Upload
dinhphuc
View
215
Download
0
Embed Size (px)
Citation preview
Direction générale de l’offre de soins - DGOS
PGSSI-S
Guide pratique d’une
démarche sécurité SI en ES
Direction générale de l’offre de soins - DGOS
Guide pratique d’une démarche sécurité SI en ES
pour sensibiliser les directions
Cible : les directions des ES
– les établissements de taille moyenne, qui n’ont pas initié de démarche sécurité
(ou juste commencé).
– les Directions fonctionnelles de ces établissements (Directeur, DRH, DAF, …)
et les médecins DIM, les directions des soins …
Objectifs : sensibilisation
– Répondre aux questions initiales du Directeur, de la Direction sur la mise en
place d’une démarche sécurité dans l’établissement,
– Donner des recommandations aux directions au moment où on décide de
nommer un référent sécurité, par exemple indiquer quels objectifs-feuille de
route lui fixer,
– Aider les Directions d’établissement à enclencher une dynamique sur le sujet
de la politique de sécurité des systèmes d’information.
Direction générale de l’offre de soins - DGOS
Guide pratique d’une démarche sécurité SI en ES
Le contexte de la rédaction du guide :
• L’opportunité de faire un retour d’expérience des 2 projets Sécurité du SI, financés
par le plan Hôpital 2012 : projets portés par les 2 syndicats inter hospitaliers du
Limousin et du Nord Pas de Calais, qui visent chacun plus de 20 établissements
de taille moyenne et sont en phase finale.
• La nécessité d’inscrire les indicateurs Hôpital Numérique (qui portent sur la
sécurité et qui sont aussi utilisés dans le cadre de la certification HAS), dans le
cadre d’une démarche globale Sécurité du SI.
(Idem pour les exigences du guide pour l’auditabilité des SI dans le cadre de la
certification des comptes) .
• Le développement de l’usage des TIC pour la production de soins, les incidents de
sécurité dans les établissements,.
Le guide s’inscrit dans les travaux de la Politique Générale de Sécurité du SI de
santé (PGSSI-S), dont il est élément constitutif.
Direction générale de l’offre de soins - DGOS
Le contenu du Guide
Le guide est composé de 10 fiches complémentaires et indépendantes (il n’est pas
nécessaire de faire une lecture séquentielle).
10 fiches :
• 1 Les enjeux de la sécurité de l’information pour l’établissement de sante.
• 2 Maitriser la sécurité du Système d’Information (SI) – Comment ?
• 3 Définition de la sécurité du Système d’Information dans les établissements de
santé.
• 4 Pourquoi la Direction est concernée par la sécurité ?
• 5 Pré-requis : un diagnostic et une gouvernance sécurité.
• 6 La sécurité avant autre chose : le bon arbitrage.
• 7 Les facteurs clés de succès de la démarche.
• 8 La communication : un levier essentiel.
• 9 La documentation sécurité : un minimum est nécessaire.
• 10 Les coûts de la sécurité.
Direction générale de l’offre de soins - DGOS
Le contenu du Guide
La diffusion est prévue courant juillet (au plus tôt) / instruction DGOS aux directeurs
d’établissements
Elaboration du guide :
de février à mai 2013
trois itérations du document
2 comités de relecture
Direction générale de l’offre de soins - DGOS
Quels sont les messages principaux destinés aux Directions des
établissements de santé ?
Direction générale de l’offre de soins - DGOS
Les enjeux de la sécurité du SI dans les établissements
L’utilisation croissante, de plus en plus importante des technologies de l’information
dans la production des soins
– Impact positif sur la qualité des soins, les conditions de travail
– Mais aussi nouveaux risques et nouvelles contraintes
Lien entre incidents de sécurité et qualité de l’offre de soins
– Indisponibilité du DPI
– Défaut d’intégrité du DPI, du paramétrage équipement bio médical
– Défaut de confidentialité de données médicales d’un patient
Direction générale de l’offre de soins - DGOS
Les enjeux de la sécurité du SI dans les établissements
Les incidents de sécurité (vols, virus, divulgation de données, …) sont souvent liées à
des erreurs humaines :
– Par négligence des règles de sécurité,
– Par ignorance,
– Par méconnaissance des risques .
La démarche sécurité est là pour réduire le coût et l’impact des incidents.
Direction générale de l’offre de soins - DGOS
Comment maîtriser la sécurité du SI de l’établissement ?
La Direction doit initier une démarche d’amélioration continue , à l’instar de ce qui est
fait pour la qualité des soins.
La démarche sécurité doit ainsi permettre de répondre aux exigences juridiques et
réglementaires et de certification.
Le guide ne rappelle pas les exigences juridiques et réglementaires, mais renvoie
au document juridique de la PGSSI-S .
La Direction doit mettre en place une organisation pour animer la démarche.
La Direction doit fixer une trajectoire :
– Cohérente avec la situation et les moyens de l’établissement,
– En ligne avec les besoins de Disponibilité, Intégrité, Confidentialité de
l’information, Preuve (traçabilité) pour les applications du SIH.
