RÉFÉRENTIELS
Politique Générale de Sécurité des SIS Comment mieux utiliser les référentiels de sécurité ?
SSA – 21 mai 2015
POLITIQUE GÉNÉRALE DE SÉCURITÉ DES SIS
PGSSI-S 2
A. Objectif et périmètre de la PGSSI-S
B. Démarche d’élaboration
C. Logique d’élaboration
D. Corpus documentaire
E. Exemple d’utilisation des documents
Sommaire
SSA – 21 mai 2015
Objectifs et périmètre de la PGSSI-S
PGSSI-S 3
Objectifs de la PGSSI-S :
• Permettre de renforcer la confiance et l’adhésion des professionnels, des patients et
plus largement du grand public par l’amélioration de la sécurité des données ;
• Favoriser la structuration de l’offre logicielle des industriels du secteur ;
• Faciliter la mise en œuvre de la SSI par les différents acteurs concernés.
Périmètre de la PGSSI-S :
• Ensemble des domaines de la santé et du médico-social (à terme) ;
• Ensemble des acteurs publics ou privés des domaines de la santé et du médico-social (professionnels de santé quel que soit leur mode d’exercice, intervenants professionnels dans ces secteurs,
établissements de soins, offreurs de services du domaine, ministères et organismes publics, …) ainsi que
les services proposés directement aux personnes concernées par les données (de type
réseau social santé, accès externes aux données de santé, …).
Organisation des travaux
• MOA stratégique: Délégation à la Stratégie des Systèmes d’Information de Santé
(DSSIS);
• MOA opérationnelle: ASIP Santé.
POLITIQUE GÉNÉRALE DE SÉCURITÉ DES SIS
Démarche d’élaboration
PGSSI-S 4
Forte mobilisation des représentants des acteurs professionnels et des industriels dans la comitologie d’élaboration de la PGSSI-S:
• Acteurs métier : Les professionnels de santé et les représentants de patients.
La PGSSI-S doit à la fois :
• Permettre le respect des droits fondamentaux des patients, propriétaires de leurs données de santé,
• Ne pas générer de « perte de chance » ;
• Les industriels du secteur de la santé :
• En particulier, les trajectoires de prise en compte la PGSSI-S sont définies par les promoteurs de SIS en fonction des solutions offertes par les industriels ;
• La dimension économique et les trajectoires de mise en conformité doivent être prises en compte.
Contribution des « utilisateurs » des référentiels à l’élaboration du corpus PGSSI-S pour favoriser l’adhésion des acteurs comme l’adéquation et l’enrichissement des documents :
• groupes de travail regroupant des acteurs du secteur : institutionnels, acteurs de santé dont les établissements, industriels ;
• processus de concertation publique ;
• gouvernance institutionnelle via un comité de pilotage regroupant les différentes directions du ministère, la CNAM, la CNSA, l’ANSSI, la CNIL et l’ASIP Santé.
Attentes importantes des acteurs en termes de pragmatisme / réalisme pour une production rapide des règles minimum indiscutables face aux situations de risques identifiées (identification et authentification des PS, ouverture des SI aux tiers, dispositifs connectés…).
POLITIQUE GÉNÉRALE DE SÉCURITÉ DES SIS
Logique d’élaboration
PGSSI-S 5
Le corpus documentaire prévoit une mise en œuvre progressive
Lorsque c’est judicieux, proposition d’un ensemble de paliers numérotés : • Un palier maximal (palier dont le numéro est le plus élevé) et des paliers intermédiaires qui
permettent de bâtir des trajectoires d’évolution et de satisfaire des objectifs de sécurité intermédiaires ;
• Un palier minimal (palier 1) déjà opérationnel ou rapide à atteindre, qui porte les exigences de sécurité indiscutables.
Le corpus documentaire est conçu pour une utilisation pragmatique :
• Outils d’aide à la définition et au renforcement de la sécurité des SI de santé
• Outils d’auto-évaluation et de planification de la mise en œuvre de la sécurité :
• Positionnement des offres des industriels par rapport aux paliers et définition des politiques industrielles,
• Evaluation de la maturité SSI des systèmes d’information de santé pour les acteurs de santé et pour l’état et définition des axes d’amélioration fondés sur les paliers ;
• Prise en compte progressive dans les systèmes d’information de santé :
• Pas de modification brutale des SI de santé,
• Mais une intégration progressive, principalement lors du renouvellement des différents éléments du SI en fonction de la conformité de l’offre disponible aux paliers de la PGSSI-S.
