Embed Size (px)
DESCRIPTION
Protection des données .... sécurité de l'information. A lire pour faire son miel d'expériences variées ... d'IBM aux Laboratoires Pierre Fabre, de la HAS à la Française des Jeux. Des similitudes et des différences !
Citation preview
Au fond est-ce bien nécessaire ?Une revue de plus n’est-ce pas unerevue de trop ? Editée par uneentreprise le doute est permis … !
Ces questions nous nous les som-mes posées. Ami lecteur, nousvous livrons nos réflexions et vouslaissons juge.
Sur le fond !Les uns et les autres nous apparte-nons à la même communauté,celle de la santé, et plus précisé-ment, à la recherche clinique etépidémiologique. Dans ce domaine spécifique, ilexiste peu de publications franco-phones s’exprimant sur le sujet.
Aussi, nous tenterons au travers denotre publication semestrielle«QM INITIATIVES» d’aborder lesdifférentes facettes de notremétier de manière thématique ethors des sentiers battus. Dans ce
premier numéro, nous avons fait lechoix de vous parler de la protec-tion des données et de la sécuritéde l’information. Que vient faire laFrançaise des jeux dans cecontexte, nous direz-vous ? Apriori rien si ce n’est que cetteentité traite, tout comme nous, demillions de données et partagepour la plupart les mêmes interro-gations. Voilà donc un exemplehors champ permettant de nourrirun sujet fondamental nous concer-nant. Cette démarche, que noussouhaitons originale n’a pas d’au-tre objectif que de vous informer,avec un éclairage différent, sur lesaspects de notre métier. L’autreaspect, purement promotionnel,celui-ci, étant concentré en pagecentrale de notre revue.
Sur la forme !Lassés, tout comme vous sansdoute, par l’avalanche de mailsquotidiens réceptionnés dans nosboites électroniques, nous n’avonspas voulu reproduire ce mêmeschéma et avons opté pour unepublication papier de qualité qui,nous l’espérons, trouvera votreadhésion à … INITIATIVES !
> édito
Repères & Perspectives en Recherche Clinique novembre 2008 numéro 1
Sommaire
U n e p u b l i c a t i o n d u G r o u p e Q u a n t a M e d i c a l
> Nom de code : ISO 27001 . . . . . . . . . . . . . . . . . . . . . . . . . . 2
> Les pionniers de l’ISO 27001 : la culture de la maîtrise du risque . . . . . . . . . . . . . 4
• Logica Management Consulting . . . . . . . . . 4Thierry Jardin• IBM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5Gérard Grelou• Experian Cheetahmail . . . . . . . . . . . . . . . . . . . . . . . . . . 5Gérald Duda
> Les certifications ISO 27001 à venir : Le calme avant la tempête . . . . . . . . . . . . . . . . . . . . . . . . . 6
• La Française des Jeux . . . . . . . . . . . . . . . . . . . . . . . . . . 6
> L’ISO 27001 et les enjeux du monde médical . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
• La HAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7Antoine Vigneron
• Interview Laboratoires Pierre Fabre . . . . . 8Stéphanie Buscayret• Incontournable 21 CFR part 11 ! . . . . . . . . 8
> VRAI/FAUX ISO 27001 : Les points sur les i . . . . . . . . . . . . . . . . . 9
> Le péril vient de l’intérieur . . . . . . . . . . . . . . . . . . . . . . . . . 10
• Alexandre Fernandez-Toro . . . . . . . . . . . . . . . . . . . 11• L’analyse de risque, un gros mot . . . . . . . . . 11• Lexique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
> Sécurité des données personnelles : Tous concernés ! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
• Données médicales protégées ? . . . . . . . . . . . 10Dr Jean-Jacques Fraslin - FULMEDICO
Dr Othar Zourabichvili
Vous avez déjà sauvegardé vosdonnées ? La question de leur tra-çabilité, de la confidentialité de vosprojets, de la vigilance de vos colla-borateurs vous concerne… ? Sansl’avoir nommée, la norme ISO27001 est déjà au centre de vospréoccupations. Parce qu’il est pluslucratif aujourd’hui de voler desdonnées que de la marchandise, laprotection des informations d’uneentreprise, ses échanges avec l’ex-térieur et ses partenaires est devenuun enjeu stratégique. En réponse àcette préoccupation grandissante,ISO 27001 se définit comme leréférentiel de sécurité de l’informa-tion en tous points de la planète.Une sorte d’assurance qualitécontre dysfonctionnements et mal-veillances. Une vitrine. Et un lan-gage commun. Mais surtout unesprit et des valeurs souvent déjàbien ancrés dans l’entreprise. Pourl’instant cantonnée au monde del’informatique et dans les secteurssensibles, cette certification couvreun large spectre de métiers et decompétences, d’où l’explosionannoncée des demandes sous lapression du marché d’ici quelques
années. Une certitude partagée parles certificateurs comme les consul-tants en sécurité, qui se préparent àrenforcer leurs effectifs à cetteoccasion. Un adage rebattu – voire gal-vaudé – mais si vrailorsqu’on évoque ISO27001 : «la sécuritéest l’affaire detous».
