Décret Confidentialité Politique de Sécurité Région Poitou-Charentes CH Niort 23 janvier 2009

Décret Confidentialité Politique de Sécurité

Région Poitou-Charentes CH Niort 23 janvier 2009

Equipe Régionale d’AccompagnementERA: Lise Mary; Denis Maïques; Nicolas Barbot

Contexte & actions RégionalesNiveaux de maturité des SIE dans le cadre du décret de confidentialitéApports, Besoins et propositionsPlateforme régionale Feuille de route 2009

SOMMAIRE

CONVERGENCE DES ORIENTATIONS NATIONALES & RÉGIONALES

Orientations nationales: Mise en conformité des SIE avec le décret de confidentialité -15 Mai 2007-Orientations régionales du volet SI du SROS3: inscrites dans le plan d’action régional en matière:

d’infrastructure = Mise en œuvre d’ une plateforme régionale d’accompagnement = la création d’une équipe régionale (ERA)

Mission d’ Assistance à Maîtrise d‘OuvrAge auprès des établissements de santé, qui porte sur les axes de progrès suivants :

₋ Identification des professionnels de santé₋ Fiabilisation de l’identification du patient₋ Echanges sécurisés avec tous les acteurs de santé₋ La politique de sécurité

MISSION D’ACCOMPAGNEMENT Mise en conformité des SI des établissements de la région avec le décret de confidentialité:

Le champ d’application concerne la mise en œuvre :

D’une politique de sécurité et de confidentialité .

Des référentiels de sécurité relatifs à la confidentialité des données médicales.De la sécurisation des accès avec la CPS et de l’organisation de sa gestion . D’un annuaire unique d’établissement (référentiel des personnes) et de l’organisation de la gestion des identités et des habilitations.D’une conduite du changement :

₋ Sensibilisation à la confidentialité (Politique de sécurité, charte, RSSI, responsabilité pénale, protocole de confidentialité…).

₋ Repenser l’organisation: Modélisation des processus cibles & guide d’élaboration de document

4

SYNTHÈSE DES TRAVAUX RÉALISÉS

Mars à juillet 08 Mars à juillet 08 : Plateforme régionale Préparation : Cahiers des charges, dossier H2012; constitution équipe…

Aout à ce jour Aout à ce jour : Accompagnement décret confidentialitéEtude & Organisation du plan projet

Développement d’outils spécifiques pour l’équipe (BD, Intranet, agenda.)

Enquête Flash à tous les établissements. Fin aout Niveau de maturité des SI / décret : = 5 niveaux identifiés

1er Etat des lieux : 14 Etablissements de santé Rencontre de l’équipe avec les acteurs concernés dans les établissementsInterview sur site à partir d’un questionnaire support.Recensement des besoins d’ AMOA

Dossiers H2012 : « Informatisation sécurisée de la production de soins: solution mutualisée en infogérance » 5 ou 7 Hôpitaux locaux

Stratégie de mise en œuvre de la plateforme régionale


SOMMAIRE

7

Enquête Flash / Niveau de maturité des SI

Enquête flash réalisée en août 2008 :52 réponses sur 71 établissements

Panel des réponses : 27 publics / 25 privés

8

Découpage macro en 5 niveaux de maturité suivant critères pondérés (orientés décret de confidentialité)

Etablissements par niveaux :

Les niveaux 1,2,3 nécessiteront un accompagnement plus soutenu

Production de Soins informatisée 160Interfaces 160Annuaire active directory 160GAM informatisée 30Serveur d’Identité 30Cellule d'identito-vigilance 30Serveur DNS 30Acces internet 30Messagerie 30Politique de sécurité formalisée 10Schéma Directeur Informatique 5Volet SI dans le projet d'établissement 5


9


Quelques exemples dans le détail :Production de soins informatisée

Interfaces entre dossier de soins et serveur d’identité

Annuaire active directory

10

Etat des lieux sur site

Etat des lieux dans les établissements : Orienté décret de confidentialité et Accès plateforme régionale

Au 23 janvier : 14 établissements publics visités

Quelques résultats: (échantillon de 14 établissements visités)

(*) Sécurité logicielle minimum : Pare feu + Proxy + Antivirus + Antispam

11

Niveau organisationnel : (échantillon de 14 établissements visités)

Gestion de l’authentification

Gestion optimisée des processus mouvements du personnel pour authentification CPS

Etat des lieux sur site


SOMMAIRE

Les Apports de l’état des lieux

Pour l’équipe

Une cartographie régionale des SIE.Prise de contact avec les établissements.Connaissance des besoins échanges ville-Hôpital

Pour les établissements visités

Sensibilisation au décret de confidentialité.Des livrables (cartographies, processus….)Prise de contact avec l’équipe Régionale

Besoins recensés dans le cadre du décret de confidentialité

Informatisation de la Production de soins.

Echanges sécurisés des flux ville-Hôpital.

SSO (Single Sign On= Authentification unique)

Sensibilisation des acteurs de santé à la confidentialité (conduite du changement).

AMOA dans les projets PSSI (politique de sécurité du système d’information).

