PGSSIS Guide Pratique Regles Sauvegarde V0.3

Guide Pratique Rgles de sauvegarde des Systmes dInformation de Sant (SIS)Politique Gnrale de Scurit des Systmes dInformation de Sant (PGSSI-S) - Juillet 2014

VERSIONV0.3

MINISTREDES AFFAIRES SOCIALES

ET DE LA SANT

2 ASIP Sant/DSSIS : Guide Pratique - Rgles de sauvegarde des Systmes dInformation de Sant (SIS) Juillet 2014 V0.3

Le prsent document a t labor dans le cadre dun processus collaboratif avec les principaux acteurs du secteur (institutionnels, utilisateurs et industriels) et le grand public.

La Dlgation la Stratgie des Systmes dInformation de Sant (DSSIS) et lAgence des Systmes dInformation Partags de Sant (ASIP Sant) remercient lensemble des personnes et organisations qui ont apport leur contribution son laboration et sa relecture.


SommaIRe

1. IntroductIon ........................................................................................................ 5

1.1. Objet du document

1.2. Champ dapplication du document

1.3. Enjeux relatifs la sauvegarde des Systmes dinformation de sant (SIS)

2. Fondements du guIde ........................................................................................ 8

3. PrIncIPes essentIels de sauvegarde ........................................................... 8

3.1. Principes de scurit de la sauvegarde

3.2. Externalisation de la sauvegarde

4. utIlIsatIon du guIde .........................................................................................10

5. rgles de scurIt aPPlIcables la sauvegarde ................................10

6. annexes ................................................................................................................15

6.1. Annexe 1 : Glossaire

6.2. Annexe 2 : Documents de rfrence


IntRoductIon1.

Objet du document1.1.

Le prsent document dfinit les rgles en matire de sauvegarde des Systmes dInformation de Sant (SIS).

Lobjectif est de garantir la prennit des donnes en rendant possible la rcupration des infor-mations indispensables au fonctionnement oprationnel des SIS la suite dun incident ou dun sinistre et de rpondre aux demandes de restauration de donnes.

Ce document fait partie des guides pratiques spcifiques de la Politique Gnrale de Scurit des Systmes dInformation de Sant (PGSSI-S).

FIgure 1 : organIsatIon des documents dans le corPus documentaIre de la PgssI-s

Cadrejuridique

de la sant

Organisationde la scurit

Mmentoet PSI

contextuels

Authentificationdes patients

Identificationdes patients

ImputabilitGuide pour

le recueil duconsentement

Primtrede lquipe

de soin

Rgimesdaccs aux

donnes

Rgimesdhabilitation

Guide pratiquepour les

dispositifsconnects

Rglespour les

interventions distance

... ...

Authentificationdes acteurs

de sant

Identificationdes acteurs

de sant

Guides pratiquesorganisationnels

Guides pratiquesspcifiques

Rfrentiels techniques Guides juridiques

Principesfondateurs

de la PGSSI-S

Doc

umen

ts c

hape

aux

Doc

umen

ts c

orps

Bibliographiedes bonnespratiques

SSI

Ce document sadresse :aux responsables de structure ; aux personnes agissant sous leur responsabilit, en particulier celles impliques dans :

la direction et lexploitation du SIS ; les prestations dexploitation et de maintenance des moyens de sauvegardes ; la mise en uvre de la scurit des SIS ; la gestion de la continuit dactivit de la structure.

Pour des raisons de facilit de lecture, dans la suite du document, le terme responsable du SIS est utilis pour identifier une personne implique dans la mise en uvre des rgles que celle-ci soit la personne responsable de la structure ou une personne agissant sous sa responsabilit. Le rle du responsable du SIS est distinguer de celui de responsable de traitement tel que dfini dans la loi Informatique et Libert n 78-17 du 6 janvier 1978 modifie, bien que ces rles puissent tre tenus par une mme personne.


Champ dapplication du document1.2.

Dans le cadre de ce guide pratique spcifique, tous les contextes de SIS au sens des Principes fondateurs de la PGSSI-S sont concerns quels que soient les finalits du SIS (production de soins, recherche clinique, ), le mode dexercice (PS en exercice libral, ES, ) et les tapes du cycle de vie de la donne (conservation, change/partage, ).

