politique de sécurité des systèmes d'information hospitaliers

23
Modélisation d’un réseau social commutaire pour medecin -MedNet- Réalisé par : Azrou Lilia Benchaib Widad Cherhabil Ibtihal Si-moussi Sara Politique de sécurité des Systèmes d’Information Hospitaliers

Upload: sara-si-moussi

Post on 20-Mar-2017

36 views

Category:

Technology


4 download

TRANSCRIPT

Page 1: Politique de sécurité des systèmes d'information hospitaliers

Modélisation d’un réseau social commutaire pour medecin -MedNet-

Réalisé par :• Azrou Lilia • Benchaib

Widad• Cherhabil

Ibtihal• Si-moussi

Sara

Politique de sécurité des

Systèmes d’Information Hospitaliers

Page 2: Politique de sécurité des systèmes d'information hospitaliers

2Plan

Introduction Contexte hospitalier Analyse de risques La PSSI appliquée aux CHU Etude de cas Etat des lieux en Algérie Conclusion

Page 3: Politique de sécurité des systèmes d'information hospitaliers

3 Introduction

Les hôpitaux à l’ère du digital des technologies de plus en plus complexes. Pression des médias et renforcement du cadre législatif. De l’obligation de moyens L’obligation de résultats = Logique de

performances. Environnement complexe de l’hôpital : humanitaire, public et administratif. OBLIGATION DE SECURISER :

Les soins d’abord, mais les informations aussi.

Page 4: Politique de sécurité des systèmes d'information hospitaliers

4I. Contexte hospitalier

s SIH• Système informatique, destiné à faciliter la gestion de l'ensemble des informations

médicales et administratives d'un hôpital.

SIS• Système d'information global, regroupant tous les types d'acteurs et ressources de

santé.

Sara Morgan
Il s’agit d’un ensemble des éléments en interaction ayant pour objectif de rassembler, traiter et fournir les informations nécessaires à son activité.
Page 5: Politique de sécurité des systèmes d'information hospitaliers

5

Convergence SIH SIS

Sara Morgan
Tendances des SIH à s’harmoniser en un seul SIS par région voir par pays
Page 6: Politique de sécurité des systèmes d'information hospitaliers

6- Principaux objectifs -

Respect du secret

professionnel

Qualité des soins

ResponsabilitéMaîtrise des

coûts

Sara Morgan
Garantir la confidentialité des informationsmédicales à caractère personnel conservées sursupport informatique ou transmises par voieélectronique
Sara Morgan
Garantir la disponibilité des informations et desinfrastructures, garantissant la continuité des soins
Sara Morgan
Garantir l’intégrité des informations, notammentles informations d’identification et les informationsde santé, dans le but de dispenser les soins lesplus adaptés
Sara Morgan
Disposer de moyens de preuve et contrôle quiconcourent à obtenir la meilleure sécuritésanitaire possible et qui donnent confiance dansle système
Sara Morgan
Réduction des durées des séjours. Réduction des tâches administratives. Diminution du personnel.
Page 7: Politique de sécurité des systèmes d'information hospitaliers

7II. Politique de sécurité

Comment atteindre ces objectifs ?

Page 8: Politique de sécurité des systèmes d'information hospitaliers

81. Politique de sécurité des SIH

Un plan d'actions définies pour maintenir un certain niveau de sécurité.

Roue de Deiming

MéthodePDCA

Page 9: Politique de sécurité des systèmes d'information hospitaliers

92. Facteurs clés de succès

Une volonté directoriale LEGITIME Une politique de sécurité simple, précise et compréhensible.