Direction générale de l’offre de soins - DGOS
La sécurité : une démarche itérative faite de plusieurs
projets
Des actions immédiates, à bas coût permettent d’améliorer la sécurité
Mais la sécurité est aussi faite de projets plus complexes (dont certains ont un impact
important sur les utilisateurs du SIH)
– Sécuriser l’infrastructure technique et son exploitation
– Sensibiliser les utilisateurs du SIH à leurs droits et devoirs
– Avoir un plan de sauvegarde des données
– Mettre en place la gestion de la confidentialité des données médicales (gestion
des identités de tous les utilisateurs du SIH, gestion de leurs droits d’accès aux
applications informatiques, carte CPS pour tous (projet IAM))
– Mettre en place un plan de continuité et de reprise d’activité (projet PRA/PCA)
– Etc
Direction générale de l’offre de soins - DGOS
La Direction doit s’impliquer
• Désigner un pilote de la démarche (le RSSI) et les acteurs clés de la démarche
sécurité,
• Valider les objectifs de sécurité, arbitrer le plan d’actions
• Apporter un soutien actif, communiquer sur l’enjeu et les bénéfices de la démarche
– Approuver la charte d’utilisation du SI
– Soutenir les projets qui impactent les utilisateurs
• Fixer le budget nécessaire
• Contrôler et suivre l’atteinte des objectifs
Direction générale de l’offre de soins - DGOS
Par quoi commencer ?
• D’abord, demander un diagnostic pour identifier les risques sur les activités de
l’établissement
• Faire une analyse de ces risques pour identifier les actions nécessaires
Pour cela, s’appuyer sur des professionnels de la sécurité qui connaissent les bonnes
pratiques, les référentiels sécurité, les exigences réglementaires
Direction générale de l’offre de soins - DGOS
Démarche d’analyse des risques
ACTIONS
Choix de traitement du risque
Impacts métiers
Existe-t-il un risque pour l’établissement, si l’écart
n’est pas comblé ?Identification
d’écarts
Diagnostic sécurité de l’établissement
• Le risque est-il acceptable ?
Contribution aux choix des niveaux de priorité
Direction générale de l’offre de soins - DGOS
L’arbitrage de la Direction sur le plan d’actions
• La Direction doit arbitrer entre toutes les actions identifiées dans le diagnostic, en
fonction des moyens, des impacts organisationnels …
– accepter le risque ou faire l’action de réduction du risque;
– en tenant compte de :
• L’importance des actions immédiates et à bas coût,
• La nécessité de lisser les actions sur plusieurs années.
• La Direction doit aussi arbitrer sur le budget annuel dédié à la sécurité.
Direction générale de l’offre de soins - DGOS
D’abord mettre en place la gouvernance sécurité
• Une gouvernance pérenne pour une démarche d’amélioration continue.
• La démarche sécurité présente une grande similitude avec la démarche qualité
et sécurité des soins.
• Et donc un mode de fonctionnement assez semblable
Certains établissements du Nord et du Limousin envisagent une gouvernance
unique de ces deux démarches.
Direction générale de l’offre de soins - DGOS
La démarche qualité et la démarche sécurité
Médicaux&
techniquesSSI
ACTIVITES DE
L’ETABLISSEMENTSécurité Qualité
Engagement de la direction
Plan d’action sécurité SI Plan d’action qualité
OBJECTIFS
Maîtrise des risques
• Comité de pilotage
• Responsable SSI
• Comité de pilotage
• Responsable QualitéCellule de gestion
des risques
Direction générale de l’offre de soins - DGOS
Le choix du responsable sécurité
Le responsable sécurité RSSI a au moins deux missions
– le pilotage de la démarche sécurité avec une connaissance transverse de
l’établissement; un positionnement pas forcément à la DSI pour assurer le
suivi des risques et des incidents, le pilotage de l’exécution du plan d’actions,
sa mise à jour, la production du tableau de bord sécurité , la rédaction de la
Politique de Sécurité du SI, une veille réglementaire ….
– l’expertise sécurité informatique; un positionnement rattaché à la DSI, pour
réaliser les actions techniques de sécurité , maintenir à jour la documentation
technique …
Et donc le choix et le positionnement du responsable sécurité nécessitent réflexion.
Certains établissements du Nord et du Limousin font piloter la démarche par le
qualiticien , qui s’appuie sur un expert de la DSI
Direction générale de l’offre de soins - DGOS
La documentation sécurité
• La cartographie des risques
– Formalise le besoin de sécurité pour chaque application informatique du SI
• La Politique de Sécurité du SI de l’établissement
– Formalise le cadre de la sécurité SI dans l’établissement
• La charte d’utilisation du SI
– Les droits et le devoir de tous les utilisateurs
• Des procédures opérationnelles techniques
Direction générale de l’offre de soins - DGOS
Les coûts de la sécurité
• L’essentiel des coûts : moyens humains internes et apport d’expertise externe
– Sauf projets d’infrastructure majeur par ex. nouvelle salle informatique
• Coût du Diagnostic (assistance externe) pour un établissement entre 75 et 150 lits
(source projet Nord et Limousin) :
• Délai de réalisation du diagnostic : 2 à 3 mois
• Coût d’une prestation plus complète avec en sus plan d’actions, rédaction de
documents sécurité (chiffres UniHA-CHRU de Lille)
• Charges internes :
– Premières actions du plan d’actions : 1,5 ETP pendant deux mois
– En routine : entre 0,3 et 0,5 ETP pour un établissement entre 75 et 300 lits
Direction générale de l’offre de soins - DGOS
En conclusion
Le Guide pratique porte les principaux messages suivants :
– La Direction doit être convaincue que la sécurité du SI n’est pas qu’un projet
informatique
– La Direction doit porter une vue globale de la démarche : des objectifs de
sécurité répondant aux besoins de l’établissement et aux exigences
réglementaires et juridiques, une trajectoire réaliste … La Direction doit
connaitre les risques pesant sur le SI.
– L’adhésion des utilisateurs est un point d’attention majeur:
• Ce sont souvent les utilisateurs, par négligence ou ignorance, qui sont à
l’origine des incidents.
• L’impact organisationnel d’un projet ou d’une procédure de sécurité du SI
est souvent important (ex. projet contrôle d’accès des utilisateurs, test des
sauvegardes de données, tests du PRA/PCA)