Le cartouche ci-aprs prsente de manire synthtique le primtre dapplication du document.

Sant

Mdico SocialProduction

des soins

Fonctions supports

la production

de soins

Coordination des soins

Veille sanitaire

Etudes et recherche

Dpistage et prvention

Commentaire

Pour lensemble de ces primtres, le prsent guide dcrit les rgles applicables aux processus de sauvegarde de donnes de sant ou relevant du secret professionnel. En tant que tel, il participe aux plans de reprise dactivit (PRA) et aux plans de continuit dactivit (PCA) dont il constitue la base des rgles oprationnelles concernant la prservation des donnes mtiers et techniques en cas dincident ainsi que leur restauration.

Ce guide sappuie sur les dfinitions suivantes :Sauvegarde : opration qui consiste dupliquer et conserver de manire scurise des systmes informatiques et/ou des donnes contenues dans un systme informatique (ex. donnes mtier, paramtrage et rglage du systme) afin dassurer leur disponibilit et leur rutilisabilit mme en cas dincident ou derreur de manipulation portant atteinte leur intgrit. Le terme anglais backup est aussi largement usit dans le milieu informatique pour dsigner une sauvegarde.La sauvegarde est asynchrone : elle est distincte des techniques de rplication ou de clusterisa- tion. Celles-ci permettent de raliser des copies en temps rel des plateformes de production, et assurent une reprise dactivit en cas de dysfonctionnement de la plateforme nominale, dincident dans le datacenter o elle est hberge ou dindisponibilit du rseau qui permet de latteindre. Les techniques de rplication traitent en priorit la problmatique de lindisponibilit de la plateforme nominale, alors que la sauvegarde rpond dans ce contexte particulier la problma-tique de perte dintgrit. La sauvegarde participe galement la restauration dune plateforme oprationnelle en cas de panne de la plateforme nominale sil ny a aucun systme redondant disponible.La sauvegarde se distingue de la synchronisation de donnes ralise des fins de fonctionnement en mode dconnect. Dans ce cas, la synchronisation est utilise pour permettre le fonctionnement dun systme quand il est dconnect du rseau. On peut citer par exemple la synchronisation des PC nomades, mais aussi des dispositifs tels quune station danesthsie.En termes de finalit, la notion de sauvegarde doit tre diffrencie de la notion fonctionnelle darchivage qui nentre pas dans le primtre de ce guide pratique.Restauration : action consistant utiliser des sauvegardes pour remettre un systme dinforma-tion qui a t altr dans un tat antrieur laltration.Plan de sauvegarde : principes gnraux de sauvegarde et ensemble des procdures lies la sauvegarde et la restauration pour un primtre identifi sur lequel ils doivent tre appliqus.

Limites du champ dapplication du guide :Ce guide pratique ne traite pas des rgles applicables larchivage lectronique.


Enjeux relatifs la sauvegarde des Systmes dinformation 1.3. de sant (SIS)

La sauvegarde et la capacit de restauration des informations dun SIS constituent un vritable enjeu pour garantir la continuit des activits et la disponibilit des donnes associes.

La sauvegarde :est une composante majeure du processus de continuit et de reprise dactivit du SIS la suite dun incident ou dun sinistre (vol, dgt des eaux, incendie, ) ;permet la restauration dun tat antrieur du SIS aprs une suppression accidentelle de donnes (par exemple suite une erreur de saisie dun utilisateur ou dun exploitant), une altration de donnes ou programmes informatiques (par exemple suite une infection virale, une panne dun composant du systme de stockage, ou encore un incident environnemental dans un datacenter).

Garantir la confidentialit des donnes de sauvegarde, et plus encore lorsquil sagit de donnes de sant caractre personnel, est galement ncessaire.Cette confidentialit doit tre assure tant en gestion locale quen cas dexternalisation de tout ou partie du service de sauvegarde (par exemple sauvegardes externalises chez un hbergeur de donnes, stockage des supports de sauvegardes hors des datacenters, ).