POLITIQUE GÉNÉRALE DE SÉCURITÉ DES SIS
Les types de documents PGSSI-S et leur utilisation
PGSSI-S 7
Référentiels de sécurité (http://esante.gouv.fr/pgssi-s/espace-publication#referentiels_techniques )
Description des « mécanismes » permettant la mise en œuvre de fonctions de sécurité • Le palier à mettre en œuvre dépend des objectifs de sécurité du système d’information considéré.
• Pour les contextes d’utilisation généraux les plus fréquents, la grille d’applicabilité (http://esante.gouv.fr/pgssi-s/espace-publication#aide_mise_en_oeuvre) propose les paliers minimum à mettre en œuvre.
• Documents identifiés comme pouvant à terme être rendus opposables (en utilisant les paliers de la grille d’applicabilité)
Guides pratiques (http://esante.gouv.fr/pgssi-s/espace-publication#guides_pratiques_specifiques )
Description des bonnes pratiques sur un périmètres technique spécifique • Checklist des règles pragmatiques permettant la sécurisation à l’état de l’art d’un élément du
système d’information ou d’un processus (ex. dispositifs connectés, interventions à distance…) autant au niveau technique qu’au niveau organisationnel.
• Mise en place des règles à adapter selon le contexte du système d’information.
Guides organisationnels (http://esante.gouv.fr/pgssi-s/espace-publication#guides_pratiques_organisationnels)
Démarche de mise en œuvre de la sécurité pour un système d’information de santé • Guides didactiques pour aider à la détermination des mesures à mettre en place et de leur
priorisation
• Utilisables directement pour des contextes généraux.
POLITIQUE GÉNÉRALE DE SÉCURITÉ DES SIS
Exemple d’utilisation d’un référentiel technique: Référentiel d’imputabilité 1/6
PGSSI-S 8
POLITIQUE GÉNÉRALE DE SÉCURITÉ DES SIS
Définition :
• « Responsabilité d'une entité par rapport à ses actions et ses décisions » [ISO 27000:2009]
• Au sein d’un système d’information, l’imputabilité vise : • à attribuer à chaque utilisateur ou à chaque machine l’intégralité des actions qu’il a effectuées sur le
système d’information ;
• à s’assurer que chaque action est attribuée de façon univoque à l’utilisateur ou la machine l’ayant
effectuée.
• Toute action qui peut être imputée à une machine relève in fine de la responsabilité d’une
personne physique ou morale
L’imputabilité par rapport aux autres notions sécurité : • Le rôle de l’imputabilité est de « certifier » l’intégrité des données (i.e. montrer que toutes les
modifications apportées aux données l’ont été dans le cadre d’une action légitime).
• Le niveau d’imputabilité repose sur le niveau de fiabilité de la traçabilité (i.e. la possibilité de
s’appuyer sur les traces des actions sans que leurs auteurs ne puissent nier avoir réaliser ces actions).
Utilisation pratique de l’imputabilité / traçabilité
• Dans le cas d’une action en justice - production d’éléments rapidement compréhensibles
pour expertise judiciaire (peu de temps alloué à l’expert)
• Nécessité d’un outil ergonomique pour accéder aux traces et d’une documentation claire
• Compromis exploitabilité des traces vs. valeur scientifique voire juridique
• Pour des besoins fonctionnels
• Imputabilité d’une non action – imputabilité en « creux »
• Nécessité de traces accessibles et intelligibles par des acteurs métiers non spécialistes de la SSI
• Pour des besoins d’analyse, de détection de comportements utilisateurs « anormaux »
Présentation PGSSI-S 9
Paliers Prérequis Génération de la piste
d’audit
Conservation des
traces
Restitution de la
piste d’audit Documentation spécifique
1
Palier 1 du
référentiel
d’identification et
d’authentification
Gestion dans le
temps des identités,
des rôles et des
habilitations
Heure partagée par
l’ensemble des
composants du SIS
Traces fonctionnelles
Possibilité
d’extraction des
traces pour
conservation dans
des endroits
multiples pour
réduire le risque de
modifications
systémiques
Outil de gestion
permettant la
restitution
ergonomique des
traces utilisable par
des non spécialistes
de la sécurité
Documentation des dispositifs
d’authentification, de gestion
