stratégie ssi santé 2017-2022: le quinquennat de la maturité · 2017-05-05 · • office...

5ème congrès de l’APSSIS – 04/04/2017 – Conférence 6 - CAIH

CONFÉRENCE 6 DU 04 AVRIL 2017GUILLAUME DERAEDT – RSSI & DPO DU CHRU LILLE PRÉSIDENT DU COMITÉ TECHNIQUE ET ADMINISTRATEUR DU CAIH

1

«Stratégie SSI Santé 2017-2022:le quinquennat de la maturité »

5ème congrès de l’APSSIS


Présentation de la CAIH

Bilan du quinquennat

sortant:R.A.S.

Logimétrie et découverte des

risques

Quinquennat: 18 premiers mois pour Une Maturité naissante…

…Et une sécurisation des échanges

Au-delà des Quick Wins

Prévoir la sécurisation des SI dans le cadre

de la convergence des

GHT

2

ORDRE DU JOUR


LA CAIH EN QUELQUES MOTS

Association Loi 1901 à but non lucratif créée en 2014

Centrale d’achat nationale NTIC sœur d’UniHA/NTIC

+700 ES et +450 000 postes

+20 marchés dédiés à la sécurités à fin 2017

5 Membres fondateurs

3




sortant:R.A.S.


risques






GHT

4

ORDRE DU JOUR


BILAN DU QUINQUENNAT SORTANT:MATURITÉ: R.A.S. (À 1341 INCIDENTS PRES REMONTES VOLONTAIREMENT EN 2016 AUPRES DU FSSI)

Sûreté dans le domaine du jugement, de la réflexion (en particulier en fonction de l'âge) : Etablissement de Santé d'une rare maturité SSI ?

5


SERVICE DE LOGIMETRIE:CONNAITRE SANS BOURSE DELIER

Logimétrie disponible pour tous ses adhérents• Notifié le 20/05/16 pour 4 ans

• Disponible gratuitement pour les adhérents CAIH (financement sur les frais de gestion)

• L’outil proposé est Nexthink. Il a déjà été mis en œuvre pour CAIH lors d’une expérimentation en 2014-2015.

• Fonctionnalités:- Mesure réelle de l’usage des postes, périphériques et applicatifs

- Inventaire du patrimoine numérique (postes, logiciels et périphériques)

- Conformité sécuritaire et en terme de droits d’usages

6

Cet outil n’est pas lié à Microsoft, les données anonymes collectées seront utilisées uniquement par CAIH, avec les objectifs principaux suivants :- Préparer au mieux les futures négociations avec Microsoft et notamment le

contenu de la cartographie- Préparer une bourse d’échanges de droits d’usage et de licences que la mise en

place des GHT va rendre très utile : Les GHT vont devoir faire face à l’éclatement des éditeurs au sein de chacun de leurs établissements


SERVICE DE LOGIMETRIE:UN INDICATEUR DES (MES)USAGES

Les objectifs• Mesure réelle de l’usage des postes, périphériques et applicatifs

• Inventaire du patrimoine numérique (postes, logiciels et périphériques)

• Conformité sécuritaire et en terme de droits d’usages

Les moyens• Service diffusés sur +60 000 postes

• Tableaux de bord nationaux anonymes

• Console de management locale optionnelle

Quelques mesures SSI (sur les 51.500 premiers postes) • 2 500 postes avec défaut de protection AV (~5%)

• 24 000 postes avec défaut de firewall (48%)

• 315 postes infectés

• 1200 exécutions suspectes

7


SERVICE DE LOGIMETRIE:DES TABLEAUX DE BORD SIMPLE POUR LES DÉCIDEURS

Petite structure Moyenne structure Grosse structure

Maintien du parc

Couverture de la protection antivirale

Virus / Malware

Comptes avec privilèges

Maintien du parc Couverture protection antivirale

Virus / malware Comptes avec privilèges

≤ 5% ≤1% ≤ 1% ≤ 10%

> 5% et ≤25% > 1% et ≤ 5% > 1% et ≤ 5% > 10% et ≤ 15%

> 25% > 5% > 5% > 15%


SERVICE DE LOGIMETRIE:POUR EN SAVOIR PLUS…

Journée plénière nationale

CAIH LOGIMETRIE PARIS

Le 11 Avril 2017

Matin: Réunion plénière ouverte à tous les adhérentsPrésentation des premiers rapports nationaux anonymes