Les prestations dexternalisation des donnes de sauvegarde de donnes de sant caractre personnel doivent sinscrire dans le cadre lgal de lhbergement de donnes de sant (cf. rfrences n 3 et 4)1.

Le choix des solutions de sauvegardes prsente galement :des enjeux oprationnels dexploitation du SIS :

les capacits de stockage ncessaires la sauvegarde peuvent varier selon les modes de sauvegardes retenus (par exemple : sauvegarde totale ou partielle, sauvegarde diffrentielle entre deux sauvegardes afin de limiter la quantit de donnes sauvegardes chaque fois),les contraintes oprationnelles sur les applications peuvent tre diffrentes selon que la sauvegarde est ralise chaud (applications en fonctionnement pendant le droulement de la sauvegarde) ou froid (applications arrtes lors du droulement de la sauvegarde),les dlais acceptables de restauration pour des donnes forte volumtrie peuvent justifier des techniques spcifiques de sauvegarde ;

des enjeux financiers : le cot de la sauvegarde est fortement dpendant du niveau de service attendu : frquence des sauvegardes, dure de rtention,

Il est donc important de choisir les solutions de sauvegardes adaptes et de dfinir des processus associs. Ceci afin de rpondre aux enjeux de scurit mais galement financiers dans un souci defficience conomique en cohrence avec le besoin oprationnel des acteurs de sant.

1. Larticle L 1111-8 alina 1 du code de la sant publique dispose que Les professionnels de sant ou les tablissements de sant ou la personne concerne peuvent dposer des donnes de sant caractre personnel, recueillies ou produites l'occasion des activits de prvention, de diagnostic ou de soins, auprs de personnes physiques ou morales agres cet effet. Cet hbergement de donnes, quel qu'en soit le support, papier ou informatique, ne peut avoir lieu qu'avec le consentement exprs de la personne concerne. Les conditions dobtention de cet agrment, le droulement de la procdure, ainsi que le contenu du dossier de demande dagrment sont prcises par le dcret 2006-6 du 4 janvier 2006 relatif lhbergement de donnes de sant caractre personnel.


FondementS du GuIde2. Le prsent guide propose des dispositions permettant daccompagner la mise en place dun plan de sauvegarde. Ces dispositions visent une meilleure maitrise des risques SSI pesant sur la prennit et lintgrit des donnes.

Elles sont issues des bonnes pratiques en matire de SSI ainsi que des documents de rfrence :les recommandations de la fiche technique sur la sauvegarde (rfrence n 1) de lANSSI : Fiche technique relative la sauvegarde 2 ; les bonnes pratiques en matire de sauvegarde identifies dans :

la norme ISO/CEI 27002 - Code de bonnes pratiques pour la gestion de la scurit de l'information (rfrence n 2),la norme ISO 22301 Scurit socitale -- Systmes de management de la continuit d'activit Exigences (rfrence n 5),les bonnes pratiques relatives aux sauvegardes de donnes caractre personnel publies par la CNIL : Guide Mesures pour traiter les risques sur les liberts et la vie prive 3, le guide pour raliser un plan de continuit dactivit (rfrence n 6) ;

les formalits scuritaires, impactant le domaine de la sauvegarde, relatives lhbergement de donnes de sant caractre personnel :

dcret n 2006-6 du 4 janvier 2006 - conditions d'agrment des hbergeurs de donnes de sant caractre personnel (rfrence n 3)4, rfrentiel de constitution des dossiers de demande d'agrment des hbergeurs de donnes de sant caractre personnel (ASIP, rfrence n 4)5.

PRIncIPeS eSSentIelS de SauveGaRde 3.

Principes de scurit de la sauvegarde3.1.

Les principes de scurit de la sauvegarde sont regroups en 4 thmatiques :identification du besoin ; formalisation des procdures ; adoption de pratiques conformes ltat de lart ; restauration et contrle.

Identification du besoin de sauvegarde et de restauration3.1.1.

Afin de dfinir les processus et dispositifs de sauvegarde adapts, il est indispensable de mener une analyse pralable des besoins de sauvegarde incluant notamment :

la dfinition du primtre mtier concern ; le niveau de service attendu pour la sauvegarde et la restauration (dlai maximum de restauration des donnes, perte admissible de donnes non sauvegardes entre deux sauvegardes, dure de conservation des sauvegardes, intgrit des sauvegardes, confidentialit des sauvegardes).

