pgssi-s - crsa pays de la loire · certification des comptes) . • le développement de l’usage...

Direction générale de l’offre de soins - DGOS

PGSSI-S

Guide pratique d’une

démarche sécurité SI en ES


Guide pratique d’une démarche sécurité SI en ES

pour sensibiliser les directions

Cible : les directions des ES

– les établissements de taille moyenne, qui n’ont pas initié de démarche sécurité

(ou juste commencé).

– les Directions fonctionnelles de ces établissements (Directeur, DRH, DAF, …)

et les médecins DIM, les directions des soins …

Objectifs : sensibilisation

– Répondre aux questions initiales du Directeur, de la Direction sur la mise en

place d’une démarche sécurité dans l’établissement,

– Donner des recommandations aux directions au moment où on décide de

nommer un référent sécurité, par exemple indiquer quels objectifs-feuille de

route lui fixer,

– Aider les Directions d’établissement à enclencher une dynamique sur le sujet

de la politique de sécurité des systèmes d’information.


Guide pratique d’une démarche sécurité SI en ES

Le contexte de la rédaction du guide :

• L’opportunité de faire un retour d’expérience des 2 projets Sécurité du SI, financés

par le plan Hôpital 2012 : projets portés par les 2 syndicats inter hospitaliers du

Limousin et du Nord Pas de Calais, qui visent chacun plus de 20 établissements

de taille moyenne et sont en phase finale.

• La nécessité d’inscrire les indicateurs Hôpital Numérique (qui portent sur la

sécurité et qui sont aussi utilisés dans le cadre de la certification HAS), dans le

cadre d’une démarche globale Sécurité du SI.

(Idem pour les exigences du guide pour l’auditabilité des SI dans le cadre de la

certification des comptes) .

• Le développement de l’usage des TIC pour la production de soins, les incidents de

sécurité dans les établissements,.

Le guide s’inscrit dans les travaux de la Politique Générale de Sécurité du SI de

santé (PGSSI-S), dont il est élément constitutif.


Le contenu du Guide

Le guide est composé de 10 fiches complémentaires et indépendantes (il n’est pas

nécessaire de faire une lecture séquentielle).

10 fiches :

• 1 Les enjeux de la sécurité de l’information pour l’établissement de sante.

• 2 Maitriser la sécurité du Système d’Information (SI) – Comment ?

• 3 Définition de la sécurité du Système d’Information dans les établissements de

santé.

• 4 Pourquoi la Direction est concernée par la sécurité ?

• 5 Pré-requis : un diagnostic et une gouvernance sécurité.

• 6 La sécurité avant autre chose : le bon arbitrage.

• 7 Les facteurs clés de succès de la démarche.

• 8 La communication : un levier essentiel.

• 9 La documentation sécurité : un minimum est nécessaire.

• 10 Les coûts de la sécurité.


Le contenu du Guide

La diffusion est prévue courant juillet (au plus tôt) / instruction DGOS aux directeurs

d’établissements

Elaboration du guide :

de février à mai 2013

trois itérations du document

2 comités de relecture


Quels sont les messages principaux destinés aux Directions des

établissements de santé ?


Les enjeux de la sécurité du SI dans les établissements

L’utilisation croissante, de plus en plus importante des technologies de l’information

dans la production des soins

– Impact positif sur la qualité des soins, les conditions de travail

– Mais aussi nouveaux risques et nouvelles contraintes

Lien entre incidents de sécurité et qualité de l’offre de soins

– Indisponibilité du DPI

– Défaut d’intégrité du DPI, du paramétrage équipement bio médical

– Défaut de confidentialité de données médicales d’un patient


Les enjeux de la sécurité du SI dans les établissements

Les incidents de sécurité (vols, virus, divulgation de données, …) sont souvent liées à

des erreurs humaines :

– Par négligence des règles de sécurité,

– Par ignorance,

– Par méconnaissance des risques .

La démarche sécurité est là pour réduire le coût et l’impact des incidents.


Comment maîtriser la sécurité du SI de l’établissement ?

La Direction doit initier une démarche d’amélioration continue , à l’instar de ce qui est

fait pour la qualité des soins.

La démarche sécurité doit ainsi permettre de répondre aux exigences juridiques et

réglementaires et de certification.

Le guide ne rappelle pas les exigences juridiques et réglementaires, mais renvoie

au document juridique de la PGSSI-S .

La Direction doit mettre en place une organisation pour animer la démarche.

La Direction doit fixer une trajectoire :

– Cohérente avec la situation et les moyens de l’établissement,

– En ligne avec les besoins de Disponibilité, Intégrité, Confidentialité de

l’information, Preuve (traçabilité) pour les applications du SIH.


La sécurité : une démarche itérative faite de plusieurs

projets

Des actions immédiates, à bas coût permettent d’améliorer la sécurité

Mais la sécurité est aussi faite de projets plus complexes (dont certains ont un impact

important sur les utilisateurs du SIH)

– Sécuriser l’infrastructure technique et son exploitation

– Sensibiliser les utilisateurs du SIH à leurs droits et devoirs

– Avoir un plan de sauvegarde des données

– Mettre en place la gestion de la confidentialité des données médicales (gestion

des identités de tous les utilisateurs du SIH, gestion de leurs droits d’accès aux

applications informatiques, carte CPS pour tous (projet IAM))

– Mettre en place un plan de continuité et de reprise d’activité (projet PRA/PCA)

– Etc


La Direction doit s’impliquer

• Désigner un pilote de la démarche (le RSSI) et les acteurs clés de la démarche

sécurité,

• Valider les objectifs de sécurité, arbitrer le plan d’actions

• Apporter un soutien actif, communiquer sur l’enjeu et les bénéfices de la démarche

– Approuver la charte d’utilisation du SI

– Soutenir les projets qui impactent les utilisateurs

• Fixer le budget nécessaire

• Contrôler et suivre l’atteinte des objectifs


Par quoi commencer ?