Démonstration de l’usage local du produit Nexthink

Après-midi: Workshop utilisateurAtelier de conception de nouveaux rapports

Planification des comités nationaux bimensuels

9

Inscription via le portail CAIH : https://portail.caih-sante.org

https://portail.caih-sante.org/




sortant:R.A.S.


risques






GHT

10

ORDRE DU JOUR


QUINQUENNAT: 18 PREMIERS MOIS POUR UNE MATURITÉ NAISSANTE…


11


INSTRUCTION N°SG/DSSIS/2016/309 DU 14 OCTOBRE 2016

MISE EN ŒUVRE DU PLAN D’ACTION SSI

Date d'application : immédiate

Principaux référentiels et règlementation applicables :

• … Politique de sécurité des systèmes d’information pour les ministères chargés des affaires sociales (PSSI-MCAS)

Politique de sécurité des systèmes d’information de santé (PGSSI-S)

Guides publiés par l’Agence nationale de sécurité des systèmes d’information (ANSSI)

Référentiels de l’ASIP Santé

Programme hôpital numérique

Accréditation des laboratoires de biologie médicale

Plan de Sécurité Etablissement


Niveaude priorité

Mesures SSI CAIH vous propose …

Priorité 1Sous 6 mois

Gestion des ressources humaines :Gouvernance SSIFiche de poste RSSICharte d’utilisation du SI

Marché CAIH SSI 05 de Prestations de service relatives à la sureté et la conformité numérique des Systèmes d’Information

Organisation :Cartographie SIProcédure de signalement et de traitement des incidents de sécurité SI

Marché CAIH LogimétrieMarché CAIH SSI 05

Gestion du poste de travail :Antivirus et pare-feu local

Marché CAIH Antivirus

Gestion des comptes utilisateurs :Gestion des mots de passe

Marché CAIH SSI 05Gestion des sauvegardesPlan de sauvegarde et de test

COUVERTURE DU PLAN D’ACTION SSI


Niveaude priorité



Organisation :Procédure d’appréciation des risques dans une logique d’homologation SI

CAIH SSI 05

CAIH SSI 08

Gestion du poste de travail :Patch managementGouvernance opérationnelle

Gestion des réseaux :Protection et sécurisation des connexions internet, des télémaintenances et du Wifi

Gestion des comptes utilisateurs :Gestion des comptes et des droits

Gestion des ressources humaines :Formation et sensibilisation



Niveaude priorité



Gestion des réseaux :Cloisonnement et filtrageTraçabilité

CAIH SSI 05

Gestion des contrats de sous-traitance SI :Gestion des contrats des prestataires

Organisation :Gouvernance SSIAnalyse de risque avec revue régulière et plan de traitement suivi

Les marchés CAIH relatifs à la Sécurité des Systèmes

d’Information couvrent les actions à mener

dans le cadre de l’instruction N°SG/DSSIS/2016/309



…ET UNE SÉCURISATION DES ÉCHANGES


16


Dépôt du dossier d’agrément en janvier 2017

Agrément en 2017

Retour ASIP avec

échanges sous 3 mois

Retour de la CNIL dans un délais

maximal de 3 X 2 mois

Ministère MCA – FSSI -

RSSI HCL, AP HP, AP HM, Toulouse, Bordeaux

ASIPCNIL

Passage de la licence classique au

service en ligne pour les seuls

établissements demandeurs après

Mid-Term

Concertations

AGRÉMENT HDS OFFICE 365 –PÉRIMÈTRE ET PROCESSUS DE DÉPÔT

« Travail collaboratif sécurisé en ligne pour une meilleure communication entre les GHT, les acteurs de santé, la

médecine de ville, et le patient »

17

Dépôt, en janvier 2017, d’un dossier d’agrément HDS en partenariat avec

Microsoft :

Calendrier


APPROCHE DE DÉPLOIEMENTS DANS UN

CONTEXTE GHT

18

Personnel

itinérant

GHT/EtablissementsPartenaires du GHT

Le Cloud CAIH va accélérer la création des GHT (mise en place des solutions de collaboration et de communication simple), la

convergence applicative en facilitant le partage de ressources mutualisées.

Ceci dans un contexte de maîtrise de bout en bout de la sécurité et des risques inhérents à l’utilisation des services du « Shadow

IT » tels que Dropbox, Webmail, etc.


