5ème congrès de l’APSSIS – 04/04/2017 – Conférence 6 - CAIH
CONFÉRENCE 6 DU 04 AVRIL 2017GUILLAUME DERAEDT – RSSI & DPO DU CHRU LILLE PRÉSIDENT DU COMITÉ TECHNIQUE ET ADMINISTRATEUR DU CAIH
1
«Stratégie SSI Santé 2017-2022:le quinquennat de la maturité »
5ème congrès de l’APSSIS
5ème congrès de l’APSSIS – 04/04/2017 – Conférence 6 - CAIH
Présentation de la CAIH
Bilan du quinquennat
sortant:R.A.S.
Logimétrie et découverte des
risques
Quinquennat: 18 premiers mois pour Une Maturité naissante…
…Et une sécurisation des échanges
Au-delà des Quick Wins
Prévoir la sécurisation des SI dans le cadre
de la convergence des
GHT
2
ORDRE DU JOUR
5ème congrès de l’APSSIS – 04/04/2017 – Conférence 6 - CAIH
LA CAIH EN QUELQUES MOTS
Association Loi 1901 à but non lucratif créée en 2014
Centrale d’achat nationale NTIC sœur d’UniHA/NTIC
+700 ES et +450 000 postes
+20 marchés dédiés à la sécurités à fin 2017
5 Membres fondateurs
3
5ème congrès de l’APSSIS – 04/04/2017 – Conférence 6 - CAIH
Présentation de la CAIH
Bilan du quinquennat
sortant:R.A.S.
Logimétrie et découverte des
risques
Quinquennat: 18 premiers mois pour Une Maturité naissante…
…Et une sécurisation des échanges
Au-delà des Quick Wins
Prévoir la sécurisation des SI dans le cadre
de la convergence des
GHT
4
ORDRE DU JOUR
5ème congrès de l’APSSIS – 04/04/2017 – Conférence 6 - CAIH
BILAN DU QUINQUENNAT SORTANT:MATURITÉ: R.A.S. (À 1341 INCIDENTS PRES REMONTES VOLONTAIREMENT EN 2016 AUPRES DU FSSI)
Sûreté dans le domaine du jugement, de la réflexion (en particulier en fonction de l'âge) : Etablissement de Santé d'une rare maturité SSI ?
5
5ème congrès de l’APSSIS – 04/04/2017 – Conférence 6 - CAIH
SERVICE DE LOGIMETRIE:CONNAITRE SANS BOURSE DELIER
Logimétrie disponible pour tous ses adhérents• Notifié le 20/05/16 pour 4 ans
• Disponible gratuitement pour les adhérents CAIH (financement sur les frais de gestion)
• L’outil proposé est Nexthink. Il a déjà été mis en œuvre pour CAIH lors d’une expérimentation en 2014-2015.
• Fonctionnalités:- Mesure réelle de l’usage des postes, périphériques et applicatifs
- Inventaire du patrimoine numérique (postes, logiciels et périphériques)
- Conformité sécuritaire et en terme de droits d’usages
6
Cet outil n’est pas lié à Microsoft, les données anonymes collectées seront utilisées uniquement par CAIH, avec les objectifs principaux suivants :- Préparer au mieux les futures négociations avec Microsoft et notamment le
contenu de la cartographie- Préparer une bourse d’échanges de droits d’usage et de licences que la mise en
place des GHT va rendre très utile : Les GHT vont devoir faire face à l’éclatement des éditeurs au sein de chacun de leurs établissements
5ème congrès de l’APSSIS – 04/04/2017 – Conférence 6 - CAIH
SERVICE DE LOGIMETRIE:UN INDICATEUR DES (MES)USAGES
Les objectifs• Mesure réelle de l’usage des postes, périphériques et applicatifs
• Inventaire du patrimoine numérique (postes, logiciels et périphériques)
• Conformité sécuritaire et en terme de droits d’usages
Les moyens• Service diffusés sur +60 000 postes
• Tableaux de bord nationaux anonymes
• Console de management locale optionnelle
Quelques mesures SSI (sur les 51.500 premiers postes) • 2 500 postes avec défaut de protection AV (~5%)
• 24 000 postes avec défaut de firewall (48%)
• 315 postes infectés
• 1200 exécutions suspectes
7
5ème congrès de l’APSSIS – 04/04/2017 – Conférence 6 - CAIH
SERVICE DE LOGIMETRIE:DES TABLEAUX DE BORD SIMPLE POUR LES DÉCIDEURS
Petite structure Moyenne structure Grosse structure
Maintien du parc
Couverture de la protection antivirale
Virus / Malware
Comptes avec privilèges
Maintien du parc Couverture protection antivirale
Virus / malware Comptes avec privilèges
≤ 5% ≤1% ≤ 1% ≤ 10%
> 5% et ≤25% > 1% et ≤ 5% > 1% et ≤ 5% > 10% et ≤ 15%
> 25% > 5% > 5% > 15%
5ème congrès de l’APSSIS – 04/04/2017 – Conférence 6 - CAIH
