Embed Size (px)
Citation preview
A N A LY S E D E S D I F F É R E N T S C A D R E S D E R É F É R E N C E
Bénédicte GUERRIER
Mardi 27 avril 2021
POINTS ABORDES
• Déclarer les incidents de sécurité du Système
d’Information
• Les outils à votre disposition
• La qualité du SI:
– La certification SIH
– La certification QHN
2
3
LES ACTIONS DE LA FEUILLE DE ROUTE
4
L A D E C L A R A T I O N D E S I N C I D E N T S D E S E C U R I T E S I
5
OBSERVATOIRE DES INCIDENTS DE SÉCURITÉ A N N É E 2 0 2 0
6
Cellule ACSS (devient cellule CERT-Santé)
Haut fonctionnaire de défense et de sécurité (HFDS) et Fonctionnaire de sécurité des systèmes d’information (FSSI)
ANSSI: Agence Nationale de Sécurité des SI – ANSM: Agence Nationale de Sécurité du Médicament et des Produits de santé
CORRUS : Centre opérationnel de régulation et de réponse aux urgences sanitaires et sociales
LES MENACES CROISSENT EN 2020
60% des incidents déclarés ont une origine malveillante (+17% par rapport à 2019)
60% des incidents ont un impact sur des données à caractère personnel (patient) principalement
l’indisponibilité
43% sont des maliciels*
35% sont liés à une activité de phisphing**
42% sont liées à l’exploitation d’une vulnérabilité sur un accès à distance (bureau à distance,
webmail, VPN, …)
Source HFDS
*programmes malveillants – logiciels malveillants
** hameçonnage7
RAPPELS DES OBLIGATIONS
Depuis le 1er octobre 2017 , les structures ci-dessous doivent signaler sans délai tout incident
de sécurité de leurs systèmes d’information aux autorités compétentes de l'Etat (ARS) et à
l'Agence du numérique en santé (ANS):
• les établissements de santé,
• les établissements médico-sociaux,
• les hôpitaux des armées,
• les centres de radiothérapie,
• les laboratoires de biologie médicale.
Cette obligation découle de l'article 110 de la Loi de modernisation de notre système de santé du 26
janvier 2016 puis ordonnance publiée le 19 novembre au JO (pour les ESMS)
8
QUE DOIT-ON DECLARER ?
Toute action ou suspicion d’action malveillante ayant un impact sur le fonctionnement
normal de l’établissement.
Incidents sur :
• la sécurité des soins,
• la confidentialité ou l’intégrité des données de santé,
• le fonctionnement normal des établissements, de l’organisme ou d’un service.
9
AUPRES DE QUI DECLARER ?• Portail de signalement des événements sanitaires indésirables: www.signalement.social-
sante.gouv.fr/ sur l’espace « professionnels de santé » en renseignant le formulaire dédié.
• En cas d’urgence/ incident majeur
– accueil téléphonique en heures ouvrées 9h-18h sans interruption :
+33 09 72 43 91 25 et [email protected]
• En cas d’incident majeur en heures non ouvrables ou jours non ouvrables
– les demandes sont prises en charge par l’astreinte HFDS/FSSI et l’ANSSI:
+33 01 71 75 84 68 et [email protected]/ [email protected]/
10
L E S O U T I L S
11
LES OUTILS A VOTRE DISPOSITION
12
PGSSI-S
Fiches pratiques pour réagir contre le hameçonnage et contre les maliciels
Mise à jour du guide de bonnes pratiques sur la sécurité des mots de passe
LES 42 RÈGLES DE SÉCURITÉ SIMPLES
I - Sensibiliser et former
II - Connaître le système d’information
III - Authentifier et contrôler les accès
IV - Sécuriser les postes
V - Sécuriser le réseau
VI - Sécuriser l’administration
VII - Gérer le nomadisme
VIII - Maintenir le système d’information à jour
IX - Superviser, auditer, réagir
13
Version 2.0 - Septembre 2017
L’INCONTOURNABLE RISQUE NUMÉRIQUE
14
Version 1- 2019
ORGANISER UN EXERCICE DE GESTION DE CRISE CYBER
Les 4 étapes à suivre
Etape 1 _ concevoir son exercice
Etape II _ préparer son exercice
Etape II _ dérouler son exercice
Etape IV _ tirer les enseignements de l’exercice
15Version 1.0 – Octobre 2020 -ANSSI-PA- 081
L A Q U A L I T E E T G E S T I O N D E S R I S Q U E S D E S S I
C E R T I F I C A T I O N
16
17
LES ACTIONS DE LA FEUILLE DE ROUTE
18
LE DISPOSITIF DE CERTIFICATION
A C T I O N 2 3 D E L A F E U I L L E D E R O U T E .
19
LE DISPOSITIF DE CERTIFICATION
Un référentiel d’évaluation de la maturité numérique (MaturiN-H)
+
des modalités de contrôle
détermination des niveaux de maturité numérique des ES
=
Dispositif de certification SI
Cette certification représente un réel levier de transformation pour les établissements de santé en
l’intégrant dans une démarche continue pour l’amélioration la qualité et la sécurité des soins.