CAIH ACCOMPAGNE LE DÉPLOIEMENT DES

GHT AU TRAVERS DE 2 OPTIONS CLOUD

19

~135 GHT% Personnel administratif, % Professionnels

de santé

2-15 établissements

Par GHT

Mobilité30% Personnel en mobilité entre

établissements

Offre Existante :

Cartographie sur site

• Active Directory

• System Center

• RMS

• Office Professional Plus

• Exchange

• SharePoint

• Skype

• FIM

• Windows Server

• …

Option 1 :

CAIH Cloud O365

• Exchange Online

• SharePoint Online

• Skype Online

• Yammer

• OneDrive

• Office 365 Professional Plus

Option 2 :

CAIH Cloud Sécurité et

Mobilité

• Secure SSO pour le cloud et les

applications web sur site

• Authentification Multi-Facteur

• Accès Conditionnel

• Reporting avancé sur la sécurité

• Gestion de l’identité et des accès

0,67 € HT /mois /utilisateur 0,76 € HT /mois/utilisateur7,89 € HT /mois/utilisateur




sortant:R.A.S.


risques






GHT

20

ORDRE DU JOUR


CAIH vous apporte l’expertise et la veille SSI

21

Boite à outils des RSSI Santé

Conçue en partenariat avec des membres du club RSSI santé

Embrasse les besoins d’expertises, la technologie, et les problématiques des GHT

Sponsorisé par le Fonctionnaire de la Sécurité des Systèmes d’Information du Ministère

Chargé des Affaires Sociales

Marchés initiés en 2009 à la demande de la DHOS (devenue DGOS)

UNE OFFRE SUR MESURE DÉDIÉE À LA

SURETÉ DE FONCTIONNEMENT DU SI


UN APPUI A L’OUVERTURE MAITRISÉE DES SI AU SEIN DES GHT ET DE LEURS PARTENAIRES

22

Stratégie &

Pilotage

Structurer les démarches

pour répondre aux exigences

réglementaires et en faire des atouts pour les établissements

ProjetsSI ou

métiersAudits

Faire du SI un espace de confiance

pour et avec les

professionnels de santé

Faire des utilisateurs

une force au quotidien

dans la protection des données des

patients et de leurs activités

Mener les audits

nécessaires pour

connaître son niveau de sécurité et

élaborer des feuilles de

route concrètes

Surveiller et gérer ses

infrastructures SI pour

répondre aux menaces en

plein révolution

Formations & sensibilisation

Surveillance &

prévention(SOC)

ServicesManagés

Simplifier le SI en

profitant de services

managés de sécurité

adaptés aux établissements de santé

Hébergement

HDS

Proposer aux GHT les services HDS

Décideurs Utilisateurs Services aux équipes NTIC

PSSI GHT, Gouvernance, Conformité, Corrections, Protection 24/7 Services aux DSIMaitrise des risques mutualisée (Prévention, Détection, Intervention)


UNE OFFRE SSI COMPLÈTE

(ISSUE DE L’EXPERTISE DU CLUB RSSI)

GAC CAIH SSI01 - Services de fournitures de certificats numériques qualifiés, de protection des inventions et d’authentification des impressions

•Lot A : Fourniture de certificats numériques de personnes physique ou morales qualifiés à différents niveaux

•Lot B : Protection numérique des inventions via le droit de possession personnelle antérieure

•Lot C : Solution anti-fraude par flash code des documents imprimés

GAC CAIH SSI05 - Services pour la sureté et la conformité numérique des Systèmes d’Information des adhérents de la CAIH

•Lot A : Gouvernance, certification, et homologation de la sûreté du SI. Prestations aMOA et aMOE liée à la sécurité du SI.

•Lot B : Formations dédiées à la sécurité des Systèmes d’Information

SSI 02 : Accessoires liés à la sécurité numérique (3T 2017)

SSI 03 : Antimalware clients et serveurs (2T 2017)

SSI 04 : Solution de sécurisation et de maitrise du devenir des documents bureautiques (2017 – Négociation FSSI)

SSI 06 : Surveillance & prévention (SOC) + Force d'Intervention Rapide + Services managés (4T 2017)

SSI 07 Identity Access Management (Gestion de l’Identité et des Droits)

•Lot A : IAM (MCO solutions ILEX, Aventis et Evidian) (Disponible 03/2017)

•Lot B : Acquisition d’un IAM (Disponible 03/2017)

SSI 08 : Plateforme standard de e-learning axé sur la sécurité (2T 2017) 04-Teaser-short-V6_last.swf