des identités, des rôles, des
habilitations et des traces
2 Traces fonctionnelles
Traces techniques
provenant d’au moins un
type de composant du SIS
Archives
journalières
regroupant
l’ensemble des
traces
Idem palier 1 +
Description des sources des
traces et des processus mis en
œuvre de la génération à la
constitution de l’archive
journalière
3
Scellement
quotidien des traces
Idem palier 1 +
L’outil de gestion
permet de réconcilier
les traces autant que
de besoin
L’outil de gestion
des traces gère un
format pivot ou gère
de nombreux
formats de traces
Guide didactique
d’utilisation de l’outil
de gestion des
traces
Idem palier 2 +
Description des processus mis
en œuvre de la génération à
réconciliation
4
Idem palier 2 +
Au moins un élément de
traçabilité discrète basé
sur un scellement serveur
Idem palier 3 +
Documentation de la mise en
œuvre de la signature
électronique
5
Idem palier 1 +
Mise en œuvre
d’un processus
d’authentification
générant une
signature
électronique
Continuité totale de la
piste d’audit par
réconciliation de
l’ensemble des traces
fonctionnelles et
techniques et au moins
un élément de
traçabilité discrète basé
sur une signature
utilisateur
Mise en œuvre du
scellement et de
l’horodatage de ce
scellement des
traces
Exemple d’utilisation d’un référentiel technique: Référentiel d’imputabilité 2/6
POLITIQUE GÉNÉRALE DE SÉCURITÉ DES SIS
Exemple d’utilisation d’un référentiel technique: Référentiel d’imputabilité 3/6
PGSSI-S 10
POLITIQUE GÉNÉRALE DE SÉCURITÉ DES SIS
Pour les systèmes d’information disposant d’objectifs de sécurité formalisés :
• Mise en œuvre du palier répondant à l’objectif d’imputabilité
Pour les systèmes d’information ne disposant pas d’objectifs de sécurité formalisés :
• Identification du ou des contexte(s) applicable(s) dans la grille d’applicabilité
• Selon les paliers minimaux d’imputabilité correspondant aux contextes identifiés : • Mise en œuvre du palier le plus élevé
• Division du système d’information en plusieurs sous systèmes correspondant à des contextes spécifiques
et mise en œuvre du palier idoine sur chacun des sous systèmes.
Exemple d’utilisation d’un référentiel technique: Référentiel d’imputabilité 4/6
PGSSI-S 11
POLITIQUE GÉNÉRALE DE SÉCURITÉ DES SIS
Contextes de la grille d’applicabilité :
• Contexte 1 : exercice individuel pour lequel les accès au système d’information sont
sous le contrôle du professionnel de santé (ex. cabinet libéral)
• Contexte 2 : exercice collectif pour lequel les accès au système d’information sont
chacun sous le contrôle d’un utilisateur (ex. cabinet de groupe)
• Contexte 3 : exercice collectif pour lequel au moins une partie du système d’information
est mutualisée entre plusieurs utilisateurs (ex. hôpital, pharmacie)
• Contexte 4 : téléservices avec enregistrement préalable des utilisateurs (ex. site
marchand)
• Contexte 5 : téléservices sans enregistrement préalable des utilisateurs (ex. DMP, E-fit)
• Contexte 6 : documents de santé électroniques quand ils sont amenés à sortir du SIS
producteur pour échange ou mise en partage (ex. compte rendu d’examen de biologie
médicale envoyé par messagerie sécurisée, partage de plan personnalisé de santé…)
Exemple d’utilisation d’un référentiel technique: Référentiel d’imputabilité 5/6
PGSSI-S 12
POLITIQUE GÉNÉRALE DE SÉCURITÉ DES SIS
Palier d’imputabilité selon les contextes:
Contexte Palier d'imputabilité
minimum Dispositions complémentaires
Contexte 1 Palier 1
Contexte 2 Palier 2
Contexte 3 Palier 2
Contexte 4 Palier 2 à 4
En fonction de la sensibilité du service évaluée par le responsable de traitement (ex.
palier 2 pour la consultation de données générales et palier 4 pour la modification de
données de santé à caractère personnel)
Contexte 5 Palier 2 à 5
En fonction de la sensibilité du service évaluée par le responsable de traitement (ex.
palier 2 pour la consultation de données générales et palier 5 pour la modification de
données de santé à caractère personnel)
Contexte 6 Palier 2 à 5
Palier 2 pour les documents ne nécessitant pas de traçabilité embarquée.