SERVICE DE LOGIMETRIE:POUR EN SAVOIR PLUS…
Journée plénière nationale
CAIH LOGIMETRIE PARIS
Le 11 Avril 2017
Matin: Réunion plénière ouverte à tous les adhérentsPrésentation des premiers rapports nationaux anonymes
Démonstration de l’usage local du produit Nexthink
Après-midi: Workshop utilisateurAtelier de conception de nouveaux rapports
Planification des comités nationaux bimensuels
9
Inscription via le portail CAIH : https://portail.caih-sante.org
5ème congrès de l’APSSIS – 04/04/2017 – Conférence 6 - CAIH
Présentation de la CAIH
Bilan du quinquennat
sortant:R.A.S.
Logimétrie et découverte des
risques
Quinquennat: 18 premiers mois pour Une Maturité naissante…
…Et une sécurisation des échanges
Au-delà des Quick Wins
Prévoir la sécurisation des SI dans le cadre
de la convergence des
GHT
10
ORDRE DU JOUR
5ème congrès de l’APSSIS – 04/04/2017 – Conférence 6 - CAIH
QUINQUENNAT: 18 PREMIERS MOIS POUR UNE MATURITÉ NAISSANTE…
Sûreté dans le domaine du jugement, de la réflexion (en particulier en fonction de l'âge) : Etablissement de Santé d'une rare maturité SSI ?
11
5ème congrès de l’APSSIS – 04/04/2017 – Conférence 6 - CAIH
INSTRUCTION N°SG/DSSIS/2016/309 DU 14 OCTOBRE 2016
MISE EN ŒUVRE DU PLAN D’ACTION SSI
Date d'application : immédiate
Principaux référentiels et règlementation applicables :
• … Politique de sécurité des systèmes d’information pour les ministères chargés des affaires sociales (PSSI-MCAS)
Politique de sécurité des systèmes d’information de santé (PGSSI-S)
Guides publiés par l’Agence nationale de sécurité des systèmes d’information (ANSSI)
Référentiels de l’ASIP Santé
Programme hôpital numérique
Accréditation des laboratoires de biologie médicale
Plan de Sécurité Etablissement
5ème congrès de l’APSSIS – 04/04/2017 – Conférence 6 - CAIH
Niveaude priorité
Mesures SSI CAIH vous propose …
Priorité 1Sous 6 mois
Gestion des ressources humaines :Gouvernance SSIFiche de poste RSSICharte d’utilisation du SI
Marché CAIH SSI 05 de Prestations de service relatives à la sureté et la conformité numérique des Systèmes d’Information
Organisation :Cartographie SIProcédure de signalement et de traitement des incidents de sécurité SI
Marché CAIH LogimétrieMarché CAIH SSI 05
Gestion du poste de travail :Antivirus et pare-feu local
Marché CAIH Antivirus
Gestion des comptes utilisateurs :Gestion des mots de passe
Marché CAIH SSI 05Gestion des sauvegardesPlan de sauvegarde et de test
COUVERTURE DU PLAN D’ACTION SSI
5ème congrès de l’APSSIS – 04/04/2017 – Conférence 6 - CAIH
Niveaude priorité
Mesures SSI CAIH vous propose …
Priorité 2Sous 12 mois
Organisation :Procédure d’appréciation des risques dans une logique d’homologation SI
CAIH SSI 05
CAIH SSI 08
Gestion du poste de travail :Patch managementGouvernance opérationnelle
Gestion des réseaux :Protection et sécurisation des connexions internet, des télémaintenances et du Wifi
Gestion des comptes utilisateurs :Gestion des comptes et des droits
Gestion des ressources humaines :Formation et sensibilisation
COUVERTURE DU PLAN D’ACTION SSI
5ème congrès de l’APSSIS – 04/04/2017 – Conférence 6 - CAIH
Niveaude priorité
Mesures SSI CAIH vous propose …
Priorité 3Sous 18 mois
Gestion des réseaux :Cloisonnement et filtrageTraçabilité
CAIH SSI 05
Gestion des contrats de sous-traitance SI :Gestion des contrats des prestataires
Organisation :Gouvernance SSIAnalyse de risque avec revue régulière et plan de traitement suivi
Les marchés CAIH relatifs à la Sécurité des Systèmes
d’Information couvrent les actions à mener
dans le cadre de l’instruction N°SG/DSSIS/2016/309
COUVERTURE DU PLAN D’ACTION SSI
5ème congrès de l’APSSIS – 04/04/2017 – Conférence 6 - CAIH
…ET UNE SÉCURISATION DES ÉCHANGES
Sûreté dans le domaine du jugement, de la réflexion (en particulier en fonction de l'âge) : Etablissement de Santé d'une rare maturité SSI ?