Vol d’infor-m a t i o n sinternes àl’entreprise,usurpationd’identité,intrus ions,mise HorsService de sys-tème de res-source informati-que, site internetinaccessible… Quandon pense «sécurité de l’in-formation» on visualise aussitôtpirates et autres chevaux de Troie.Très médiatisés, ils masquent sou-vent un problème au moins aussipréoccupant : la préservation des
actifs d’information, du capitalinformationnel, des biens sensibles.Mais in fine, l’objectif de la sécuritéinformatique est d’éviter l’erreur.Tout simplement parce que si les
systèmes techniques fontstricto sensus ce qu’on
exige d’eux, l’utili-sateur humain
n’est lui pas àl’abri de
l’erreur. Len i v e a ude sécu-r i t éd ’ u nsystèmeest celuide son
maillon leplus faible
: l’homme /l’utilisateur, le
plus difficile àmaîtriser, celui
qu’on ne peut contrain-dre par la force ou la techni-
que. Il faut donc travailler sur ce quiest l’essence même du succès de lasécurité de l’information en entre-prise : la sensibilisation aux enjeux,
à l’impact des actions de chaquecollaborateur au quotidien et ceque cela peut générer quant auxretombées positives ou négativesau niveau du groupe. C’est un pro-cessus au long cours, une éduca-tion, une «évangélisation» de l’en-semble des populations utilisatricesdu système d’information auxenjeux et aux contraintes : pourune prise de conscience collective.
ISO 27001 couvre tous les aspectsliés aux échanges d’informations :depuis les données informatiquesjusqu’aux conversations, y comprisla sécurité du périmètre physiqueau sein de l’entreprise. Elle vise àassurer la pérennité de l’activité del’entreprise dans toutes les circons-tances : incendie, intempéries,hacking, perte de données… Maisaussi pallier la défaillance humaine.D’une analyse de risque fine, danssa globalité, organisationnelle ettechnique découle la mise en placede mesures de sécurité adaptéesaux besoins de l’organisation, adé-quates, proportionnées.
>C
rédi
tph
oto
:Reb
elD
esig
npr
ojec
t
De quoi parle-t-on ?
La norme ISO 27001 (octobre2005) fondée sur les référentielsBS7799-2:2002 et ISO 17799)aboutit à une certification. Elle spé-cifie les exigences concernant unSystème de Management de laSécurité de l’Information.
Les six grands principes de l’ISO27001 :
• la maîtrise de la confidentialité,l’intégrité et la disponibilité del’information
• la conformité aux exigenceslégales, réglementaires etcontractuelles
• l’amélioration du managementCorporate et la confiance donnéeaux partenaires
• l’identification des menaces,grâce à une analyse des risques
• la mise en place de politiques desécurité visant à réduire cesmenaces
• la création d’un Comité deSécurité composé des membresde la Direction et du ResponsableSécurité
ISO 27 … 001,résonne tel un nom de
code bien connu. En effet,un parallèle avec l’agentBond 007 est tout à fait
bienvenu. Car la sécuritéde l’information gravite
dans la dimension dusecret-défense, de l’intelli-
gence économique, et lacertification internationaleISO 27001, nec plus ultra
de la sécurité du patri-moine informationnel
d’une entreprise, s’imposedésormais comme le gold
standard.