APPLICABLE La publication de cette politique de sécurité. CONSULTABLE Une gestion centralisée de la sécurité et une certaine

automatisation des processus de sécurité. CENTRALISATION Du personnel sensibilisé et formé à la sécurité, possédant une haute

valeur morale. FORMATION Des procédures d’enregistrement, de surveillance, d’audit,

d’organisation. CONTROLE

Page 10: Politique de sécurité des systèmes d'information hospitaliers

10III. Analyse de risques

Page 11: Politique de sécurité des systèmes d'information hospitaliers

11Exemple de risquesAtteinte à la confidentialité

Accès aux dossiers médicaux

Postes connectés sans surveillance

Réseau Wifi du SIH ouvertPartage de connexions filaires

CONFIDENTIALITE

Intrusion externe

Page 12: Politique de sécurité des systèmes d'information hospitaliers

12Exemple de risquesAtteinte à la disponibilité, intégrité et traçabilité

Infection viralePoste non autorisé connecté à distance

Fuite d’eau au niveau du SAN

Problème sur l’onduleur

DISPONIBLITE, INTEGRITE

Vols du matériel informatique essentiel au fonctionnement

del’accélérateur de particules

pour le traitement des cancers

Sara Morgan
R2SEAU DE STOCKAGE
Page 13: Politique de sécurité des systèmes d'information hospitaliers

13IV. La PSSIH Politique de sécurité des systèmes d’information hospitaliers

Matériel

• TIC• Procédures et logiciels métiers

Intellect

• Informations techniques, scientifiques.

• Informations administratives

Humain

• Acteurs interagissant avec le CHU• Altération poursuites judiciaires

QUOI ?

Sara Morgan
Nous ne nous intéresserons pas à la sécurité des soins
Page 14: Politique de sécurité des systèmes d'information hospitaliers

14La PSSIH : Acteurs

Qui ?

Acteurs de la PSSIH

Utilisateurs

Gestionnaire

Propriétaire

Sara Morgan
proprio = décide, définit les exigences, paye et prend la responsabilité des opérations ;
Sara Morgan
gestionnaire : affaires courantes du système d'information au jour le jour, il est responsable des opérations et du rapport des résultats, il ne peut travailler que si le propriétaire lui précise des objectifs et s’il fournit des moyens, il n’est pas toujours l’administrateur, qui peut dépendre de lui pour des sous-objectifs précis et spécifiques, mais se trouve à ce niveau ;
Sara Morgan
Utilisateur = emploie le système d'information en suivant des règles et procédures définies par le propriétaire et transmises par le gestionnaire peut assurer l’entretien préventif ou journalier et rendre compte au gestionnaire ; l’opérateur est un utilisateur spécifique dont la compétence permet une utilisation "professionnelle" d’un outil ; l’utilisateur peut être uniquement le destinataire de l’information.
Page 15: Politique de sécurité des systèmes d'information hospitaliers

15La PSSIH : Hiérarchie

Politique de responsabilité RSSIComité

sécurité

Mise en œuvre

• Responsable de la sécurité des soins

• Responsable de la sécurité incendie

• Responsable de la sécurité du personnel et des patients

• RSSI

Cellule Veille

Cellule gestion de

crises

Sara Morgan
RSSI => élaboration mise en place et suivi de la PSSI
Sara Morgan
mise en oeuvre = engagements personnels
Sara Morgan
- Diffuser l’alerte ;- Collecter l’information ;- Constituer une cellule de crise ;- Décider des mesures conservatoires ;- Elaborer un plan d’action regroupant des mesures correctives.
Page 16: Politique de sécurité des systèmes d'information hospitaliers

16Aspects réglementaires

Règles du PSSI issues des législations, culture de l’organisme/pays :

Déontologie: DUDH, lignes directrices de l’OCDE. La loi Informatique Et Libertés Code d’éthique des hôpitaux et protection des informations

médicales privées.

Sara Morgan
déontologie = principes d'éthique générale
Page 17: Politique de sécurité des systèmes d'information hospitaliers

17Principes techniques

Comment ?1. Identification et authentification (forte, unique)2. Contrôle d’accès logique aux biens :

- L'accès des utilisateurs aux services pour lesquels ils sont autorisés ; - La connexion au système d'information des ordinateurs isolés ou extérieurs à l'organisme ; - La séparation des réseaux dédiés à des domaines particuliers ; - Le routage des communications sur les canaux autorisés.