16
5ème congrès de l’APSSIS – 04/04/2017 – Conférence 6 - CAIH
Dépôt du dossier d’agrément en janvier 2017
Agrément en 2017
Retour ASIP avec
échanges sous 3 mois
Retour de la CNIL dans un délais
maximal de 3 X 2 mois
Ministère MCA – FSSI -
RSSI HCL, AP HP, AP HM, Toulouse, Bordeaux
ASIPCNIL
Passage de la licence classique au
service en ligne pour les seuls
établissements demandeurs après
Mid-Term
Concertations
AGRÉMENT HDS OFFICE 365 –PÉRIMÈTRE ET PROCESSUS DE DÉPÔT
« Travail collaboratif sécurisé en ligne pour une meilleure communication entre les GHT, les acteurs de santé, la
médecine de ville, et le patient »
17
Dépôt, en janvier 2017, d’un dossier d’agrément HDS en partenariat avec
Microsoft :
Calendrier
5ème congrès de l’APSSIS – 04/04/2017 – Conférence 6 - CAIH
APPROCHE DE DÉPLOIEMENTS DANS UN
CONTEXTE GHT
18
Personnel
itinérant
GHT/EtablissementsPartenaires du GHT
Le Cloud CAIH va accélérer la création des GHT (mise en place des solutions de collaboration et de communication simple), la
convergence applicative en facilitant le partage de ressources mutualisées.
Ceci dans un contexte de maîtrise de bout en bout de la sécurité et des risques inhérents à l’utilisation des services du « Shadow
IT » tels que Dropbox, Webmail, etc.
5ème congrès de l’APSSIS – 04/04/2017 – Conférence 6 - CAIH
CAIH ACCOMPAGNE LE DÉPLOIEMENT DES
GHT AU TRAVERS DE 2 OPTIONS CLOUD
19
~135 GHT% Personnel administratif, % Professionnels
de santé
2-15 établissements
Par GHT
Mobilité30% Personnel en mobilité entre
établissements
Offre Existante :
Cartographie sur site
• Active Directory
• System Center
• RMS
• Office Professional Plus
• Exchange
• SharePoint
• Skype
• FIM
• Windows Server
• …
Option 1 :
CAIH Cloud O365
• Exchange Online
• SharePoint Online
• Skype Online
• Yammer
• OneDrive
• Office 365 Professional Plus
Option 2 :
CAIH Cloud Sécurité et
Mobilité
• Secure SSO pour le cloud et les
applications web sur site
• Authentification Multi-Facteur
• Accès Conditionnel
• Reporting avancé sur la sécurité
• Gestion de l’identité et des accès
0,67 € HT /mois /utilisateur 0,76 € HT /mois/utilisateur7,89 € HT /mois/utilisateur
5ème congrès de l’APSSIS – 04/04/2017 – Conférence 6 - CAIH
Présentation de la CAIH
Bilan du quinquennat
sortant:R.A.S.
