Upload
caia
View
21
Download
0
Embed Size (px)
DESCRIPTION
Décret Confidentialité Politique de Sécurité Région Poitou-Charentes CH Niort 23 janvier 2009. Equipe Régionale d’Accompagnement ERA: Lise Mary; Denis Maïques ; Nicolas Barbot. SOMMAIRE. Contexte & actions Régionales Niveaux de maturité des SIE dans le cadre du décret de confidentialité - PowerPoint PPT Presentation
Citation preview
Décret Confidentialité Politique de Sécurité
Région Poitou-Charentes CH Niort 23 janvier 2009
Equipe Régionale d’AccompagnementERA: Lise Mary; Denis Maïques; Nicolas Barbot
Contexte & actions RégionalesNiveaux de maturité des SIE dans le cadre du décret de confidentialitéApports, Besoins et propositionsPlateforme régionale Feuille de route 2009
SOMMAIRE
CONVERGENCE DES ORIENTATIONS NATIONALES & RÉGIONALES
Orientations nationales: Mise en conformité des SIE avec le décret de confidentialité -15 Mai 2007-Orientations régionales du volet SI du SROS3: inscrites dans le plan d’action régional en matière:
d’infrastructure = Mise en œuvre d’ une plateforme régionale d’accompagnement = la création d’une équipe régionale (ERA)
Mission d’ Assistance à Maîtrise d‘OuvrAge auprès des établissements de santé, qui porte sur les axes de progrès suivants :
₋ Identification des professionnels de santé₋ Fiabilisation de l’identification du patient₋ Echanges sécurisés avec tous les acteurs de santé₋ La politique de sécurité
MISSION D’ACCOMPAGNEMENT Mise en conformité des SI des établissements de la région avec le décret de confidentialité:
Le champ d’application concerne la mise en œuvre :
D’une politique de sécurité et de confidentialité .
Des référentiels de sécurité relatifs à la confidentialité des données médicales.De la sécurisation des accès avec la CPS et de l’organisation de sa gestion . D’un annuaire unique d’établissement (référentiel des personnes) et de l’organisation de la gestion des identités et des habilitations.D’une conduite du changement :
₋ Sensibilisation à la confidentialité (Politique de sécurité, charte, RSSI, responsabilité pénale, protocole de confidentialité…).
₋ Repenser l’organisation: Modélisation des processus cibles & guide d’élaboration de document
4
SYNTHÈSE DES TRAVAUX RÉALISÉS
Mars à juillet 08 Mars à juillet 08 : Plateforme régionale Préparation : Cahiers des charges, dossier H2012; constitution équipe…
Aout à ce jour Aout à ce jour : Accompagnement décret confidentialitéEtude & Organisation du plan projet
Développement d’outils spécifiques pour l’équipe (BD, Intranet, agenda.)