Cette analyse du besoin permet de choisir la solution la plus adapte en termes defficacit et de cot.

2. http://www.securite-informatique.gouv.fr/gp_article95.html3. http://www.cnil.fr/fileadmin/documents/Guides_pratiques/CNIL-Guide_securite_avance_Mesures.pdf#page274. http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=LEGITEXT0000060531205. http://esante.gouv.fr/services/referentiels/securite/le-referentiel-de-constitution-des-dossiers-de-demande-d-agrement-des


Formalisation des procdures de sauvegarde et restauration3.1.2.

Cette tape consiste adopter une mthodologie permettant dlaborer le plan de sauvegarde en :identifiant exhaustivement les composants logiciels systmes et applicatifs, et les donnes sauvegarder ;formalisant les procdures de sauvegarde, de restauration et de gestion des supports de sauvegarde.

Adoption de pratiques conformes ltat de lart3.1.3.

Le prsent document identifie les bonnes pratiques conformes ltat de lart.Pour tenir compte de la diversit des SIS et identifier rapidement les rgles applicables, des lments de contexte sont fournis (par exemple serveur, poste de travail).

Restauration et contrles3.1.4.

Il est essentiel davoir lassurance permanente que le dispositif de sauvegarde et restauration permet de revenir un tat stable antrieur. cette fin, le document identifie les rgles et les points de contrle qui permettent de sassurer que les sauvegardes restent utilisables dans le temps, en particulier par des tests de restauration rguliers.

Externalisation de la sauvegarde3.2.

Au vu de la complexit de la mise en uvre de dispositifs de sauvegardes efficaces par rapport aux moyens dont dispose le responsable, le recours un prestataire peut tre une solution adapte.Les avantages offerts par une telle solution sont nombreux :

expertise pour la formalisation des procdures de sauvegarde et de restauration ; garantie de cohrence et dexhaustivit du primtre sauvegard accrue ; conformit aux bonnes pratiques de sauvegardes et de restauration ; contractualisation des engagements ; cot du service optimis avec la possibilit de bnficier de services tendus comme la sauvegarde permanente sous forme de synchronisation de donnes.

Le recours une prestation de sauvegarde externalise doit tre ralis dans des conditions qui permettent au responsable de rester matre des donnes sauvegardes et de leur protection. Le prestataire doit sengager sur des contrats de service clairement identifis en particuliers en termes de primtre dintervention, de dlai maximal de restauration, de frquence de sauvegarde, de dure de conservation et de restitution des donnes.

Enfin, il convient de rappeler quen cas dexternalisation des sauvegardes de donnes de sant caractre personnel, le responsable est tenu de faire appel un hbergeur de donnes de sant caractre personnel agr cet effet, conformment aux dispositions du code de la sant publique relatives lhbergement de donnes de sant caractre personnel.


utIlISatIon du GuIde4. Les responsables identifis au chapitre 1.1 sont en charge :

destimer les risques de scurit et de prvoir les mesures permettant de les rduire ; de mettre en uvre les rgles prescrites ou de les faire appliquer par leurs sous-traitants ; destimer et de traiter les risques de scurit induits par la non-application des rgles qui ne sont pas respectes, le cas chant.

Le traitement dun risque de scurit peut consister adopter une ou plusieurs des options suivantes vis--vis de ce risque :le rduire, par des mesures de protection ou de prvention ;

laccepter tel quel notamment si le risque est jug mineur par le responsable du SIS ; lviter ; le transfrer vers un tiers dans le cadre dun contrat, tant prcis que cela nexonre pas le responsable du SIS de toute responsabilit.

Le responsable dresse linventaire des dispositions de scurit qui sont applicables au SIS dont il a la charge, au regard de lanalyse des risques ralise et en sappuyant sur la liste de rgles du chapitre suivant. Il prend ensuite en compte les risques induits par les dispositions quil nest pas en mesure de couvrir.

RGleS de ScuRIt aPPlIcableS 5. la SauveGaRde

Les rgles de scurit prsentes ci-aprs reprsentent les exigences prioritaires respecter dans le cadre des sauvegardes.