Traçabilité embarquée via signature électronique sous forme :
soit de scellement faisant référence au SI d'origine (auquel cas le palier minimum
pour l’authentification est le palier 1 de l’authentification privée) – Palier 4 de
l’imputabilité ;
soit de signature utilisateur faisant référence à un utilisateur du SI d'origine
(auquel cas le palier minimum pour l’authentification est le palier 3 de
l’authentification publique) – palier 5 de l’imputabilité.
Charge au SI d'origine d'assurer en interne la piste d'audit des opérations qui ont
menées à la création et à la sortie du document du SI.
Exemple d’utilisation d’un référentiel technique: Référentiel d’imputabilité 6/6
PGSSI-S 13
POLITIQUE GÉNÉRALE DE SÉCURITÉ DES SIS
Exemple pour une clinique qui fournit le système d’information à ses intervenant, a un
téléservice de prise de rendez-vous et alimente le DMP avec des comptes-rendus :
• Contextes applicables: • Système d’information fourni aux intervenants: Contexte 3 (exercice collectif pour lequel au moins une
partie du système d’information est mutualisée entre plusieurs utilisateurs)
• Téléservice de prise de rendez-vous: Contexte 5 (téléservices sans enregistrement préalable des
utilisateurs)
• Documents ayant vocation à alimenter le DMP: Contexte 6 (documents de santé électroniques quand ils
sont amenés à sortir du SIS producteur pour échange ou mise en partage)
• Paliers applicables: • Système d’information fourni aux intervenants: Palier 2
• Téléservice de prise de rendez-vous: Palier 2 (seules actions possibles: demande de rendez-vous et
modification de rendez-vous)
• Documents ayant vocation à alimenter le DMP: Palier 4 (le DMP demande de la traçabilité embarquée
sous la forme à minima du scellement du lot de soumission)
• Options de mise en œuvre: • Mise en œuvre du palier 4 sur l’ensemble du système d’information (mise en œuvre de signature
électronique de type scellement sur l’ensemble du SI)
• Mise en œuvre du palier 2 sur le système d’information à l’exception du module d’alimentation du DMP
pour lequel le palier 4 est mis en œuvre (traces fonctionnelles et techniques sur l’ensemble du SI et
scellement uniquement pour le module d’alimentation du DMP)
PGSSI-S 14
Trois types d’intervention à distance :
• La télésurveillance est l’activité qui consiste à recueillir à distance et
analyser des informations relatives au fonctionnement technique de
tout ou partie d’un SIS, en vue de suivre ce fonctionnement, d’en
prédire les évolutions ou de détecter d’éventuelles anomalies.
• Exemples : le suivi d’indicateurs de charge d’un ensemble
d’équipements, le suivi du niveau de consommable, l’exécution cyclique
de tests d’une application pour vérifier qu’elle est toujours disponible.
• La télémaintenance est l’activité qui consiste à assurer à distance des modifications de
paramètres et de configuration de logiciels de tout ou partie d’un SIS afin d’en maintenir le
bon fonctionnement ou de faire évoluer son fonctionnement.
• Exemples : l’exploitation et l’administration technique, l’analyse d’incident technique, la mise à
jour de logiciel.
• La téléassistance est l’activité qui consiste à aider à partir d’un poste distant sur lequel les
interfaces d’accès de la personne assistée sont reproduites à l’identique. Dans certains cas
la seule interface d’accès reproduite est l’affichage à l’écran et l’intervenant a seulement la
possibilité d’observer ce que voit ou fait la personne assistée.
• Exemples : le dépannage logique d’un utilisateur sur son poste de travail, l’apport en direct
d’une expertise d’un administrateur sur la console d’un serveur.
