Upload
sara-si-moussi
View
34
Download
4
Embed Size (px)
Citation preview
Modélisation d’un réseau social commutaire pour medecin -MedNet-
Réalisé par :• Azrou Lilia • Benchaib
Widad• Cherhabil
Ibtihal• Si-moussi
Sara
Politique de sécurité des
Systèmes d’Information Hospitaliers
2Plan
Introduction Contexte hospitalier Analyse de risques La PSSI appliquée aux CHU Etude de cas Etat des lieux en Algérie Conclusion
3 Introduction
Les hôpitaux à l’ère du digital des technologies de plus en plus complexes. Pression des médias et renforcement du cadre législatif. De l’obligation de moyens L’obligation de résultats = Logique de
performances. Environnement complexe de l’hôpital : humanitaire, public et administratif. OBLIGATION DE SECURISER :
Les soins d’abord, mais les informations aussi.
4I. Contexte hospitalier
s SIH• Système informatique, destiné à faciliter la gestion de l'ensemble des informations
médicales et administratives d'un hôpital.
SIS• Système d'information global, regroupant tous les types d'acteurs et ressources de
santé.
5
Convergence SIH SIS
6- Principaux objectifs -
Respect du secret
professionnel
Qualité des soins
ResponsabilitéMaîtrise des
coûts
7II. Politique de sécurité
Comment atteindre ces objectifs ?
81. Politique de sécurité des SIH
Un plan d'actions définies pour maintenir un certain niveau de sécurité.
Roue de Deiming
MéthodePDCA
92. Facteurs clés de succès
Une volonté directoriale LEGITIME Une politique de sécurité simple, précise et compréhensible.
APPLICABLE La publication de cette politique de sécurité. CONSULTABLE Une gestion centralisée de la sécurité et une certaine
automatisation des processus de sécurité. CENTRALISATION Du personnel sensibilisé et formé à la sécurité, possédant une haute
valeur morale. FORMATION Des procédures d’enregistrement, de surveillance, d’audit,
d’organisation. CONTROLE
10III. Analyse de risques
11Exemple de risquesAtteinte à la confidentialité
Accès aux dossiers médicaux
Postes connectés sans surveillance
Réseau Wifi du SIH ouvertPartage de connexions filaires
CONFIDENTIALITE
Intrusion externe
12Exemple de risquesAtteinte à la disponibilité, intégrité et traçabilité
Infection viralePoste non autorisé connecté à distance
Fuite d’eau au niveau du SAN
Problème sur l’onduleur
DISPONIBLITE, INTEGRITE
Vols du matériel informatique essentiel au fonctionnement
del’accélérateur de particules
pour le traitement des cancers
13IV. La PSSIH Politique de sécurité des systèmes d’information hospitaliers
Matériel
• TIC• Procédures et logiciels métiers
Intellect
• Informations techniques, scientifiques.
• Informations administratives
Humain
• Acteurs interagissant avec le CHU• Altération poursuites judiciaires
QUOI ?
14La PSSIH : Acteurs
Qui ?
Acteurs de la PSSIH
Utilisateurs
Gestionnaire
Propriétaire
15La PSSIH : Hiérarchie
Politique de responsabilité RSSIComité
sécurité
Mise en œuvre
• Responsable de la sécurité des soins
• Responsable de la sécurité incendie
• Responsable de la sécurité du personnel et des patients
• RSSI
Cellule Veille
Cellule gestion de
crises
16Aspects réglementaires
Règles du PSSI issues des législations, culture de l’organisme/pays :
Déontologie: DUDH, lignes directrices de l’OCDE. La loi Informatique Et Libertés Code d’éthique des hôpitaux et protection des informations
médicales privées.
17Principes techniques
Comment ?1. Identification et authentification (forte, unique)2. Contrôle d’accès logique aux biens :
- L'accès des utilisateurs aux services pour lesquels ils sont autorisés ; - La connexion au système d'information des ordinateurs isolés ou extérieurs à l'organisme ; - La séparation des réseaux dédiés à des domaines particuliers ; - Le routage des communications sur les canaux autorisés.
18Principes techniques
Comment ?3. Définir :- Technologie à utiliser (algorithme d’authentification, mot de passe joué qu'une fois…) ; - Protection des secrets (fichiers de mots de passe gérés par les systèmes ou les applications) - Conditions d’attribution d’un accès (engagement de l’utilisateur au respect des règles élémentaires de protection de l’accès) ;
19Principes techniques
Comment ?- Exigences de robustesse des moyens d’accès et des mots de passe -
règles de construction - fréquence de changement des mots de passe - historique de mots de passe non réutilisables.
- Durée de vie de l’attribution de l'accès ;
- Toute procédure d’authentification à des accès sensibles ou utilisant des médias qui ne sont pas considérés comme de confiance (réseaux publics) doit assurer la non divulgation des éléments d’authentification ;
20Principes techniques
Comment ?
- Procédure en cas de tentatives de connexion infructueuses répétées ; - Limitation des temps de connexion ; - Procédure en cas de déclaration de perte d’un secret – lutter contre des usurpations d’identité ; - Procédure de suppression des accès en cas de départ de personnel ou de vol de matériel.
21Principes techniques
Comment ?
4. Protection des accès en maintenance : hauts privilègesDes engagements de responsabilités spécifiques devront être inclus dans les contrats de prestations de service. 5. Contrôle des listes d’accès 6. Verrouillage des sessions de travail7. Administration des privilèges8. Journalisation : gestion des traces.
22
Signaux compromettants
• Signaux électriques parasites interférant avec le matériel : intentionnels ou non.
• Protection interdite en Europe.• Moyens de le faire :
• Matériel TEMPEST
• Faradisation des locaux
• Protection des équipements
23
CONCLUSION