Dans certains cas le responsable du SIS a recours un hbergeur de donnes de sant caractre personnel pour lexcution de rgles inhrentes au service de sauvegarde. Les rgles dont lexcu-tion peut tre confie un prestataire sont identifies dans tableau ci-aprs par la colonne recours un prestataire .

N RgleRecours

un prestataire

Rgles dorganisation

[O1] Seul le personnel ou les socits dsignes par le responsable du SIS peuvent intervenir sur les processus de sauvegarde et de restauration des applications et des donnes.

[O2] Lorsque cela est permis selon la charte utilisateur inhrente ltablissement ou justifi auprs de ltablissement de sant, les utilisateurs du SIS sont autoriss effectuer, sous leur propre responsabilit, des sauvegardes et restaurations des donnes de leur poste de travail dans le respect du prsent guide, de la PSSI et de la charte informatique de la structure mettant le SIS leur disposition.

Plan de sauvegarde

[P1] Toute mise en production dun nouveau systme, dune nouvelle application ou espace de donnes doit faire lobjet dune rflexion pralable sur sa sauvegarde et dun ajout au plan de sauvegarde, valid par le responsable du SIS.


N RgleRecours

un prestataire

[P2] Le plan de sauvegarde doit identifier les besoins oprationnels mtiers et dinfrastructure de sauvegarde et de restauration au minimum sur les points suivants : dfinition du primtre (systmes, applications, donnes techniques,

donnes de configuration, donnes mtiers, documentation) sauvegarder ;

dfinition du degr de confidentialit des sauvegardes ; dure maximale admissible de restauration des donnes (DMARD)

qui correspond au temps entre la demande de restauration et la restauration effective des donnes6 ;

perte de donnes maximale admissible (PDMA) qui correspond au laps de temps maximal et admissible entre deux sauvegardes (perte des donnes modifies pendant cette dure) ;

dure de conservation maximale des sauvegardes.

Remarque : la conservation des sauvegardes sur des longues priodes, au-del de 2 ans, ncessite des prcautions pour permettre une restauration en cas de besoin : rgnration des sauvegardes pour saffranchir de lobsolescence des supports et du matriel de sauvegarde, et le cas chant conservation de lenvironnement matriel et logiciel.

[P3] Le plan de sauvegarde doit identifier, en conformit avec le primtre de sauvegarde dfini ([P2]), lensemble des composants informatiques du SIS inclure dans les processus de sauvegardes (ex. donnes, bases de donnes, applications et systme dexploitation des serveurs, des matriels mdico-techniques, des quipements rseaux, serveurs, baies de stockage, serveurs de fichiers et postes de travail). Le plan de sauvegarde doit prendre en compte les liens entre les composants afin dassurer la synchronisation et la cohrence des donnes lors des sauvegardes et restaurations, en particulier lors des montes de versions de logiciel loccasion desquelles il est important de sauvegarder de la version prcdente du logiciel afin de sassurer du bon accs aux donnes en cas de restauration. Cette prise en compte peut notamment tre ralise par la sauvegarde de briques dinfrastructure compltes ventuellement associe des plans de virtualisation du SI.

X

[P4] Pour chaque composant informatique identifi, le plan de sauvegarde dcrit les procdures de sauvegardes mettre en uvre : type de sauvegarde : sauvegarde complte, sauvegarde partielle,

sauvegarde diffrentielle, sauvegarde incrmentale ; priodicit de la sauvegarde (journalire, hebdomadaire, mensuelle),

priodicit de rotation des sauvegardes (exemple pour un SIS : sauvegarde diffrentielle en semaine, sauvegarde complte le weekend, ) ;

contraintes de sauvegarde : sauvegarde chaud, sauvegarde froid, dfinition de la plage horaire de sauvegarde, ordonnancement des sauvegardes notamment entre les composants ayant des liens entre eux

X

[P5] Le plan de sauvegarde doit identifier, pour chaque composant informatique, les procdures et les pr-requis la restauration.Les pr-requis incluent les points suivants : environnement de restauration (rseau, matriel de sauvegarde,

serveur de restauration, ..) ; caractristiques des composants informatiques du matriel cible de la

restauration ; configurations logicielles (systme dexploitation, applications, ).Les procdures de restauration formalisent les points suivants : diagnostic de la perte de donnes et dtermination des donnes

rcuprer en fonction des donnes perdues et des sauvegardes disponibles ;

mode de mise en uvre de la rcupration de donnes ; modalits dinformation des utilisateurs.