Logimétrie et découverte des
risques
Quinquennat: 18 premiers mois pour Une Maturité naissante…
…Et une sécurisation des échanges
Au-delà des Quick Wins
Prévoir la sécurisation des SI dans le cadre
de la convergence des
GHT
20
ORDRE DU JOUR
5ème congrès de l’APSSIS – 04/04/2017 – Conférence 6 - CAIH
CAIH vous apporte l’expertise et la veille SSI
21
Boite à outils des RSSI Santé
Conçue en partenariat avec des membres du club RSSI santé
Embrasse les besoins d’expertises, la technologie, et les problématiques des GHT
Sponsorisé par le Fonctionnaire de la Sécurité des Systèmes d’Information du Ministère
Chargé des Affaires Sociales
Marchés initiés en 2009 à la demande de la DHOS (devenue DGOS)
UNE OFFRE SUR MESURE DÉDIÉE À LA
SURETÉ DE FONCTIONNEMENT DU SI
5ème congrès de l’APSSIS – 04/04/2017 – Conférence 6 - CAIH
UN APPUI A L’OUVERTURE MAITRISÉE DES SI AU SEIN DES GHT ET DE LEURS PARTENAIRES
22
Stratégie &
Pilotage
Structurer les démarches
pour répondre aux exigences
réglementaires et en faire des atouts pour les établissements
ProjetsSI ou
métiersAudits
Faire du SI un espace de confiance
pour et avec les
professionnels de santé
Faire des utilisateurs
une force au quotidien
dans la protection des données des
patients et de leurs activités
Mener les audits
nécessaires pour
connaître son niveau de sécurité et
élaborer des feuilles de
route concrètes
Surveiller et gérer ses
infrastructures SI pour
répondre aux menaces en
plein révolution
Formations & sensibilisation
Surveillance &
prévention(SOC)
ServicesManagés
Simplifier le SI en
profitant de services
managés de sécurité
adaptés aux établissements de santé
Hébergement
HDS
Proposer aux GHT les services HDS
Décideurs Utilisateurs Services aux équipes NTIC
PSSI GHT, Gouvernance, Conformité, Corrections, Protection 24/7 Services aux DSIMaitrise des risques mutualisée (Prévention, Détection, Intervention)
5ème congrès de l’APSSIS – 04/04/2017 – Conférence 6 - CAIH
UNE OFFRE SSI COMPLÈTE
(ISSUE DE L’EXPERTISE DU CLUB RSSI)
GAC CAIH SSI01 - Services de fournitures de certificats numériques qualifiés, de protection des inventions et d’authentification des impressions
•Lot A : Fourniture de certificats numériques de personnes physique ou morales qualifiés à différents niveaux
•Lot B : Protection numérique des inventions via le droit de possession personnelle antérieure
•Lot C : Solution anti-fraude par flash code des documents imprimés
GAC CAIH SSI05 - Services pour la sureté et la conformité numérique des Systèmes d’Information des adhérents de la CAIH
•Lot A : Gouvernance, certification, et homologation de la sûreté du SI. Prestations aMOA et aMOE liée à la sécurité du SI.
•Lot B : Formations dédiées à la sécurité des Systèmes d’Information
SSI 02 : Accessoires liés à la sécurité numérique (3T 2017)
SSI 03 : Antimalware clients et serveurs (2T 2017)
SSI 04 : Solution de sécurisation et de maitrise du devenir des documents bureautiques (2017 – Négociation FSSI)
SSI 06 : Surveillance & prévention (SOC) + Force d'Intervention Rapide + Services managés (4T 2017)
SSI 07 Identity Access Management (Gestion de l’Identité et des Droits)
•Lot A : IAM (MCO solutions ILEX, Aventis et Evidian) (Disponible 03/2017)
•Lot B : Acquisition d’un IAM (Disponible 03/2017)
SSI 08 : Plateforme standard de e-learning axé sur la sécurité (2T 2017) 04-Teaser-short-V6_last.swf
SSI 11 : Signature électronique horodatée
SSI 12 : Traçabilité
23
5ème congrès de l’APSSIS – 04/04/2017 – Conférence 6 - CAIH
UNE STRATÉGIE ACHAT POUR LA
CONVERGENCE MAITRISEE DES SI
Connaître et orienter
Logimétrie
Schéma Directeur
Mise en commun des données
« Désadhérence » données/applications (VNA)
Hébergement Agréé de Données de Santé
Identito-vigilance (Partage de l’identité patient)
Mobilité des professionnels