20
OBJECTIFS DE LA CERTIFICATION SIH
1. Promouvoir la e-santé en donnant un cadre clair et partagé
2. Améliorer la qualité du service rendu par l'organisation informatique
3. S’assurer du niveau de sécurité requis
4. Garantir le bon niveau d'utilisation du numérique
5. Engager les acteurs à développer des services utiles aux usagers et aux professionnels, dans
le respect des valeurs et du cadre définis par la puissance publique
6. Simplifier les déclarations de conformité dans la mesure où la certification SI permettra
d’éviter des déclarations redondantes
21
LES CARACTÉRISTIQUES DU DISPOSITIF
1. Rassemble un ensemble de critères d’évaluation de la maturité numérique des
établissements
2. S’appuiera progressivement sur les conformités définies par différentes
démarches déjà existantes (IFAQ, Programme HOP’En, Plan d’actions SSI, Auditabilité des SI, Ethique du
numérique et développement durable, NIS OSE, Conformité dans la règlementation de traitement des données à
caractère personnel (RGPD), Conformité du SI à la doctrine technique du numérique en santé, Exigences en matière
d’interopérabilité (DMP, plateforme régionale …), …)
3. Ne se substitue pas aux diverses démarches de certification de type ISO ou
autres que vous pouvez souhaiter mener (Certification HAS, HDS, modèle international EMRAM
HISS) mais cherche à s’articuler avec elles
4. Permet de se comparer aux différents niveaux internationaux
5. Permet la modulation des niveaux d’exigences selon les types d’établissements
22
LE RÉFÉRENTIEL MATURIN-H
7 dimensions
5 degrés de maturité
1- Ethique et numérique
II – Pratique de management du SI
III- Adéquation fonctionnelle
IV- Adéquation de l’infrastructure
V- Qualité de service
VI- Sécurité des SI
VII- Performance, usage et satisfaction
1. Insuffisant: tout niveau en dessous du niveau de base
2. De base: niveau minimal admissible
3. Défini : niveau acceptable en vue d’établir des bonnes pratiques
4. Maîtrisé : niveau correspondant aux bonnes pratiques « à l’état de l’art »
5. Optimisé : niveau des meilleures pratiques contribuant à faire évoluer « l’état de l’art »
23
UN CRITERE D’EVALUATION
24Source : Réunion éditeurs 15 12 2020
UN SCORE DE MATURITÉEXEMPLE « SÉCURITÉ DE L’IDENTIFICATION DU PATIENT »
25
MODALITÉS DE CONTRÔLE DE LA CERTIFICATION
SIH
26
L’autoévaluation, conduite par votre établissement de santé ou votre GHT : utiliser un outil de mesure de la complétude du recueil des données nécessaires au référentiel de certification SI
Cette première étape va permettre d’évaluer la maturité des systèmes d’information tant au niveau technique qu’opérationnel.
Cette autoévaluation permettra de classer la maturité de chaque critère de l’évaluation selon cinq niveaux.
MODALITÉS DE CONTRÔLE DE LA CERTIFICATION
SIH
27
Les contrôles externes sont les différents contrôles que votre établissement ou votre GHT a fait réaliser dans le cadre de procédures officielles précises (certification des comptes, accréditation des laboratoires de biologie, ISO 27001, certification hébergeur de données de santé, etc.).
Une procédure spécifique de « certification SI » pourrait être envisagée par la suite et pourrait conduire à l’obtention d’un label « Certifié Qualité SI ».
Elle resterait à l’initiative de l’établissement et correspondrait à sa volonté de faire valoir l’obtention d’un haut niveau de qualité de son système d’information.
CALENDRIER
Version du référentiel MaturiN-H
fin 2021/début 2022
Etablissement et validation des grilles de calcul des scores de maturité numérique associés à des objectifs et programmes nationaux
2022 / 2023
o Scores IFAQ du numérique
o Scores HAS du numérique
o Scores SEGUR du numérique
o Scores ENRAM STAR
o Scores ETHIQUE du numérique
28
L A C E R T I F I C A T I O N Q U A L I T E H O P I T A L
N U M E R I Q U E ( Q H N ) P O U R L E S É D I T E U R S
29
QHN: UNE DÉMARCHE DE CERTIFICATION QUALITÉ ÉDITEUR POUR RÉPONDRE AUX ATTENTES DES ETABLISSEMENTS DE SANTE
La connaissance de ce référentiel vous permettra:
D’améliorer vos relations contractuelles avec votre ou vos éditeurs
De vous assurer de votre conformité (organisations et éléments documentaires) et ce
qu’il faut éventuellement mettre en place
De mieux appréhender ce que vous êtes en droit d’attendre de vos fournisseurs de
solution de logicielles:
• Editeurs de logiciels
• Développeurs de logiciels
• Intégrateurs de logiciels
• Fournisseurs de solution en mode service (SaaS)
• Fournisseurs de dispositifs médicaux
30
QHN: UNE DÉMARCHE DE CERTIFICATION QUALITÉ ÉDITEUR POUR RÉPONDRE AUX ATTENTES DES ETABLISSEMENTS DE SANTE
Le certificat Qualité Hôpital Numérique (QHN) est une garantie de qualité de service des
solutions informatiques à destination des professionnels de santé exerçant dans les
établissements de santé.
Il est attribué aux industriels fournisseurs de solutions informatiques et dont le système de
management de la qualité respecte le référentiel Qualité Hôpital Numérique.
Le certificat QHN :
-précise les obligations des industriels et des établissements de santé (parties prenantes)
-garantit que :
• Les logiciels sont testés avant leur installation en production
• Les déploiements sont efficaces et réalisés par des équipes formées et stables
• Le support est réactif
• L’industriel donne de la visibilité sur l’évolution de ses produits31
EDITEURS CERTIFIES QHN
32
Source ANS
33
QHN ET HOP’EN: DES EXIGENCES LIÉES
QHN ET HOP’EN: DES EXIGENCES LIÉES
34
M E R C I D E V O T R E AT T E N T I O N
35