Sara Morgan
Délivrance : - La délivrance d’un accès à un utilisateur doit être précédée d’un engagement formel de ce dernier au respect des règles élémentaires de protection des moyens d’accès fournis et du devoir d’avertissement en cas de vol (ou seulement de suspicion de divulgation du secret) (cf. responsabilités, cf. attribution de postes sensibles) ;- La délivrance des
Sara Morgan
Il faut considérer qu'il y a infraction à la sécurité lorsque deux personnes ou plus connaissent, par exemple, le mot de passe correspondant à une identité d'utilisateur à moins que cela ne soit prévu pour assurer la continuité des fonctions d'administration du système.S'il est inévitable, dans certains cas, de permettre le partage d'une identité et d'un élément d'authentification, des mesures spéciales telles que l'emploi d'enveloppes scellées avec prise en compte peuvent être mises au point pour prévenir toute utilisation abusive ou incorrecte.
Page 18: Politique de sécurité des systèmes d'information hospitaliers

18Principes techniques

Comment ?3. Définir :- Technologie à utiliser (algorithme d’authentification, mot de passe joué qu'une fois…) ; - Protection des secrets (fichiers de mots de passe gérés par les systèmes ou les applications) - Conditions d’attribution d’un accès (engagement de l’utilisateur au respect des règles élémentaires de protection de l’accès) ;

Page 19: Politique de sécurité des systèmes d'information hospitaliers

19Principes techniques

Comment ?- Exigences de robustesse des moyens d’accès et des mots de passe -

règles de construction - fréquence de changement des mots de passe - historique de mots de passe non réutilisables.

- Durée de vie de l’attribution de l'accès ;

- Toute procédure d’authentification à des accès sensibles ou utilisant des médias qui ne sont pas considérés comme de confiance (réseaux publics) doit assurer la non divulgation des éléments d’authentification ;

Page 20: Politique de sécurité des systèmes d'information hospitaliers

20Principes techniques

Comment ?

- Procédure en cas de tentatives de connexion infructueuses répétées ; - Limitation des temps de connexion ; - Procédure en cas de déclaration de perte d’un secret – lutter contre des usurpations d’identité ; - Procédure de suppression des accès en cas de départ de personnel ou de vol de matériel.

Page 21: Politique de sécurité des systèmes d'information hospitaliers

21Principes techniques

Comment ?

4. Protection des accès en maintenance : hauts privilègesDes engagements de responsabilités spécifiques devront être inclus dans les contrats de prestations de service. 5. Contrôle des listes d’accès 6. Verrouillage des sessions de travail7. Administration des privilèges8. Journalisation : gestion des traces.

Sara Morgan
TRACES : - Télécollecte sécurisée des traces de sécurité ;- Archivage des traces ;- Effacement des fichiers des traces obsolètes (obsolescence et durée d'archivage doivent être fixées) ;- Filtrage et analyse des traces ;- Protection des traces contre toute altération ou accès non autorisé ;- Alerte en cas de détection d’événements majeurs ;- Contrôle de l’intégrité des mécanismes de traces ;- Procédure d’exploitation des traces : sachant qu’il est nécessaire de différencier celui qui analyse les traces et l’administrateur du réseau ;- Destruction des traces au-delà du délai légal.
Page 22: Politique de sécurité des systèmes d'information hospitaliers

22

Signaux compromettants

• Signaux électriques parasites interférant avec le matériel : intentionnels ou non.

• Protection interdite en Europe.• Moyens de le faire :

• Matériel TEMPEST

• Faradisation des locaux

• Protection des équipements

Page 23: Politique de sécurité des systèmes d'information hospitaliers

23

CONCLUSION

Sara Morgan
Nécessité du SIH. et sécurité indispensable.
Sara Morgan
la sécurité est une affaire de tout le monde, coordinés par le RSSI, c'est pas juste du technique mais également des comportements à adopter
Sara Morgan
Convergence SIH -> SIS => de plus grands enjeux de sécurité et donc une PSSI performante