X

6. Dans le cadre des plans de continuit et des plans de reprise dactivit, cette notion est intgre dans le dlai dindisponibilit maximale attendu (DIMA) qui correspond au temps entre le dbut de lindisponibilit et la restauration effective, cest--dire la DMARD laquelle sajoute la dure entre le dbut dune indisponibilit de donnes et sa dtection ainsi que le dlai entre la dtection de lindisponibilit et la demande de restauration des donnes.


N RgleRecours

un prestataire

[P6] Le plan de sauvegarde doit prvoir des tests des dispositions mises en uvre pour assurer la sauvegarde. En pratique, les rgles techniques concernant les sauvegardes, leur frquence, leurs restaurations et la scurit associe (rgles [T1] [T16] et rgles [R1] [R4]) sont tester rgulirement.Une frquence indicative dune campagne de test annuelle est en gnral recommande.

Exigences techniques de sauvegarde

Exigences techniques de sauvegarde : rgles spcifiques aux serveurs

[T1] Une sauvegarde complte doit tre effectue avant chaque modification majeure dun composant matriel ou logiciel (systme ou application) et avant chaque changement majeur de configuration. Une sauvegarde complte doit tre galement effectue aprs la modification si elle nest pas dj prvue dans le plan de sauvegarde.

X

[T2] Pour chaque serveur de production, lensemble du paramtrage des systmes dexploitation et des applications (comptes et droits utilisateurs, paramtres mtier, ) doit tre sauvegard selon les besoins de disponibilit dfinis par les responsables de traitement une frquence minimum dtermine en fonction des besoins et contraintes.

X

[T3] titre indicatif, une sauvegarde quotidienne est recommande pour ce type dlments.

X

[T4] Pour chaque serveur de production, les diffrentes versions des programmes (systmes, bases de donnes et applications) doivent tre sauvegardes et les supports conservs, tant que les donnes de lapplication sont susceptibles dtre restaures. En effet, si des donnes un peu anciennes sont restaures, il est possible quil soit ncessaire de restaurer ces donnes dans un environnement ncessitant des versions des logiciels et systmes antrieures aux versions actuelles de production.

X

[T5] Une vrification systmatique des sauvegardes est ralise en fin de procdure. Pour les bases de donnes, une opration de restauration blanc peut tre planifie en plus des tests prvus dans le cadre de la rgle [R2].

X

[T6] Lensemble des oprations de sauvegarde est journalis.Les journaux sont conservs avec les supports de sauvegardes. Ces derniers comportent au minimum les informations suivantes : rfrences du dispositif de sauvegarde ; primtre ou composants concerns ; type de sauvegarde ; fichiers sauvegards ; date de la sauvegarde ; statut de la sauvegarde.

X

Exigences techniques de sauvegarde : rgles spcifiques aux postes de travail

[T7] Dans le cas dune utilisation monoposte, une sauvegarde complte doit tre effectue avant chaque modification majeure dun composant matriel ou logiciel (systme ou application) et avant chaque changement majeur de configuration. Une sauvegarde complte doit tre galement effectue aprs la modification si elle nest pas dj prvue dans le plan de sauvegarde.

X

[T8] Dans le cas dun exercice individuel ou si la charte utilisateur de ltablissement permet le stockage de donnes mtiers sur les postes de travail, lensemble des donnes des applications mtier doit tre sauvegard selon les besoins de disponibilit dfinis par les responsables de traitement une frquence minimum dtermine en fonction des besoins et contraintes. titre indicatif, une sauvegarde quotidienne est recommande pour ce type dlments.

X

[T9] Une vrification systmatique des sauvegardes est ralise en fin de procdure.