3
Nom de code : ISO 27001
INITIATIVES QM - novembre 2008
Les pionniersde l’ISO 27001 :
la culture de la maîtrise du risque
Qui dit confiance dit business. Si les rares pionniers français de
la certification ISO 27001 a avoirfranchi le pas se comptent sur lesdoigts des deux mains, obtenir la
certification est avant tout unehistoire de compétitivité, un label
d’exception pour une image demarque qui, en un sigle, prouve
sérieux, bonnes pratiques enmatière de sécurité de
l’information et engagement d’amélioration continue.
En France, Bureau Veritas entreautres, a déjà certifié neuf entre-
prises (ex- Emailing Solution dugroupe ADISTAR, IBM France,
IBM private India limited, IBM ITD France, KDDI France,
Reunisolidarité). Répondre à desimpératifs légaux et règlementai-res, aux appels d’offres ou pren-
dre du recul sur des mesures déjàinstaurées… les motivations sont
diverses mais au final elles serejoignent sur un point : revendi-quer aux yeux de tous son degréde conscience vis-à-vis de la maî-
trise des risques. C’est aussi l’in-tention de devenir le meilleur
élève du secteur, une valeurd’exemplarité. L’environnement
mondialisé se chargera deconvaincre les autres.
5INITIATIVES QM - novembre 2008
(cf International register of ISMS certificates http://www.iso27001certificates.com/) (Version 14 September2008) Number of Certificates Per Country© ISMS International User Group 2001-2005
La France à la traîne.En septembre 2008, 4803 certificats ont été délivrés dans le monde
ISO 27001 apporte unenouvelle dimension, celledes risques «métier»
Le 31 octobre 2007 dernier, la DivisionInfogérance IBM France a reçu, aprèsun peu plus d’un an de travail les certi-fications ISO/IEC 20 000 : 2005 etISO/IEC 27001 : 2005.
«Notre division gère l’ensemble duSystème d’Information de plusieursclients au sein d’IBM. Nous avions déjàla «culture ISO». A partir de la normeISO 9001 – socle du système de qualitéd’une entreprise – nous souhaitionsaller plus loin dans les certifications«métier» avec l’ISO 27001. Ceci pourse mettre en adéquation avec le marché
qui requiert des règles communes etreconnues par l’ensemble des acteursdu domaine de l’information. ISO27001 est aussi le complément enmatière de sécurité de la norme ISO 20000. Elle intègre dans une notion departage, toutes les instances de sécuritédans un management lié au service del’information technologique. Mais laréelle plus-value de la 27001, c’estl’adéquation entre le client «proprié-taire des données» qui réalise sa propreanalyse de risque, et IBM, prestatairequi gère le contenu et qui adapte enface de chaque risque identifié et cha-que problématique métier, une infra-structure adaptée.»IBM sera audité en novembre 08 parBureau Veritas afin de renouveler cettecertification.
Gérard Grelou, responsable qualité et processus de la Division
Infogérance d’IBM France
L’exemple d’IBM :
«Si bien sûr le fait d’être premier àdécrocher cette certification presti-gieuse à été l’un des moteurs de notremotivation, nous avons avant tout sou-haité être certifié ISO 27001 car notremétier concerne des transferts de don-nées informatisées, soit 90% de l’infor-mation aujourd’hui. Il était donc pri-mordial de se faire certifier pour l’inté-rêt et la confiance de nos clients. EtreISO 27001 témoigne également de nosvaleurs : notre culture du respect dutravail de chacun et de la sécurité phy-sique de tous. Ces règles aident aussi àfédérer l’entreprise. Au point que l’ex-pression «Etre ISO», fait partie du lan-gage courant ici. La technique était lepoint de départ de notre volonté decertification. Car l’ISO 27001 est unenorme touche à tout, abordant à la foisla sécurité virtuelle et concrète, telle lasécurité des personnes. La techniquen’est qu’une infime partie de la 27001.Nous avons dû apprendre et nousadapter. Si la certification des processde sécurité déjà existants était plus uneformalité, en revanche, elle a nécessitéde gros efforts de pédagogie pourmobiliser les collaborateurs qui se sontengagés personnellement. Plus un seulfaux-pas ! La technique ne veut pas bri-der les collaborateurs. Chaque service aété formé en fonction de ses contrain-tes «métier», et chacun est sommé defaire remonter régulièrement les diffi-cultés – techniques ou autres – rencon-trées».Experian Cheetahmail est en coursd’audit pour renouveler sa certification.