Annuaire d’Identité des professionnels de santé
Services en ligne
Sécurité
24
Systè
mes d
’Info
rmation
Hété
rogène
Systè
mes d
’Info
rmatio
n
Hom
ogèn
e, m
aitris
és e
t sécuris
és
5ème congrès de l’APSSIS – 04/04/2017 – Conférence 6 - CAIH
GHT: L’ÉTABLISSEMENT SUPPORT DOIT ÊTRE
« HÉBERGEUR AGRÉÉ DONNÉES SANTÉ »Gros CHU
établissement support agréé ISO 27001 ou HDS en
surcapacité
CAIH facilite la mise à disposition de leur offre
dans leur bassin d’activité
Gros CHU établissement
support non agréé
CAIH propose les produits et services
permettant l’obtention de l’agrément
GHT souhaitant externaliser son
exploitation
La mutualisation des besoins d’hébergement
permettrait de réduire le coût de l’hébergement
par effet volume selon 4 axes progressifs
Accompagnement accentué sur la
contractualisation maitrisée avec
engagement de résultat et de réversibilité
Archive neutre
25
Hébergeur HDS de serveurs « à la demande » supervisés par l’établissement
pivot
Archive neutre (VNA) hébergée
HDS
Hébergement HDS
d’applications métiers
existantes rémunérée au service et non
plus à la licence
Application métier « As A
service » rémunérée au service et non
plus à la licence
1 2 3 4
5ème congrès de l’APSSIS – 04/04/2017 – Conférence 6 - CAIH
RECYCLER ET SÉCURISER LES APPLICATIONS
EXISTANTES
Au sein des GHT, pour une même fonction, il existe plusieurs applications Windows non accessibles depuis l’extérieur
CAIH propose une solution innovante
• Redessiner les interfaces des applications sous un navigateur WEB ou sur mobile tout en conservant l’existant
• Proposer un navigateur sécurisé
Cette solution permet de rendre mobile les applications, à moindre coût, le temps de l’amortissement des investissements réalisés.
• Référence : How to Refactor and Modernize Legacy Applications for Mobile Devices, Gartner Consulting Group, Oct 2016
26
5ème congrès de l’APSSIS – 04/04/2017 – Conférence 6 - CAIH
Présentation de la CAIH
Bilan du quinquennat
sortant:R.A.S.
Logimétrie et découverte des
risques
Quinquennat: 18 premiers mois pour Une Maturité naissante…
…Et une sécurisation des échanges
Au-delà des Quick Wins
Prévoir la sécurisation des SI dans le cadre
de la convergence des
GHT
27
ORDRE DU JOUR
Modalité d’accès aux marché
5ème congrès de l’APSSIS – 04/04/2017 – Conférence 6 - CAIH
L’ACCÈS À NOS MARCHÉS
Une procédure d’adhésion simple• Inscription sur le portail CAIH :
- https://portail.caih-sante.org
• Téléchargement et signature de la convention de mise a disposition du marché par établissement
• Téléchargement des pièces du marché
L’adhésion vaut pour tous les lots d’un même marché
Exécution du marché directement avec les titulaires
Vous choisissez quand vous souhaitez commencer à exécuter le marché (pas d’engagement préalable ni exclusivité)
28
5ème congrès de l’APSSIS – 04/04/2017 – Conférence 6 - CAIH
UNE OFFRE SSI ACCESSIBLE À TOUT
ÉTABLISSEMENT À BUT NON LUCRATIF
Coût d’axé aux marchés très réduit
Unités d’œuvre adaptées à chaque établissement
• 3 niveaux de maturité
• X 4 tailles d’établissement: ES, CH, CHU, GHT
• X 65-67 missions type
29
-Pour un marché SSI
0,40 € HT par lit. Plafond 1000,00 € HT par an
Pour l’ensemble des marchés SSI
1,00 € HT par lit. Plafond 5.000,00 € HT par an
5ème congrès de l’APSSIS – 04/04/2017 – Conférence 6 - CAIH
MERCI DE VOTRE ATTENTION
30
Agnès DELARCHEAssistante de direction
9 Rue des Tui l iers - 69003 Lyon
Di rect : 04 81 07 01 55
Vincent DELEAU
Chef de projet
9 Rue des Tui l iers - 69003 Lyon
Fixe : 04 86 80 04 72
Mobi le : 06 72 98 66 80
Nicolas Albisser
Expert Achat SI
9 Rue des Tui l iers - 69003 Lyon
Fixe : 04 81 07 01 55
Mobi le : 07 76 00 25 41
Guillaume [email protected] Président du Comité Technique et Administrateur de la CAIH
[email protected] Data Protection Officer & RSSI du CHRU de Lille
https://portail.caih-sante.org