2015-10-07 colloque sis "la pgssi-s" - diaporama
TRANSCRIPT
Ministère des affaires sociales, de la santé et des droits des femmes
La Politique générale de sécurité des systèmes d’information de santé (PGSSI-S)
• Colloque sur la sécurité des systèmes d’information dans les établissements sanitaires et médico-sociaux - Paris - 7 octobre 2015
• Frédérique POTHIER (DSSIS, ministère des affaires sociales, de la santé et des droits des femmes) et Manuel METZ (PUSC, ASIP Santé)
Délégation à la stratégie des systèmes d’information de santé (DSSIS)
santé (PGSSI-S)
2Ministère des affaires sociales , de la santé et des droits des femmes
Délégation à la stratégie des systèmes d’information de santé
Enjeux de la PGSSI-S
�Assurer la sécurité des patients, et pas seulement la
protection de la confidentialité des données et du secret
professionnel
�Créer un espace de confiance permettant de susciter
3Ministère des affaires sociales , de la santé et des droits des femmes
Délégation à la stratégie des systèmes d’information de santé
�Créer un espace de confiance permettant de susciter
l’adhésion (et l’usage des SI) des professionnels de santé,
des patients, du grand public
�Favoriser la prise en compte de la SSI dans l’offre industrielle
de SI de santé
Objectifs de la PGSSI-S
�Définir les niveaux d’exigence, les règles et les moyens
juridiques, organisationnels, techniques et humains
nécessaires pour garantir la sécurité de l’information dans
les secteurs sanitaire et médico-social
�Au bénéfice des professionnels, des établissements et des
4Ministère des affaires sociales , de la santé et des droits des femmes
Délégation à la stratégie des systèmes d’information de santé
�Au bénéfice des professionnels, des établissements et des
patients :
• Établissements et professionnels, quels que soient les modes d’organisation et les lieux d’exercice
• Toutes les applications assurant le traitement de données de santé directement ou indirectement nominatives, voire anonymisées
• Domaine sanitaire et médico-social
Place de la PGSSI-S
�Politique sectorielle applicable à tous les SI assurant le
traitement de données de santé des secteurs sanitaire et
médico-social
�Complète les politiques de l’Etat avec lesquelles elle est en
5Ministère des affaires sociales , de la santé et des droits des femmes
Délégation à la stratégie des systèmes d’information de santé
cohérence :
• Référentiel général de sécurité (RGS)• Tous les SI permettant des échanges d’informations entre administrations ou
avec les citoyens
• Politique de sécurité des SI de l’Etat (PSSIE)• Tous les SI des administrations de l’Etat
• Politique ministérielle de sécurité des SI (PMSSI)• Cadre général régissant la mise en œuvre de la sécurité des SI pour
l’ensemble du périmètre des ministères chargés des affaires sociales
Démarche de construction de la PGSSI-S (1/4)
�Commande du SG des ministères sociaux en septembre 2011
�Lancement des travaux et premier comité de pilotage en mars
2012 :
• MOA stratégique = DSSIS - MOA opérationnelle = ASIP Santé
�Une démarche pragmatique, volontariste et collective :
• Une revue systématique du cadre juridique et technique, une prise en
6Ministère des affaires sociales , de la santé et des droits des femmes
Délégation à la stratégie des systèmes d’information de santé
• Une revue systématique du cadre juridique et technique, une prise en compte de l’existant : PMSSI, PSSIE, RGS, recommandations de l’ANSSI…
• La prise en compte de la variété des contextes d’exercice professionnel
• Une action d’amélioration continue des pratiques, une progression par paliers, des exigences réalistes
• Participation de tous les acteurs concernés : l’Etat et ses agences, la CNIL, les professionnels des secteurs santé et médico-social, les usagers du système de santé, les industriels, l’assurance maladie
�Un comité de pilotage :
• Composition : directions d’administration centrale du ministère, ANSSI, CNAMTS, CNIL, CNSA, HFDS
• Fonction :– Pilotage du projet PGSSI-S
– Décision de mise en concertation publique des documents
– Validation de la prise en compte des commentaires issus de la concertation
Démarche de construction de la PGSSI-S (2/4)
7
– Validation de la prise en compte des commentaires issus de la concertation
�Des groupes de travail thématiques :