X


N RgleRecours

un prestataire

Exigences techniques de sauvegarde : autres rgles

[T10] Les dispositifs de sauvegarde doivent faire lobjet dun contrat de maintenance matrielle et logicielle adapt aux besoins de disponibilit du SIS.

X

[T11] Chaque support amovible de sauvegarde doit tre identifi et tiquet avec a minima son identifiant, sa date de mise en premire circulation et sa date de premption.

X

[T12] Un jeu de supports correspondant une sauvegarde complte doit rgulirement tre stock dans un espace protg contre les menaces physiques et environnementales (vols, saccages, incendies, dgts des eaux, perturbations magntiques, ) et physiquement loign des composants du SIS sauvegards.

Cet loignement physique doit garantir quun mme sinistre ne peut affecter la fois les composants sauvegards et leur sauvegarde. Selon le type de structure, le lieu de stockage loign de cette sauvegarde pourra tre le domicile du responsable du traitement, un site secondaire de lorganisme, un coffre de banque

titre indicatif, une sauvegarde hebdomadaire stocke de faon distante est en gnral recommande.

X

[T13] Le niveau de protection des sauvegardes doit tre au moins identique celui des lments sauvegards.En particulier, laccs aux sauvegardes doit faire lobjet dun contrle et dune restriction daccs aux seuls intervenants autoriss par le responsable de traitement que ce soit lors de leur manipulation, au cours des sauvegardes-restaurations, sur les lieux de stockage ou pendant les oprations de transport.

cet effet, il est possible de mettre en uvre des solutions de chiffrement des donnes afin de rduire les risques daccs aux donnes par des personnes non autorises notamment en cas de perte de supports de stockage. Il est alors essentiel que les cls ncessaires au dchiffrement des sauvegardes soient galement sauvegardes et que ces sauvegardes soient protges et conserves sparment par une personne autorise.

Le lecteur pourra se rfrer au Rfrentiel Gnral de Scurit (RGS) qui comporte une annexe dcrivant les exigences relatives la fonction de scurit confidentialit .

X

[T14] Tous les supports de sauvegarde doivent, avant leur rutilisation dans un autre contexte ou leur mise au rebut, faire lobjet dune campagne systmatique deffacement physique ou, dfaut, tre physiquement dtruits.

X

[T15] Si la sauvegarde de donnes sensibles (donnes caractre personnel, paramtrages dquipement parmi lesquels peuvent se trouver des mots de passe) est ralise via le rseau, ces donnes ne doivent transiter par le rseau que sous forme chiffre.

X

[T16] Quand les besoins mtiers le ncessitent, un mcanisme de contrle dintgrit des donnes sauvegardes peut tre mis en place.Si ce contrle dintgrit vise dtecter une ventuelle falsification des donnes, il est recommand dutiliser la fonction de hachage SHA-256 pour raliser une empreinte des donnes sauvegardes, voire une signature lectronique. Ces empreintes devront tre protges et conserves sparment des sauvegardes.

X

7. Lien du site de lANSSI : http://www.ssi.gouv.fr/fr/reglementation-ssi/referentiel-general-de-securite/liste-des-documents-constitutifs-du-rgs-v1-0.html


N RgleRecours

un prestataire

Restaurations et contrles

[R1] Tous les supports de sauvegarde doivent faire l'objet d'une surveillance priodique pour garantir leur efficacit physique, que ce soit par chantillonnage et test de restauration blanc de sauvegardes anciennes, ou par suivi des paramtres techniques de bas niveau (erreurs de lecture, corriges ou non) loccasion doprations de restauration.En cas d'incident li la qualit du support lors d'une opration de sauvegarde ou de restauration, comme en cas de suspicion de dfaut, le support incrimin doit tre mis au rebut.

X

[R2] Des tests de restauration sont mens de manire rgulire. Une frquence indicative dun test annuel est en gnral recommande.

X

[R3] Chaque opration de restauration doit donner lieu une vrification du bon fonctionnement du composant restaur et de la scurit. En particulier la gestion des droits daccs aux lments restaurs doit tre la mme que celle mise en uvre pour les lments initiaux sauvegards.Le rsultat de cette vrification est consign dans une fiche de restauration qui comporte les informations suivantes : oprateur de sauvegarde ; demandeur de la restauration ; fichiers restaurs ; date de la sauvegarde ; date de restauration ; statut des vrifications effectues.