Enquête Flash à tous les établissements. Fin aout Niveau de maturité des SI / décret : = 5 niveaux identifiés
1er Etat des lieux : 14 Etablissements de santé Rencontre de l’équipe avec les acteurs concernés dans les établissementsInterview sur site à partir d’un questionnaire support.Recensement des besoins d’ AMOA
Dossiers H2012 : « Informatisation sécurisée de la production de soins: solution mutualisée en infogérance » 5 ou 7 Hôpitaux locaux
Stratégie de mise en œuvre de la plateforme régionale
Contexte & actions RégionalesNiveaux de maturité des SIE dans le cadre du décret de confidentialitéApports, Besoins et propositionsPlateforme régionale Feuille de route 2009
SOMMAIRE
7
Enquête Flash / Niveau de maturité des SI
Enquête flash réalisée en août 2008 :52 réponses sur 71 établissements
Panel des réponses : 27 publics / 25 privés
8
Découpage macro en 5 niveaux de maturité suivant critères pondérés (orientés décret de confidentialité)
Etablissements par niveaux :
Les niveaux 1,2,3 nécessiteront un accompagnement plus soutenu
Production de Soins informatisée 160Interfaces 160Annuaire active directory 160GAM informatisée 30Serveur d’Identité 30Cellule d'identito-vigilance 30Serveur DNS 30Acces internet 30Messagerie 30Politique de sécurité formalisée 10Schéma Directeur Informatique 5Volet SI dans le projet d'établissement 5
Enquête Flash / Niveau de maturité des SI
9
Enquête Flash / Niveau de maturité des SI
Quelques exemples dans le détail :Production de soins informatisée
Interfaces entre dossier de soins et serveur d’identité
Annuaire active directory
10
Etat des lieux sur site
Etat des lieux dans les établissements : Orienté décret de confidentialité et Accès plateforme régionale
Au 23 janvier : 14 établissements publics visités
Quelques résultats: (échantillon de 14 établissements visités)
(*) Sécurité logicielle minimum : Pare feu + Proxy + Antivirus + Antispam
11
Niveau organisationnel : (échantillon de 14 établissements visités)
Gestion de l’authentification
Gestion optimisée des processus mouvements du personnel pour authentification CPS
Etat des lieux sur site
Contexte & actions RégionalesNiveaux de maturité des SIE dans le cadre du décret de confidentialitéApports, Besoins et propositionsPlateforme régionale Feuille de route 2009
SOMMAIRE
Les Apports de l’état des lieux
Pour l’équipe
Une cartographie régionale des SIE.Prise de contact avec les établissements.Connaissance des besoins échanges ville-Hôpital
Pour les établissements visités
Sensibilisation au décret de confidentialité.Des livrables (cartographies, processus….)Prise de contact avec l’équipe Régionale
Besoins recensés dans le cadre du décret de confidentialité
Informatisation de la Production de soins.
Echanges sécurisés des flux ville-Hôpital.
SSO (Single Sign On= Authentification unique)
Sensibilisation des acteurs de santé à la confidentialité (conduite du changement).
AMOA dans les projets PSSI (politique de sécurité du système d’information).
Propositions de l’équipe régionale et livrables
DECRET DE CONFIDENTIALITE
Un RSSI régional ou mutualisé par plusieurs établissements Une PSSI régionale, Prestation AMOA - animationAide à la constitution d’un dossier H2012 dans le cadre d’une mutualisation pour une mise en conformité du SIE avec le décret de confidentialité.Modèle de charte et d’engagement des utilisateurs.Modèle de schéma du processus de gestion des identités, des habilitations et des cartes CPS.
ECHANGES VILLE-HÔPITALMessagerie sécurisée régionale Portail de communication et outils collaboratifs
AUJOURD’HUI:Les échanges non sécurisés de données de santé ville-hôpital
Bureau de poste
Professionnels de
santé
httpshttps
httpshttps
DEMAIN: Les échanges sécurisés de données de santé ville-hôpital
Professionnels de
santéProfessionnels de
santé
Plateforme régionale
Contexte & actions RégionalesNiveaux de maturité des SIE dans le cadre du décret de confidentialitéApports, Besoins et propositionsPlateforme régionale Feuille de route 2009
SOMMAIRE
La Plateforme Régionale
Constitution d’un Dossier H2012 en mars 2008Validé par Mme la Ministre le 10 octobre dernier.Une réserve émise: constitution d’un GCS
Préparation et présentation des statuts du GCS Titulaire des marchés de la future plateforme.Lancement des consultations dépend de sa date de création
Elaboration de la stratégie de mise en œuvre:Répondre rapidement aux besoins attendus
Stratégie de mise en œuvre
Construction: Trois paliers en deux EtapesLever les contraintes & Répondre aux besoins immédiats rapidement
Palier1: Services temporaires.Développer et mettre en service un portail provisoireMAPA: expérimentation d’une messagerie sécurisée
Sites pilotes: réseaux de soins : le + représentatif _ 6 mois
Palier2 & 3 Plateforme: Services à forte visibilité & Infrastructure d’intermédiation .