• Composition : institutionnels, ordres et associations de professionnels de santé, RSSI d'établissement de soin, organisations représentatives d'industriels du secteur
• Fonction :– Contribution à l’élaboration des documents
– Validation des versions à proposer au COPIL pour mise en concertation
Ministère des affaires sociales , de la santé et des droits des femmes
Délégation à la stratégie des systèmes d’information de santé
�Un comité de concertation :
• Composition : représentants des professionnels et des établissements de santé, des patients, des industriels du secteur
• Fonction :– Lieu d’échange sur la démarche et sur les éléments constitutifs de la PGSSI-S
Démarche de construction de la PGSSI-S (3/4)
8
– Alimentation en participants des GT
– Participation à la diffusion et à la promotion des documents validés
�Une mise en concertation publique sur le site de l’ASIP Santé
http://esante.gouv.fr/pgssi-s/espace-concertation
Ministère des affaires sociales , de la santé et des droits des femmes
Délégation à la stratégie des systèmes d’information de santé
Démarche de construction de la PGSSI-S (4/4)
�Une publication sur le site de l’ASIP Santé
http://esante.gouv.fr/pgssi-s/presentation
Ministère des affaires sociales , de la santé et des droits des femmes
Délégation à la stratégie des systèmes d’information de santé
9
Le corpus documentaire à ce jour
Principes fondateurs de la PGSSI-S
Identification Authentification Guide
pratique pour
Bibliographie
Doc
umen
ts
chap
eau
Mémento de sécurité
Guide pratique pour
Guides organisationnels
Référentiels techniques Guides pratiquesGuides
juridiques
Ministère des affaires sociales , de la santé et des droits des femmes
Délégation à la stratégie des systèmes d’information de santé
des acteurs de santé
Authentification des acteurs de
santé
Imputabilité
pratique pour les dispositifs
connectés…
Doc
umen
ts c
orps
Identification des patients
Authentification des patients
sécurité informatique en exercice
libéral
pratique pour la mise en place d’un accès Wifi
Règles pour les
interventions à distance
Guide pratique pour la destruction de données
Règles de sauvegarde des SI de
santé
Règles pour la mise en place d’un accès tiers
Plan de continuité
informatique
PubliéEn
concer-tation
Guide d’élaboration et de mise en
œuvre de PSSI
En projet 10
Gestion des événements
sécurité
Mécanismes de protection de l’intégrité des données
stockées
Gestion des habilitations
d’accès
Les travaux en cours et à venir (1/2)
�Mettre en œuvre l’article 25 du projet de loi de modernisation
de notre système de santé :
• Après l’article L. 1110-4 du code de la santé publique, il est inséré un article L. 1110-4-1 ainsi rédigé :
« Art. L. 1110-4-1. - Afin de garantir la qualité et la confidentialité des données de santé à caractère personnel et leur protection, les professionnels de santé, les établissements et services de santé, les
11Ministère des affaires sociales , de la santé et des droits des femmes
Délégation à la stratégie des systèmes d’information de santé
professionnels de santé, les établissements et services de santé, les hébergeurs de données de santé à caractère personnel et tout autre organisme participant à la prévention, aux soins ou au suivi médico-social et social utilisent, pour leur traitement, leur conservation sur support informatique et leur transmission par voie électronique, des systèmes d’information conformes aux référentiels d’interopérabilité et de sécurité élaborés par le groupement d’intérêt public mentionné à l’article L. 1111-24. Ces référentiels sont approuvés par arrêté du ministre chargé de la santé, pris après avis de la Commission nationale de l’informatique et des libertés. »
�Mettre en œuvre le nouvel article 27 quater du projet de loi de
modernisation de notre système de santé :
• Après l’article L. 1111-8-1 du code de la santé publique, il est inséré un article L. 1111-8-2 ainsi rédigé :
« Art. L. 1111-8-2. - Les établissements de santé, les organismes et services exerçant des activités de prévention, de diagnostic ou de soins
Les travaux en cours et à venir (2/2)
services exerçant des activités de prévention, de diagnostic ou de soins signalent sans délai à l’agence régionale de santé les incidents graves de sécurité des systèmes d’information. Les incidents de sécurité jugés significatifs sont, en outre, transmis sans délai par l’agence régionale de santé aux autorités compétentes de l’État.