X

[R4] En routine, les exploitants doivent utiliser leur compte nominatif pour effectuer des oprations de restauration ou de contrle des sauvegardes.

Toutefois, il peut exister un compte administrateur du systme de sauvegarde. Ce compte ne doit pas tre un compte par dfaut du systme. Lidentifiant et le mot de passe durci associs ce compte doivent tre consigns dans un coffre-fort (physique ou lectronique) mots de passe. Il ne sera utilis quen cas de force majeure (indisponibilit des exploitants usuels notamment).

X

Rgles relatives aux contrats dexternalisation

[E1] Pr-requis la conclusion du contrat dexternalisation : le prestataire doit tre agr pour lhbergement de donnes de sant

caractre personnel, pour ce type de service.

Le contrat dexternalisation doit contenir au minimum les clauses listes larticle R 1111-13 du code de la sant publique.Il convient galement de rappeler que : lobjet du contrat doit tre prcis ; les rles et responsabilits des parties doivent tre clairement dfinis ; le fournisseur est tenu deffectuer toutes les activits lies ce type

dintervention au sein de lUnion Europenne ou conformment aux rgles dfinies par la CNIL pour les interventions hors Union Europenne8 ;

le fournisseur garantit la disponibilit, lintgrit, la confidentialit, lauditabilit, la prennit des donnes notamment travers des contrats de service formaliss en termes de dure maximale de restauration, de frquence de sauvegarde et de dure de conservation. Ce qui se traduira par des mesures techniques et dorganisation interne ;

des mesures de contrle et daudit ralises par le responsable du SIS peuvent tre prvues dans le contrat.

X

8. http://www.cnil.fr/vos-obligations/transfert-de-donnees-hors-ue/


annexeS6.

Annexe 1 : Glossaire6.1.

Sigle / Acronyme Signification

ANSSI Agence Nationale de la Scurit des Systmes dInformation

ASIP Sant Agence des Systmes dInformation Partags de Sant

DIMA Dure dIndisponibilit Maximale Admissible

DMARD Dure Maximale Admissible de Restauration des Donnes

ES Etablissements de sant

GT Groupe de Travail

PGSSI-S Politique Gnrale de Scurit des Systmes dInformation de Sant

PTS Ple Technique et Scurit

SIS Systme dInformation de Sant

PDMA Perte de Donnes Maximale Admissible

Annexe 2 : Documents de rfrence6.2.

Rfrence n 1 : Fiche technique relative la sauvegarde (ANSSI)

Rfrence n 2 : Norme ISO/CEI 27002 - Code de bonnes pratiques pour la gestion de la scurit de l'information

Rfrence n 3 : Dcret n 2006-6 du 4 janvier 2006 - conditions d'agrment des hbergeurs de donnes de sant caractre personnel

Rfrence n 4 : Rfrentiel de constitution des dossiers de demande d'agrment des hbergeurs de donnes de sant caractre personnel (ASIP)

Rfrence n 5 : Norme ISO 22301 Scurit socitale Systmes de management de la conti-nuit d'activit Exigences

Rfrence n 6 : Guide pour raliser un plan de continuit dactivit (SGDSN)

Rfrence n 7 : Rfrentiel Gnral de Scurit (ANSSI)

Rfrence n 8 : Guide dhygine informatique (ANSSI)

Rfrence n 9 : Corpus documentaire de la PGSSI-S (rfrentiels et guides pratiques)

Rfrence n 10 : Guide des mesures pour traiter les risques sur les liberts et la vie prive (CNIL).

RF

REN

TIE

LS

/ P

GSS

I-S

- G

uid

e P

rati

que

- R

gle

s d

e sa

uve

gar

de

des

Sys

tm

es d

Info

rmat

ion

de

San

t (

SIS)

V

ersi

on

V0

.3

Jui

l. 2

014

Agence des systmes dinformation partags de sant

9, rue Georges Pitard - 75015 ParisT. 01 58 45 32 50esante.gouv.fr

MINISTREDES AFFAIRES SOCIALES

ET DE LA SANT