• D’abord, demander un diagnostic pour identifier les risques sur les activités de

l’établissement

• Faire une analyse de ces risques pour identifier les actions nécessaires

Pour cela, s’appuyer sur des professionnels de la sécurité qui connaissent les bonnes

pratiques, les référentiels sécurité, les exigences réglementaires


Démarche d’analyse des risques

ACTIONS

Choix de traitement du risque

Impacts métiers

Existe-t-il un risque pour l’établissement, si l’écart

n’est pas comblé ?Identification

d’écarts

Diagnostic sécurité de l’établissement

• Le risque est-il acceptable ?

Contribution aux choix des niveaux de priorité


L’arbitrage de la Direction sur le plan d’actions

• La Direction doit arbitrer entre toutes les actions identifiées dans le diagnostic, en

fonction des moyens, des impacts organisationnels …

– accepter le risque ou faire l’action de réduction du risque;

– en tenant compte de :

• L’importance des actions immédiates et à bas coût,

• La nécessité de lisser les actions sur plusieurs années.

• La Direction doit aussi arbitrer sur le budget annuel dédié à la sécurité.


D’abord mettre en place la gouvernance sécurité

• Une gouvernance pérenne pour une démarche d’amélioration continue.

• La démarche sécurité présente une grande similitude avec la démarche qualité

et sécurité des soins.

• Et donc un mode de fonctionnement assez semblable

Certains établissements du Nord et du Limousin envisagent une gouvernance

unique de ces deux démarches.


La démarche qualité et la démarche sécurité

Médicaux&

techniquesSSI

ACTIVITES DE

L’ETABLISSEMENTSécurité Qualité

Engagement de la direction

Plan d’action sécurité SI Plan d’action qualité

OBJECTIFS

Maîtrise des risques

• Comité de pilotage

• Responsable SSI

• Comité de pilotage

• Responsable QualitéCellule de gestion

des risques


Le choix du responsable sécurité

Le responsable sécurité RSSI a au moins deux missions

– le pilotage de la démarche sécurité avec une connaissance transverse de

l’établissement; un positionnement pas forcément à la DSI pour assurer le

suivi des risques et des incidents, le pilotage de l’exécution du plan d’actions,

sa mise à jour, la production du tableau de bord sécurité , la rédaction de la

Politique de Sécurité du SI, une veille réglementaire ….

– l’expertise sécurité informatique; un positionnement rattaché à la DSI, pour

réaliser les actions techniques de sécurité , maintenir à jour la documentation

technique …

Et donc le choix et le positionnement du responsable sécurité nécessitent réflexion.

Certains établissements du Nord et du Limousin font piloter la démarche par le

qualiticien , qui s’appuie sur un expert de la DSI


La documentation sécurité

• La cartographie des risques

– Formalise le besoin de sécurité pour chaque application informatique du SI

• La Politique de Sécurité du SI de l’établissement

– Formalise le cadre de la sécurité SI dans l’établissement

• La charte d’utilisation du SI

– Les droits et le devoir de tous les utilisateurs

• Des procédures opérationnelles techniques


Les coûts de la sécurité

• L’essentiel des coûts : moyens humains internes et apport d’expertise externe

– Sauf projets d’infrastructure majeur par ex. nouvelle salle informatique

• Coût du Diagnostic (assistance externe) pour un établissement entre 75 et 150 lits

(source projet Nord et Limousin) :

• Délai de réalisation du diagnostic : 2 à 3 mois

• Coût d’une prestation plus complète avec en sus plan d’actions, rédaction de

documents sécurité (chiffres UniHA-CHRU de Lille)

• Charges internes :

– Premières actions du plan d’actions : 1,5 ETP pendant deux mois

– En routine : entre 0,3 et 0,5 ETP pour un établissement entre 75 et 300 lits


En conclusion

Le Guide pratique porte les principaux messages suivants :

– La Direction doit être convaincue que la sécurité du SI n’est pas qu’un projet

informatique

– La Direction doit porter une vue globale de la démarche : des objectifs de

sécurité répondant aux besoins de l’établissement et aux exigences

réglementaires et juridiques, une trajectoire réaliste … La Direction doit

connaitre les risques pesant sur le SI.

– L’adhésion des utilisateurs est un point d’attention majeur:

• Ce sont souvent les utilisateurs, par négligence ou ignorance, qui sont à

l’origine des incidents.

• L’impact organisationnel d’un projet ou d’une procédure de sécurité du SI

est souvent important (ex. projet contrôle d’accès des utilisateurs, test des

sauvegardes de données, tests du PRA/PCA)


Merci de votre attention

pgssi-s - crsa pays de la loire · certification des comptes) . • le développement de l’usage...

Documents