Propositions de l’équipe régionale et livrables

DECRET DE CONFIDENTIALITE

Un RSSI régional ou mutualisé par plusieurs établissements Une PSSI régionale, Prestation AMOA - animationAide à la constitution d’un dossier H2012 dans le cadre d’une mutualisation pour une mise en conformité du SIE avec le décret de confidentialité.Modèle de charte et d’engagement des utilisateurs.Modèle de schéma du processus de gestion des identités, des habilitations et des cartes CPS.

ECHANGES VILLE-HÔPITALMessagerie sécurisée régionale Portail de communication et outils collaboratifs

AUJOURD’HUI:Les échanges non sécurisés de données de santé ville-hôpital

Bureau de poste

Professionnels de

santé

httpshttps

httpshttps

DEMAIN: Les échanges sécurisés de données de santé ville-hôpital

Professionnels de

santéProfessionnels de

santé

Plateforme régionale


SOMMAIRE

La Plateforme Régionale

Constitution d’un Dossier H2012 en mars 2008Validé par Mme la Ministre le 10 octobre dernier.Une réserve émise: constitution d’un GCS

Préparation et présentation des statuts du GCS Titulaire des marchés de la future plateforme.Lancement des consultations dépend de sa date de création

Elaboration de la stratégie de mise en œuvre:Répondre rapidement aux besoins attendus

Stratégie de mise en œuvre

Construction: Trois paliers en deux EtapesLever les contraintes & Répondre aux besoins immédiats rapidement

Palier1: Services temporaires.Développer et mettre en service un portail provisoireMAPA: expérimentation d’une messagerie sécurisée

Sites pilotes: réseaux de soins : le + représentatif _ 6 mois

Palier2 & 3 Plateforme: Services à forte visibilité & Infrastructure d’intermédiation .

AO Ouvert avec maquettage pour choix de l’éditeur & intégration expérimentation après évaluation

21

Portail provisoire

Portail provisoire de communication : disponible février/mars 2009

Une partie publique : présentation de l’équipe, décrets …

22

Une partie privée : téléchargement de documents, cartographies régionales, espaces collaboratifs réseaux …

Portail provisoire

23

Exemple espace collaboratif (à l’étude )

Portail provisoire


SOMMAIRE

Expé

rimen

tatio

n

__TR1 2009__ __TR2 2009__ __TR3 2009__ __TR4 2009__ __TR1 2010

Portail Provisoire

Mapa Messagerie

Chantiers Juridique _ Economique _ Organisation _ Communication

Feuille de route au 23 janvier 2008

Messagerie- Portail Définitif-

AO: Plateforme régionale _ Choix - Spécifs

Conception

Consultations

Mise en Oeuvre

Hébergement

Portail

Hébergement définitif

Annuaire Régional - SSO

Dépl

oiem

ent

Déve

lopp

eme

Messagerie- sécurisée

Chantier Infrastructure technique

Prép

arat

oire

Mission d’accompagnement : Etat des Lieux

OctobreInauguratio

nMessagerie

Portail Définitif

Spéciffs

Evènements à court terme à retenir

Portail Provisoire: * Fevrier- Mars Mise en ligne

Messagerie securisee* Fevrier: Publication MAPA

* Mai_Octobre 2009: Experimentation* Octobre 2009: Inauguration

Politique de securite * La region est candidate a la

pre-generalisation

MERCI DE VOTRE ATTENTION

QUESTIONS/REPONSES

La sécurité est l’affaire des informaticiens »

Politique de sécuritéLES 7 FONDEMENTS

Politique de sécurité cadre

Déclinaisons opérationnelles

Chartes (notamment charte utilisateurs)

Bonnes pratiques

Procédures

Règles techniques

Sensibilisation

« Notre entreprise est un espace de confiance »

« La sécurité, c’est des verrous partout, qui coûtent chers et empêchent la productivité »

« ROI et sécurité ? Deux lignes parallèles qui se rencontreront sans doute à l’infini… »

« Notre entreprise est sécurisée à 100 %, nous avons un excellent RSSI »« Notre entreprise est sécurisée à 100 %, nous avons un firewall ! »« La sécurité, c’est Big Brother : ils passent leur temps à surveiller les sites qu’on visite »

« Il suffit d’acheter des produits à des vendeurs compétents »

« Cette solution règle tous vos problèmes de sécurité, 0 administration ! »

Politique de sécurité cadre

Déclinaisons opérationnelles

Chartes (notamment charte utilisateurs)

Bonnes pratiques

Procédures

Règles techniques

Sensibilisation

Les idées reçues sur la sécurité

La sécurité est l’affaire des informaticiens »

« Notre entreprise est un espace de confiance »

« La sécurité, c’est des verrous partout, qui coûtent chers et empêchent la productivité »

« De toute façon, depuis l’avènement de l’Internet, il n’y a plus de sécurité possible »

« ROI et sécurité ? Deux lignes parallèles qui se rencontreront sans doute à l’infini… »

« Notre entreprise est sécurisée à 100 %, nous avons un excellent RSSI »

« Notre entreprise est sécurisée à 100 %, nous avons un firewall ! »

« La sécurité, c’est Big Brother : ils passent leur temps à surveiller les sites qu’on visite »

« Il suffit d’acheter des produits à des vendeurs compétents »

« Cette solution règle tous vos problèmes de sécurité, 0 administration ! »

Les idées reçues sur la sécurité

Documents

Décret Confidentialité Politique de Sécurité Région Poitou-Charentes CH Niort 23 janvier 2009