AO Ouvert avec maquettage pour choix de l’éditeur & intégration expérimentation après évaluation
21
Portail provisoire
Portail provisoire de communication : disponible février/mars 2009
Une partie publique : présentation de l’équipe, décrets …
22
Une partie privée : téléchargement de documents, cartographies régionales, espaces collaboratifs réseaux …
Portail provisoire
23
Exemple espace collaboratif (à l’étude )
Portail provisoire
Contexte & actions RégionalesNiveaux de maturité des SIE dans le cadre du décret de confidentialitéApports, Besoins et propositionsPlateforme régionale Feuille de route 2009
SOMMAIRE
Expé
rimen
tatio
n
__TR1 2009__ __TR2 2009__ __TR3 2009__ __TR4 2009__ __TR1 2010
Portail Provisoire
Mapa Messagerie
Chantiers Juridique _ Economique _ Organisation _ Communication
Feuille de route au 23 janvier 2008
Messagerie- Portail Définitif-
AO: Plateforme régionale _ Choix - Spécifs
Conception
Consultations
Mise en Oeuvre
Hébergement
Portail
Hébergement définitif
Annuaire Régional - SSO
Dépl
oiem
ent
Déve
lopp
eme
Messagerie- sécurisée
Chantier Infrastructure technique
Prép
arat
oire
Mission d’accompagnement : Etat des Lieux
OctobreInauguratio
nMessagerie
Portail Définitif
Spéciffs
Evènements à court terme à retenir
Portail Provisoire: * Fevrier- Mars Mise en ligne
Messagerie securisee* Fevrier: Publication MAPA
* Mai_Octobre 2009: Experimentation* Octobre 2009: Inauguration
Politique de securite * La region est candidate a la
pre-generalisation
MERCI DE VOTRE ATTENTION
QUESTIONS/REPONSES
La sécurité est l’affaire des informaticiens »
Politique de sécuritéLES 7 FONDEMENTS
Politique de sécurité cadre
Déclinaisons opérationnelles
Chartes (notamment charte utilisateurs)
Bonnes pratiques
Procédures
Règles techniques
Sensibilisation
« Notre entreprise est un espace de confiance »
« La sécurité, c’est des verrous partout, qui coûtent chers et empêchent la productivité »
« ROI et sécurité ? Deux lignes parallèles qui se rencontreront sans doute à l’infini… »
« Notre entreprise est sécurisée à 100 %, nous avons un excellent RSSI »« Notre entreprise est sécurisée à 100 %, nous avons un firewall ! »« La sécurité, c’est Big Brother : ils passent leur temps à surveiller les sites qu’on visite »
« Il suffit d’acheter des produits à des vendeurs compétents »
« Cette solution règle tous vos problèmes de sécurité, 0 administration ! »
Politique de sécurité cadre
Déclinaisons opérationnelles
Chartes (notamment charte utilisateurs)
Bonnes pratiques
Procédures
Règles techniques
Sensibilisation
Les idées reçues sur la sécurité
La sécurité est l’affaire des informaticiens »
« Notre entreprise est un espace de confiance »
« La sécurité, c’est des verrous partout, qui coûtent chers et empêchent la productivité »
« De toute façon, depuis l’avènement de l’Internet, il n’y a plus de sécurité possible »
« ROI et sécurité ? Deux lignes parallèles qui se rencontreront sans doute à l’infini… »
« Notre entreprise est sécurisée à 100 %, nous avons un excellent RSSI »
« Notre entreprise est sécurisée à 100 %, nous avons un firewall ! »
« La sécurité, c’est Big Brother : ils passent leur temps à surveiller les sites qu’on visite »
« Il suffit d’acheter des produits à des vendeurs compétents »
« Cette solution règle tous vos problèmes de sécurité, 0 administration ! »
Les idées reçues sur la sécurité