SSI 11 : Signature électronique horodatée

SSI 12 : Traçabilité

23

04-Teaser-short-V6_last.swf


UNE STRATÉGIE ACHAT POUR LA

CONVERGENCE MAITRISEE DES SI

Connaître et orienter

Logimétrie

Schéma Directeur

Mise en commun des données

« Désadhérence » données/applications (VNA)

Hébergement Agréé de Données de Santé

Identito-vigilance (Partage de l’identité patient)

Mobilité des professionnels

Annuaire d’Identité des professionnels de santé

Services en ligne

Sécurité

24

Systè

mes d

’Info

rmation

Hété

rogène

Systè

mes d

’Info

rmatio

n

Hom

ogèn

e, m

aitris

és e

t sécuris

és


GHT: L’ÉTABLISSEMENT SUPPORT DOIT ÊTRE

« HÉBERGEUR AGRÉÉ DONNÉES SANTÉ »Gros CHU

établissement support agréé ISO 27001 ou HDS en

surcapacité

CAIH facilite la mise à disposition de leur offre

dans leur bassin d’activité

Gros CHU établissement

support non agréé

CAIH propose les produits et services

permettant l’obtention de l’agrément

GHT souhaitant externaliser son

exploitation

La mutualisation des besoins d’hébergement

permettrait de réduire le coût de l’hébergement

par effet volume selon 4 axes progressifs

Accompagnement accentué sur la

contractualisation maitrisée avec

engagement de résultat et de réversibilité

Archive neutre

25

Hébergeur HDS de serveurs « à la demande » supervisés par l’établissement

pivot

Archive neutre (VNA) hébergée

HDS

Hébergement HDS

d’applications métiers

existantes rémunérée au service et non

plus à la licence

Application métier « As A

service » rémunérée au service et non

plus à la licence

1 2 3 4


RECYCLER ET SÉCURISER LES APPLICATIONS

EXISTANTES

Au sein des GHT, pour une même fonction, il existe plusieurs applications Windows non accessibles depuis l’extérieur

CAIH propose une solution innovante

• Redessiner les interfaces des applications sous un navigateur WEB ou sur mobile tout en conservant l’existant

• Proposer un navigateur sécurisé

Cette solution permet de rendre mobile les applications, à moindre coût, le temps de l’amortissement des investissements réalisés.

• Référence : How to Refactor and Modernize Legacy Applications for Mobile Devices, Gartner Consulting Group, Oct 2016

26




sortant:R.A.S.


risques






GHT

27

ORDRE DU JOUR

Modalité d’accès aux marché


L’ACCÈS À NOS MARCHÉS

Une procédure d’adhésion simple• Inscription sur le portail CAIH :

- https://portail.caih-sante.org

• Téléchargement et signature de la convention de mise a disposition du marché par établissement

• Téléchargement des pièces du marché

L’adhésion vaut pour tous les lots d’un même marché

Exécution du marché directement avec les titulaires

Vous choisissez quand vous souhaitez commencer à exécuter le marché (pas d’engagement préalable ni exclusivité)

28


UNE OFFRE SSI ACCESSIBLE À TOUT

ÉTABLISSEMENT À BUT NON LUCRATIF

Coût d’axé aux marchés très réduit

Unités d’œuvre adaptées à chaque établissement

• 3 niveaux de maturité

• X 4 tailles d’établissement: ES, CH, CHU, GHT

• X 65-67 missions type

29

-Pour un marché SSI

0,40 € HT par lit. Plafond 1000,00 € HT par an

Pour l’ensemble des marchés SSI

1,00 € HT par lit. Plafond 5.000,00 € HT par an


MERCI DE VOTRE ATTENTION

30

Agnès DELARCHEAssistante de direction

9 Rue des Tui l iers - 69003 Lyon

Di rect : 04 81 07 01 55

Vincent DELEAU

Chef de projet


Fixe : 04 86 80 04 72

Mobi le : 06 72 98 66 80

Nicolas Albisser

Expert Achat SI


Fixe : 04 81 07 01 55

Mobi le : 07 76 00 25 41

Guillaume [email protected] Président du Comité Technique et Administrateur de la CAIH

[email protected] Data Protection Officer & RSSI du CHRU de Lille

https://portail.caih-sante.org

[email protected]

mailto:[email protected]



stratégie ssi santé 2017-2022: le quinquennat de la maturité · 2017-05-05 · • office...

Documents