Ajouter à la (aux) collection (s) Ajouter à enregistré
  1. Sciences
  2. Médecine

#FASN #LAB 4 SI : priorité à la sécurité

publicité 
#FASN
#LAB 4
SI : priorité à la sécurité
Animé par Frédéric Vilanova, Président, Clusir Aix-Marseille
• Philippe Barbot, Responsable de la sécurité informatique, CH de Bagnols
sur Cèze
• Claire Lenain, Directrice adjointe du pôle Urbanisation et services de
confiance, Coordination métiers, ASIP
• Philippe Tourron, Responsable de la Sécurité des Systèmes d’Information,
Assistance publique-hôpitaux de Marseille (AP-HM)
• Jean-Christophe Turbatte, Chargé de mission SI, ORU PACA
#FASN
#LAB 4
SI : priorité à la sécurité
Hébergement de données de santé, identitovigilance, ransonware, label
sécurité des logiciels,… la gestion par les risques et la maîtrise de la sécurité
informatique est au cœur des responsabilités des établissements de santé.
Comment assurer une sécurité maximale alors que l’hôpital s’ouvre chaque
jour davantage vers la ville ?
#FASN
LAB 4. SI : Priorité à la Sécurité
Frederic VILANOVA, Président Clusir
Aix Marseille, VP Paca
Professionnalisation des menaces… Outch!
Professionnalisation des menaces
Source: (1) Gartner Magic Quadrant Juillet 2015
(2) Prévisions Gartner, Septembre 2016
IoTs Objets connectés… Aie!
Gouverner, manager, opérer: 3 niveaux
De nombreuses directives et
normes dont Hôpital
Numérique, GDPR, etc.
Un parc applicatif et matériel
très hétérogène avec une
surface d’exposition très
importante
Les niveaux
Une approche globalisée de
planification et
d’organisation pour
envisager la sécurité dans
son contexte métier, des
parties prenantes internes et
externes des métiers.
Les niveaux
Les niveaux
Les niveaux
Performance and Conformance
System of Internal Control
Compliance with External Regulations
#FASN
Ouverture de l’hôpital vers la ville dans
un espace de confiance numérique
Claire LENAIN, directrice adjointe
Pôle urbanisation et services de confiance
Protéger les données de santé de l’hôpital
Le processus de soins est aujourd’hui largement informatisé à l’hôpital
•
Atlas SIH 2016 (DGOS) : 94% des établissements déclarent l'informatisation de leur dossier patient achevée ou en cours
L’établissement est responsable de traitement de ses applications qui manipulent de la donnée de santé
Tout responsable de traitement doit s’assurer de mettre en œuvre (lui-même ou en ayant recourt à des sous-traitants) les
mesures de sécurité adaptées à la sensibilité des données (cf. article 34 de la loi « Informatique et Libertés).
• Sécurité du système d’information
(infrastructures…)
• Guide d’hygiène informatique de l’ANSSI
• INSTRUCTION N°SG/DSSIS/2016/309 du 14 octobre 2016 relative à la
mise en œuvre du plan d’action SSI dans les établissements
• Sécurité des applications de santé
• Référentiels de la PGSSI-S
• Hébergement des données de santé • Evolution de la procédure d’agrément vers une procédure de
certification (ISO 27001, 20000, 27017, 27018)
La sécurité du système d’information doit être positionnée au bon niveau compte-tenu des enjeux (gestion des
risques SSI)
NOUVEAU : Mise en place d’un dispositif opérationnel de déclaration et de traitement des incidents graves de
sécurité des SI de santé remontés par les établissements de santé, laboratoires de biologie médicale et centres de
radiothérapie (article 110 de la loi MNS du 26 janvier 2016) - à partir d’octobre 2017
Un cadre « de sécurité » pour favoriser l’essor de la e-santé
Contexte : développement des échanges et du partage de données de santé entre professionnels de
santé (hôpital, ville et secteur médico-social) et avec le patient
La politique générale de sécurité des systèmes d‘information de santé (PGSSI-S)
Guides
Référentiels
esante.gouv.fr/pgssi-s
(opposables en 2018)
Gouvernance et mise en œuvre de la PGSSI-S
En concertation
Identification
Publié, en évolution
Authentification
Publié, en évolution
des acteurs
