SG/DSSIS/2016/309 du 14 octobre 2016 relative à la mise en œuvre du plan d’action SSI dans les établissements • Sécurité des applications de santé • Référentiels de la PGSSI-S • Hébergement des données de santé • Evolution de la procédure d’agrément vers une procédure de certification (ISO 27001, 20000, 27017, 27018) La sécurité du système d’information doit être positionnée au bon niveau compte-tenu des enjeux (gestion des risques SSI) NOUVEAU : Mise en place d’un dispositif opérationnel de déclaration et de traitement des incidents graves de sécurité des SI de santé remontés par les établissements de santé, laboratoires de biologie médicale et centres de radiothérapie (article 110 de la loi MNS du 26 janvier 2016) - à partir d’octobre 2017 Un cadre « de sécurité » pour favoriser l’essor de la e-santé Contexte : développement des échanges et du partage de données de santé entre professionnels de santé (hôpital, ville et secteur médico-social) et avec le patient La politique générale de sécurité des systèmes d‘information de santé (PGSSI-S) Guides Référentiels esante.gouv.fr/pgssi-s (opposables en 2018) Gouvernance et mise en œuvre de la PGSSI-S En concertation Identification Publié, en évolution Authentification Publié, en évolution des acteurs du secteur santé, médico-social et social Imputabilité Publié, en évolution Identification A paraître Authentification A paraître Prochainement: ▪ gestion des équipements nomades, ▪ modèle de charte utilisateur des usagers du secteur santé, médico-social et social auprès des applications contenant des données de santé à caractère personnel Des services pour mettre en œuvre ce cadre « de sécurité » indispensable à l’essor de la e-santé Référentiels PGSSI-S Des services d’infrastructure nationaux Structures FINESS, SIRET … Professionnels de santé RRPS/ADELI Identification des acteurs Service de publication : annuaire.sante.fr site web web-services Authentification des acteurs • • • Authentification directe du PS Authentification indirecte du PS etc Carte CPS et dispositifs alternatifs adossés à la CPS Certificats logiciels IGC Santé (personnes morales, personnes physiques…) Loi MNS 26 janvier 2016 : Le NIR devient l’identifiant national de santé (INS) Identification des usagers attestation de droits de l’AM carte Vitale Web services AM (bientôt) #FASN La SSI de Santé en PACA JC TURBATTE - GIP e-Santé ORU PACA SSI de SANTÉ INSTANCE COLLÉGIALE RÉGIONALE - SYSTÈMES D’INFORMATION - SSI RÉFÉRENTIELS MS SANTÉ TÉLÉMÉDECINE GHT SSI de SANTÉ INSTANCE COLLÉGIALE RÉGIONALE - SYSTÈMES D’INFORMATION - SSI RÉFÉRENTIELS MS SANTÉ TÉLÉMÉDECINE GHT SSI de SANTÉ INSTANCE COLLÉGIALE RÉGIONALE - SÉCURITÉ DES SYSTÈMES D’INFORMATION DE SANTÉ - SSI de SANTÉ ATELIER SÉCURITÉ DES SYSTÈMES D’INFORMATION Livrable 1 : Étude d’écarts entre les référentiels Livrable 2 : Procédures et fiches réflexes Livrable 3 : Outils d’auto-évaluation et visites croisées Livrable 4 : Groupe dédié à la Sécurité des Systèmes d’Information Livrable 5 : Formation et de sensibilisation à la SSI SSI de SANTÉ Merci de votre attention ... #FASN La sécurité du numérique de santé : Risques et opportunités Philippe Tourron, RSSI APHM Sécurité du numérique de santé : les Risques Enjeux majeurs : protéger les patients • Leurs soins • Leurs données • Disponibles • Intègres • Confidentielles • Auditables Le périmètre ? • Les logiciels (du DPI au portail patient) • Les infrastructures (des serveurs au pilotages de l’électricité) • Les moyens médicaux techniques (de l’ECG à la centrale de dialyse) -> A l’hôpital -> Et au-delà Exemple : DMIA monitoré chez le patient Sécurité du numérique de santé : une stratégie Vision : s’appuyer sur ce qui existe (en dehors de la santé) ISO 27001 et vers laquelle