Exemple d’utilisation d’un guide pratique: Règles pour les interventions à distance 1/3
POLITIQUE GÉNÉRALE DE SÉCURITÉ DES SIS
PGSSI-S 15
Cahier des
charges
-
Exigences de
sécurité
Contrat
-
Clauses générales
& particulières de
sécurité
Plan d’assurance
sécurité
-
Dispositions de
sécurité du
fournisseur
Convention
de service
-
Modalités
pratiques de
réalisation
sécurisée de la
prestation
Dispositions techniques de
sécurité
-
Mécanismes de protection
des échanges et des accès
Documents contractuels
Règles relatives à la
sécurité de la prestation
fournie
Règles relatives à la
sécurité de la prestation
fournie
Règles relatives à la sécurité de
l’environnement du fournisseur
Règles relatives à la sécurité de
l’environnement du fournisseur
Règles relatives à la sécurité
des échanges et des accès
Règles relatives à la sécurité
des échanges et des accès
Volet technique Volet organisationnel Description Engagement
Exemple d’utilisation d’un guide pratique: Règles pour les interventions à distance 2/3
POLITIQUE GÉNÉRALE DE SÉCURITÉ DES SIS
PGSSI-S 16
N° Règle
Applicabilité
Niveau
exigibilité
Télé
surv
eill
ance
Télé
main
tenance
Télé
assis
tance
Le responsable du SIS doit s’assurer de la mise en œuvre des dispositions techniques de sécurité suivantes dans le SIS. S’il n’en a
pas les capacités techniques, il peut déléguer par contrat la mise en œuvre de ces mesures au fournisseur.
[T1] La connexion directe du télé-mainteneur sur des équipements contenant des applications
ou des informations à caractère personnel doit être évitée.
Dans la mesure du possible, un point (ou passerelle) d’accès distant est mis en place pour
accéder aux équipements objets de l’intervention à distance. Dans ce cas les règles [T2] à
[T5] sont à mettre en œuvre. Dans le cas contraire, les règles [T6] à [T8] s’appliquent
X X X Palier 1
[T2] o Les équipements sont reliés à ce point d’accès par un réseau d’administration mis
en œuvre soit via un réseau dédié physiquement distinct du reste du SIS, soit via
une DMZ ou tout autre mécanisme permettant une isolation logique entre les flux
d’administration et le reste du SIS. Cette isolation logique se fera de préférence au
moyen d’un VPN.
X X X Palier 1
[T3] o Le point d’accès distant doit être protégé contre les attaques logiques en
provenance des réseaux et son contournement en vue d’accéder au réseau du SIS
ne doit pas être possible dans la pratique. X X X Palier 1
[T4] o Le point d’accès doit faire l’objet d’audits de sécurité renouvelés destinés à vérifier
sa mise en œuvre et sa résistance aux tentatives d’intrusion dans le SIS. X X X Palier 2
[T5] o Les échanges entre la plateforme d’intervention et le point d’accès distant au SIS
doivent être protégés par des fonctions de chiffrement et d’authentification
mutuelle. Ces fonctions sont de préférence conformes au Référentiel Général de
Sécurité (RGS).
X X X Palier 2
Exemple d’utilisation d’un guide pratique: Règles pour les interventions à distance 3/3
POLITIQUE GÉNÉRALE DE SÉCURITÉ DES SIS
PGSSI-S 17
Le « guide d’élaboration et de mise en œuvre d’une PSSI pour les structures des
secteurs sanitaire et médico-social - Structure sans approche SSI formalisée » est
conçu pour apporter aux structures de santé une aide concrète dans la définition et
la mise en application de leur Politique de Sécurité du Système d’Information.
Il consiste en:
• Un guide qui explique la logique d’élaboration d’une PSSI et la démarche d’utilisation des autres
document pour rédiger la PSSI d’une structure et en suite la mise en œuvre
• Un modèle de PSSI qui peut être directement repris comme une PSSI de structure avec
d’éventuelles mises à jour marginales pour adaptation au contexte de la structure
• Un plan d’action SSI qui permet la priorisation et le suivi détaillé de la mise en œuvre des règles
identifiées dans le canevas
• Deux modèles de chartes (charte sécurité pour les personnels IT et de charte d’accès et d’usage
du système d’information) qui peuvent être directement repris comme des chartes applicables aux
personnels de la structure avec d’éventuelles mises à jour pour adaptation au contexte de la
structure
• Une annexe couverture PSSIE qui permet aux structures soumises à la PSSIE d’évaluer leur taux
de couverture des exigences PSSIE en fonction des règles de la PSSI qui ont été mises en œuvre.
Exemple d’utilisation d’un guide organisationnel: Guide PSSI
POLITIQUE GÉNÉRALE DE SÉCURITÉ DES SIS
En savoir plus
PGSSI-S 18
Espace dédié à la PGSSI-S sur le site esante.gouv.fr :
http://esante.gouv.fr/pgssi-s/presentation
Contact :
POLITIQUE GÉNÉRALE DE SÉCURITÉ DES SIS