du secteur santé, médico-social et social
Imputabilité
Publié, en évolution
Identification
A paraître
Authentification
A paraître
Prochainement:
▪ gestion des équipements nomades,
▪ modèle de charte utilisateur
des usagers
du secteur santé, médico-social et social
auprès
des applications
contenant des
données de santé
à caractère personnel
Des services pour mettre en œuvre ce cadre « de sécurité »
indispensable à l’essor de la e-santé
Référentiels PGSSI-S
Des services d’infrastructure nationaux
Structures
FINESS, SIRET …
Professionnels de santé
RRPS/ADELI
Identification des acteurs
Service de publication : annuaire.sante.fr
site web
web-services
Authentification des acteurs
•
•
•
Authentification directe du PS
Authentification indirecte du PS
etc
Carte CPS et dispositifs alternatifs adossés à la CPS
Certificats logiciels
IGC Santé
(personnes morales,
personnes physiques…)
Loi MNS 26 janvier 2016 : Le NIR devient l’identifiant national de santé (INS)
Identification des usagers
attestation de
droits de l’AM
carte Vitale
Web services AM (bientôt)
#FASN
La SSI de Santé en PACA
JC TURBATTE - GIP e-Santé ORU PACA
SSI de SANTÉ
INSTANCE COLLÉGIALE RÉGIONALE
- SYSTÈMES D’INFORMATION -
SSI
RÉFÉRENTIELS
MS SANTÉ
TÉLÉMÉDECINE
GHT
SSI de SANTÉ
INSTANCE COLLÉGIALE RÉGIONALE
- SYSTÈMES D’INFORMATION -
SSI
RÉFÉRENTIELS
MS SANTÉ
TÉLÉMÉDECINE
GHT
SSI de SANTÉ
INSTANCE COLLÉGIALE RÉGIONALE
- SÉCURITÉ DES SYSTÈMES D’INFORMATION DE SANTÉ -
SSI de SANTÉ
ATELIER
SÉCURITÉ DES SYSTÈMES D’INFORMATION
Livrable 1 : Étude d’écarts entre les référentiels
Livrable 2 : Procédures et fiches réflexes
Livrable 3 : Outils d’auto-évaluation et visites croisées
Livrable 4 : Groupe dédié à la Sécurité des Systèmes d’Information
Livrable 5 : Formation et de sensibilisation à la SSI
SSI de SANTÉ
Merci de votre attention ...
#FASN
La sécurité du numérique de santé :
Risques et opportunités
Philippe Tourron, RSSI
APHM
Sécurité du numérique de santé : les Risques
Enjeux majeurs : protéger les patients
• Leurs soins
• Leurs données
• Disponibles
• Intègres
• Confidentielles
• Auditables
Le périmètre ?
• Les logiciels (du DPI au
portail patient)
• Les infrastructures (des
serveurs au pilotages de
l’électricité)
• Les moyens médicaux
techniques (de l’ECG à la
centrale de dialyse)
-> A l’hôpital
-> Et au-delà
Exemple : DMIA monitoré chez le
patient
Sécurité du numérique de santé : une stratégie
Vision : s’appuyer sur ce qui existe (en dehors de la santé)
ISO 27001 et vers laquelle convergent tous les référentiels
Pragmatisme : procéder par palier, rendre possible des
pratiques utiles pour les professionnels de santé
Pédagogie : sensibiliser, former tous les acteurs :
Biomédical, techniques, des messages simples aux
utilisateurs
Mais aussi les éditeurs : renforcer nos exigences /
recommandations
Agilité : les menaces sont agiles les réponses de protection
doivent s’adapter : apprendre à gérer des crises, défense en
profondeur, s’entraider
Les Freins :
• Changer
• Coûts
Les leviers :
• La règlementation
• Les incidents (l’actualité)
• Les soutiens des structures
nationales (HFDS/FSSI, ASIP,
ANSSI, …) et des autres
• La prise de conscience de la
criticité du SI
Comment aller vers … un management de la sécurité
(ISO27001)
Convaincre d’y aller avec une vision à 5 ans
Enjeux : territoire, HDS, certification des comptes, état et ministère
Sponsor
La confiance des professionnels de santé et des patients
Une organisation :
S’appuyer sur tout ce qui existe pour démarrer
Commission, copil, gestion des risques, certification HAS
Nommer des correspondants sécurité SI dans et hors DSI
Une stratégie :
Comprise de la gouvernance
Qui intègre les Enjeux (positionnement / territoire)
Qui valorise l’établissement
Qui garantisse la conformité
Qui permette une maturité progressive
Sécurité du numérique de santé : les opportunités
La signature numérique, le chiffrement, l’authentification
forte