« Un décret définit les catégories d’incidents concernés et les conditions dans lesquelles sont traités les incidents de sécurité des systèmes d’information. »
12Ministère des affaires sociales , de la santé et des droits des femmes
Délégation à la stratégie des systèmes d’information de santé
Focus sur le guide d’élaboration d’une PSSI
�Objectif du guide
• Le guide a pour objectif de permettre le développement d’une Politique de Sécurité du Système d’Information (PSSI) par un établissement de santé qui n’a pas d’approche sécurité du SI formalisée
13Ministère des affaires sociales , de la santé et des droits des femmes
Délégation à la stratégie des systèmes d’information de santé
formalisée
• C’est un guide de rédaction de PSSI et de suivi de sa mise en œuvre (vs. méthode d’analyse de risques):
• Pas d’analyse de risque spécifique : PSSI basée sur analyse de risque « modèle»
• Une PSSI « modèle » (canevas PSSI) à reprendre telle quelle ou à adapter
Focus sur le guide d’élaboration d’une PSSI
�Contenu
• Afin de faciliter son utilisation, le guide est constitué de 3 documents distincts et 3 documents annexes :
Document Cible Contenu
Guide PSSI Tout public impliqué dans la sécurisation du SI Guide de mise en place
Canevas PSSI Personnels en charge de la rédaction de la PSSI et Modèle directement utilisable
14Ministère des affaires sociales , de la santé et des droits des femmes
Délégation à la stratégie des systèmes d’information de santé
Canevas PSSI Personnels en charge de la rédaction de la PSSI et personnels en charge de l’application des règles
Modèle directement utilisable
Plan d’action SSI Personnels en charge du suivi de l’application des règles Modèle directement utilisable
Annexe Cible Contenu
Modèle de charte sécurité pour personnel IT
Personnels en charge de la rédaction de la PSSI
Exemple adaptable
Modèle de charte d’usage Personnels en charge de la rédaction de la PSSI
Exemple adaptable
Couverture PSSIE Personnels en charge de la conformité à la PSSIE (si applicable)
Liste de règles du canevas permettant de mettre en œuvre les objectifs de la PSSIE
Focus sur le guide d’élaboration d’une PSSI
� Guide PSSI
• Le guide PSSI explique la logique d’élaboration d’une PSSI et la démarche d’utilisation du canevas PSSI pour rédiger la PSSI d’une structure et du plan d’action SSI pour suivre la mise en œuvre de la PSSI
� Canevas PSSI
• Le canevas PSSI est un modèle de PSSI qui peut être directement repris comme une PSSI de structure avec d’éventuelles mises à jour marginales pour adaptation au contexte de l’établissement
15Ministère des affaires sociales , de la santé et des droits des femmes
Délégation à la stratégie des systèmes d’information de santé
pour adaptation au contexte de l’établissement• Les règles contribuant à l’atteinte des prérequis hôpital numérique et/ou aux
objectifs de la PSSIE sont signalées avec identification des prérequis et des objectifs concernés via des cartouches spécifiques
• Les référentiels et guides pratiques de la PGSSI-S qui permettent d’approfondir les règles du canevas PSSI sont signalés tout au long du canevas
� Plan d’action SSI
• Le plan d’action PSSI est un outil permettant le suivi détaillé de la mise en œuvre des règles identifiées dans le canevas. Il intègre le suivi des coûts
Autre exemple de document PGSSI-S
�Règles pour les interventions à distance sur les systèmes
d’information de santé
• Règles de sécurité pouvant être utilisées directement dans les documents contractuels encadrant les interventions
Règles relatives à la sécurité de la prestation
fournie
Règles relatives à la sécurité de l’environnement du fournisseur
Règles relatives à la sécurité des échanges et des accès
16Ministère des affaires sociales , de la santé et des droits des femmes
Délégation à la stratégie des systèmes d’information de santé
Cahier des charges
-Exigences de
sécurité
Contrat-
Clauses générales & particulières de
sécurité
Plan d’assurance sécurité
-Dispositions de
sécurité du fournisseur
Conventionde service
-Modalités
pratiques de réalisation
sécurisée de la prestation
Dispositions techniques de sécurité
-Mécanismes de protection des échanges et des accèsDocuments contractuels
fournie des échanges et des accès
Volet organisationnelDescriptionEngagement