convergent tous les référentiels Pragmatisme : procéder par palier, rendre possible des pratiques utiles pour les professionnels de santé Pédagogie : sensibiliser, former tous les acteurs : Biomédical, techniques, des messages simples aux utilisateurs Mais aussi les éditeurs : renforcer nos exigences / recommandations Agilité : les menaces sont agiles les réponses de protection doivent s’adapter : apprendre à gérer des crises, défense en profondeur, s’entraider Les Freins : • Changer • Coûts Les leviers : • La règlementation • Les incidents (l’actualité) • Les soutiens des structures nationales (HFDS/FSSI, ASIP, ANSSI, …) et des autres • La prise de conscience de la criticité du SI Comment aller vers … un management de la sécurité (ISO27001) Convaincre d’y aller avec une vision à 5 ans Enjeux : territoire, HDS, certification des comptes, état et ministère Sponsor La confiance des professionnels de santé et des patients Une organisation : S’appuyer sur tout ce qui existe pour démarrer Commission, copil, gestion des risques, certification HAS Nommer des correspondants sécurité SI dans et hors DSI Une stratégie : Comprise de la gouvernance Qui intègre les Enjeux (positionnement / territoire) Qui valorise l’établissement Qui garantisse la conformité Qui permette une maturité progressive Sécurité du numérique de santé : les opportunités La signature numérique, le chiffrement, l’authentification forte La sécurité : valeur ajoutée pour la confiance numérique Rends possible (conformité/fiabilité) : Enjeux pour l’avenir : • Garantie du soin numérique • La dématérialisation : la preuve numérique • Hébergement des données de santé • L’identité numérique (pour l’accès aux données et aux dispositifs) pour les personnes, pour les logiciels, pour les appareils médicaux • Télémédecine • La communication sécurisée • Les soins/télémédecine à distance • Bigdata #FASN Sécurité des Systèmes d’Information: Retour d’Expérience Philippe, Barbot, RSI, CH BAGNOLS SUR CEZE Sécurité des Systèmes d’Information : Retour d’Expérience Après atteinte des pré-requis « Hopital Numérique » Au niveau de l’Etablissement Acquisition de la « culture Sécurité des SIH » (Nomination RSSI, CIL, SSI évoquée lors de chaque instance, formations, interventions diverses…) Mise en place d’un lien « privilégié » avec la Cellule Qualité (Rédaction des plans d’action, V2014…) Formalisation, réécriture et imprégnation des documents institutionnels (PSSI, Charte de la sécurité du SI, Procédures de recrutement…) Sécurité des Systèmes d’Information : Retour d’Expérience Après atteinte des prérequis « Hôpital Numérique » Au niveau des utilisateurs (le fonctionnel) Acquisition de la « culture Sécurité des SIH » Procédures de fonctionnement en mode dégradé Prise en compte et acceptation des règles Authentification personnelle (Urgences-GAP) Traçabilité des accès (Smartaudit…) Déploiement annuaire d’entreprise Hôpital Numérique : Retour d’Expérience Après atteinte des prérequis « Hôpital Numérique » Au niveau technique Prise en compte de la « culture Sécurité des SIH » Réflexion Sécurité Formalisation des documentations PRA Procédures Sécurité des Systèmes d’Information: Retour d’Expérience Après atteinte des pré-requis…pour le patient ? Amélioration dans le cadre de la prise en charge de nos patients Identité du patient Identitovigilance Diminution du risque de désorganisation des soins prodigués au patient PRA, procédures mode dégradé… Respect de la confidentialité des données concernant le patient Authentification des intervenants, traçabilité des accès, Traçabilités « centralisée » (gestion des risques) Sécurité des Systèmes d’Information : Retour d’Expérience Ensuite….. Prise en compte du Plan d’Action Sécurité des SIH paru en novembre 2016