Professional Documents
Culture Documents
EPSM Morbihan
Claude SALOMON
Chef du Centre Informatique – RSSI
1. Contexte
2. Méthodologie(s) d’élaboration
n Domaines
n Édition et diffusion de progiciels (30) pour la santé (médical, médico-technique, décisionnel):
n Sillage, Génois, Sextant, Alfa Lima, …
n Prestations d’intégration de solutions d’architectures techniques
n Portail, annuaires, SSO, EAI,…
n Hébergement et exploitation
n Services relatifs à l’administratif – Paye, Factures, GRH.
n Services relatifs aux données médicales - Offre Alfa Lima Télésanté.
n Conseil et veille SIH, réseau et sécurités :
n Schéma directeur, Audits, Politique sécurité, Charte des bons usages, PCA, Plan
d’actions, …
n Normalisation
n Formation, Sensibilisation.
Page 5 - Démarche de mise en œuvre et exemple d’une PSSI - #119143 – v3
1 – Contexte
L’E.P.S.M Morbihan
&Administration
Logistique,stocks
Unités de soins Dossier médical patient E-Magh2
Cimaise Cimaise
R. Humaines,
Gestion de temps, MP
Gestion de l’activité
Laboratoires Cimaise Agirh & Agirh/satellites
CH de Vannes
n Des Enjeux
n Domaines techniques
n Sécurité de l’infrastructure informatique et des télécommunications
Liste de mesures.
Comment protéger l’établissement ?
Projet d’É
d’Établissement
tablissement /
Sché
Schéma Directeur
Enjeux
Principes Objectifs
de de
Méthode Sécurité Politique de Sé
Sécurité
curité des Sécurité Méthode
d’élaboration
’élaboration Systè
Systèmes d’d’Information d’analyse des
de la PSSI PSSI risques
Règles
de
Sécurité
Plans d’
d’actions
Plans d’
d’actions
Plans d’
d’actions
n Guide PSSI
n DCSSI (Direction Centrale de la Sécurité des Systèmes d’Information – Service du 1er
Ministre)
n EBIOS (DCSSI)
n Expression des Besoins et Identification des Objectifs de Sécurité
n Guide d’élaboration d’une Politique sécurité
n GMSIH (Groupement pour la Modernisation du Système d’Information Hospitalier)
n Référentiel Général Sécurité (RGS) – Déclinaison Santé
Page 15 - Démarche de mise en œuvre et exemple d’une PSSI - #119143 – v3
2 – Méthodologie(s) d’élaboration
Démarche projet
Ce qu’il faudrait faire ….
T0
•Représentants du corps
médical, Phase 3 Principes et règles de
•RSSI, Sélection des principes et sécurité
rédaction des règles de sécurité
•…
Phase 4 PSSI
Finalisation de la PSSI
Démarche méthodologique
n Phase 0 : Initialisation
n Phase 1 : Autoévaluation
n Analyser la qualité de la sécurité (niveau de maturité)
n Analyser les risques (niveau d’exposition de l’établissement aux risques liés au
SIH)
n Phase 1 : Sélection à partir de l’autoévaluation des principes de sécurité
autour desquels seront construits les projets prioritaires susceptibles:
n De corriger les faiblesses révélées par l’autoévaluation
n De réduire les risques majeurs pesant sur le système d’information de
l’établissement
n Phase 3 : Rédaction des règles de sécurité permettant de valider les
principes
n Phase 4 : Validation et diffusion de la politique de sécurité – Elaborer un
plan d’actions
n Exemple de sommaire
n Partie 1 – Fondements et Éléments stratégiques.
n Chapitre 1 – Champ d’application de la PSSI.
n Chapitre 2 – Enjeux et orientations stratégiques.
n Chapitre 3 – Cadre réglementaire.
n Chapitre 4 – Échelle des besoins.
n Chapitre 5 – Expression des besoins de sécurité.
n Chapitre 6 – Objectifs de sécurité.
Face à ces défis, la Politique de Sécurité du Système d’Information (PSSI) doit être perçue comme un
référentiel de l’établissement, comme une réglementation particulière, dont l’objectif est de décrire
clairement la façon de gérer, de protéger, d’accéder et de diffuser les informations et autres
ressources sensibles. […] »
Page 24 - Démarche de mise en œuvre et exemple d’une PSSI - #119143 – v3
3 – Exemple d’une PSSI
Partie 1 : Fondements & éléments stratégiques
Ch1. Champ Ch2. Enjeux et Ch3. Cadre Ch4. Échelle des Ch5. Expression des Ch6. Objectifs de Ch7. Ch8. Règles de
d’application orientations stratégiques réglementaire besoins besoins de sécurité sécurité Organisation sécurité
• Loi du 4 mars 2002 (« Kouchner ») sur les droits des malades a consacré l’obligation d’information des
professionnels de santé: «Toute personne a le droit d’être informé sur son état de santé».
• Décret n°2007-960 du 15 mai 2007 relatif à la confi dentialité des informations médicales conservées sur support
informatique ou transmises par voie électronique.