La sécurité : valeur ajoutée pour la confiance numérique
Rends possible (conformité/fiabilité) :
Enjeux pour l’avenir :
• Garantie du soin numérique
• La dématérialisation : la preuve numérique
• Hébergement des données de
santé
• L’identité numérique (pour l’accès aux données
et aux dispositifs) pour les personnes, pour les
logiciels, pour les appareils médicaux
• Télémédecine
• La communication sécurisée
• Les soins/télémédecine à distance
• Bigdata
#FASN
Sécurité des Systèmes d’Information:
Retour d’Expérience
Philippe, Barbot, RSI,
CH BAGNOLS SUR CEZE
Sécurité des Systèmes d’Information :
Retour d’Expérience
Après atteinte des pré-requis « Hopital Numérique »
Au niveau de l’Etablissement
Acquisition de la « culture Sécurité des SIH »
(Nomination RSSI, CIL, SSI évoquée lors de chaque instance, formations,
interventions diverses…)
Mise en place d’un lien « privilégié » avec la Cellule Qualité
(Rédaction des plans d’action, V2014…)
Formalisation, réécriture et imprégnation des documents
institutionnels
(PSSI, Charte de la sécurité du SI, Procédures de recrutement…)
Sécurité des Systèmes d’Information :
Retour d’Expérience
Après atteinte des prérequis « Hôpital Numérique »
Au niveau des utilisateurs (le fonctionnel)
Acquisition de la « culture Sécurité des SIH »
Procédures de fonctionnement en mode dégradé
Prise en compte et acceptation des règles
Authentification personnelle (Urgences-GAP)
Traçabilité des accès (Smartaudit…)
Déploiement annuaire d’entreprise
Hôpital Numérique : Retour d’Expérience
Après atteinte des prérequis « Hôpital Numérique »
Au niveau technique
Prise en compte de la « culture Sécurité des SIH »
Réflexion Sécurité
Formalisation des documentations
PRA
Procédures
Sécurité des Systèmes d’Information:
Retour d’Expérience
Après atteinte des pré-requis…pour le patient ?
Amélioration dans le cadre de la prise en charge de nos patients
Identité du patient
Identitovigilance
Diminution du risque de désorganisation des soins prodigués au patient
PRA, procédures mode dégradé…
Respect de la confidentialité des données concernant le patient
Authentification des intervenants, traçabilité des accès,
Traçabilités « centralisée » (gestion des risques)
Sécurité des Systèmes d’Information :
Retour d’Expérience
Ensuite…..
Prise en compte du Plan d’Action Sécurité des SIH
paru en novembre 2016
Documents connexes
I a/ Soit A un anneau commutatif. Montrer que A admet des éléments
I a/ Soit A un anneau commutatif. Montrer que A admet des éléments
session 2013 - Ministère de l`Intérieur
session 2013 - Ministère de l`Intérieur
Restitution LAB #FASN L’aménagement du territoire et les enjeux de santé de demain
Restitution LAB #FASN L’aménagement du territoire et les enjeux de santé de demain
dm fabienne 01
dm fabienne 01
Feuille d`exercices N. 1 : Topologie sur Rn
Feuille d`exercices N. 1 : Topologie sur Rn
Lois de composition interne
Lois de composition interne
Systèmes d`information de santé et risques associés
Systèmes d`information de santé et risques associés
FicheBAC ES01 - Logamaths.fr
FicheBAC ES01 - Logamaths.fr
#FASN DOCTEUR SMART Aurélie BALDO chef de projet
#FASN DOCTEUR SMART Aurélie BALDO chef de projet
Formulaire TS de Probabilités
Formulaire TS de Probabilités
Rappels et compléments d`Algèbre Linéaire. 1 Catalogue des
Rappels et compléments d`Algèbre Linéaire. 1 Catalogue des
La logique équationnelle
La logique équationnelle
36 HEURES CHRONO CENTRE EST PALAIS DE LA BOURSE – LYON
36 HEURES CHRONO CENTRE EST PALAIS DE LA BOURSE – LYON
72 ko
72 ko
Énergétique / Puissance
Énergétique / Puissance
Restitution LAB #FASN Hôpital, numérique et territoire : triptyque gagnant ?
Restitution LAB #FASN Hôpital, numérique et territoire : triptyque gagnant ?
PGSSI-S - Esanté.gouv.fr
PGSSI-S - Esanté.gouv.fr
PGSSI-S : Politique générale de sécurité des systèmes d`information
PGSSI-S : Politique générale de sécurité des systèmes d`information
Téléchargement
publicité