• Sécurisation physique des matériels et locaux et les sauvegardes.
• Modalités d’accès aux traitements, dont identification et authentification.
• Contrôle des identifications et des habilitations, avec les traçabilités
• Garantie de la confidentialité des informations médicales à caractère personnel
•Obligation d’utiliser la carte CPS pour tout accès aux données de santé à caractère personnel
• « Le fait d’obtenir ou de tenter d’obtenir ces informations [à caractère secret] […] est puni d’1 an d’emprisonnement
etPage
de25
15.000 Euros d’amende. » Article L.1110-4 du CSP.
- Démarche de mise en œuvre et exemple d’une PSSI - #119143 – v3
3 – Exemple d’une PSSI
Partie 1 : Fondements & éléments stratégiques
Ch1. Champ Ch2. Enjeux et Ch3. Cadre Ch4. Échelle Ch5. Expression des Ch6. Objectifs de Ch7. Ch8. Règles de
d’application orientations stratégiques réglementaire des besoins besoins de sécurité sécurité Organisation sécurité
Une échelle de mesure est définie permettant l’expression objective des besoins de sécurité. Elle se caractérise
par le vecteur sécurité DICP dont les critères de sécurité sont :
• Disponibilité :
Propriété d’un élément essentiel d’être accessible au moment voulu par les utilisateurs autorisés.
• Confidentialité :
Propriété d’un élément essentiel de n’être accessible qu’aux utilisateurs autorisés.
• Intégrité :
Propriété d’exactitude et de complétude d’un élément essentiel.
• Preuve, Auditabilité, Traçabilité :
Attribution de la responsabilité d'une action à un utilisateur ou à un système de telle sorte qu'elle ne puisse
pas être désavouée par la suite.
Un élément essentiel est une fonction ou une information du système ayant au moins un besoin de sécurité non
nul.
O.PhySI L’accès aux salles informatiques et aux locaux techniques doit être protégé
contre toute malveillance.
Cet objectif porte sur l’intégrité physique des salles informatiques et des locaux techniques associés.
L’accès à certaines zones ne peut s’effectuer que sur un contrôle renforcé. Ces accès sont réservés aux
personnes habilitées.
Comité sécurité
Plan
Utilisateurs Identification
des objectifs
RSSI
Act
Amélioration Do
des pratiques Définition et
Audit externe mise en oeuvre
Check
Supervision et
vérification
Correspondants sécurité
Contrôle interne
Responsables opérationnels
Page 34 - Démarche de mise en œuvre et exemple d’une PSSI - #119143 – v3
3 – Exemple d’une PSSI
Partie 2 : Organisation et règles de sécurité
Ch1. Champ Ch2. Enjeux et Ch3. Cadre Ch4. Échelle des Ch5. Expression des Ch6. Objectifs de Ch7. Ch8. Règles de
d’application orientations stratégiques réglementaire besoins besoins de sécurité sécurité Organisation sécurité
1. Politique de sécurité
2. Management de la sécurité
3. Inventaire et classification des biens
4. Sécurité et ressources humaines
5. Sécurité physique et environnementale
6. Exploitation informatique et gestion des réseaux
7. Contrôle d’accès logique
8. Intégration, développement et maintenance des applications et systèmes
9. Gestion des incidents liés à la sécurité de l’information
10. Gestion de la continuité des activités
11. Conformité
11 – Conformité
Éviter toute violation des obligations (légales, réglementaires, contractuelles, …)
Page 36 - Démarche de mise en œuvre et exemple d’une PSSI - #119143 – v3
3 – Exemple d’une PSSI
Partie 2 : Organisation et règles de sécurité
Ch1. Champ Ch2. Enjeux et Ch3. Cadre Ch4. Échelle des Ch5. Expression des Ch6. Objectifs de Ch7. Ch8. Règles de
d’application orientations stratégiques réglementaire besoins besoins de sécurité sécurité Organisation sécurité
Définition de « socles » de
projets de sécurité
1.1.1
2.8.1
2.8.2 4 1.2.1
1.2.2
Chap.1.2 : Management de la Sécurité
2.7.2 1.2.4
3
2.7.1 2.1.1 Chap.2.1: Inventaire et Classificassification
des ressources
Chap.2.6 : Développement et maintenances
des applications et systèmes 2.6.5 2 2.1.2
2.6.4 2.2.1
Chap.2.2 : Sécurité et Ressources
1 humaines
2.6.3 2.2.2
2.6.2
0 2.2.3
2.6.1 2.3.1
Chap 2.3 : Sécurité physique et
Sécurité de l'environnement
2.5.7 2.3.2
2.5.5 2.4.1
2.5.4 2.4.2
SMSI
Planification
Plan
Attentes et Sécurité
exigences Action Correction effective
relatives à Do Act fournie.
la sécurité Confiance.
de
l’information
Vérification
Check
n Formation et communication
n A la sécurité, par rapport au contexte métier de chacun.
n Aux outils et aux fonctions offertes
n Message électronique sécurisée : signature électronique, chiffrement des messages
n Carte CPS
n …