Gérald Duda,responsable informatique chez Experian Cheetahmail
(Roubaix), expert mondial de l’email marketing*
“Pour être les premiers !”
* (e
x- E
mai
ling
Solu
tion
du
grou
pe A
DIS
TAR
) a
été
la p
rem
ière
PM
E fr
ança
ise
à êt
re c
erti
fiée
ISO
270
01
par la pression internationale
«La norme ISO 27001 s’imposera àterme en France comme c’est déjà lecas dans le monde. Cette exceptionfrançaise ne devrait plus durer long-temps du fait de la mondialisation deséchanges. Le nombre de certifiés, unedizaine, équivaut à des pays bien pluspetits comme Singapour ou lesPhilippines, et est dix voire vingt foisplus faible que certains de nos voisins(108 certifiés en Allemagne, 368 auRoyaume-Uni). Nous évoluerons plussous la contrainte de l’international quepoussés par une volonté propre. Parexemple, le groupe BP impose d’ores etdéjà à tous ses fournisseurs d’être certi-fiés ISO 27001. Les pays émergents ontbeaucoup de certifiés (Inde : 426),notamment parce qu’ils regroupent denombreux prestataires de services.Lorsqu’une société externalise un cer-tain nombre de fonctions, l’obligationde protection de l’information subsiste.Or il lui revient de garantir ce mêmeniveau de protection chez ses prestatai-
res. Elles ont pour cela la possibilitéd’exiger la certification ISO 27001 afinde connaître ce niveau de protection.Par ailleurs, afin d’obtenir des agré-ments sectoriels, à terme, il faudra pas-ser par la mise en place de certificationISO 27001. La plupart des ministères enFrance ont – dans le cadre de leurschéma directeur – la volonté de mettreen place un SMSI. C’est une volonté dumonde gouvernemental de s’aligner surl’état de l’art pour une bonne gouver-nance en sécurité. La démarche proac-tive de certaines entreprises, qui antici-pent le besoin du fait d’un secteur d’ac-tivité sensible ou parce que descontraintes règlementaires s’imposent,tire le marché vers le haut. Si l’explosiondu nombre de certifiés tarde c’est queles sociétés attendent les retours d’ex-périence. Beaucoup sont dans une posi-tion attentiste. Plusieurs entreprisesphare chacune dans leur secteur sontsur le point de se faire auditer etdevraient contribuer à booster lesdemandes de certification au début de2009.»
Thierry Jardin,Associé, IT Security & Risk Management
(Logica Management Consulting)
La France poussée
Japan . . . . . . . . . . . . . . . . 2770 India . . . . . . . . . . . . . . . . . . . . 426UK . . . . . . . . . . . . . . . . . . . . . . . 368Taiwan . . . . . . . . . . . . . . . . 183China . . . . . . . . . . . . . . . . . . 161Germany . . . . . . . . . . . . . 108
USA . . . . . . . . . . . . . . . . . . . . . . . 77Hungary . . . . . . . . . . . . . . . . 74Czech Republic . . . . . . 66Korea . . . . . . . . . . . . . . . . . . . . 58Italy . . . . . . . . . . . . . . . . . . . . . . . 54Poland . . . . . . . . . . . . . . . . . . . 34
Hong Kong . . . . . . . . . . . 30Australia . . . . . . . . . . . . . . . . 28Ireland . . . . . . . . . . . . . . . . . . . 26Malaysia . . . . . . . . . . . . . . . . 26Spain . . . . . . . . . . . . . . . . . . . . . 25Austria . . . . . . . . . . . . . . . . . . . 21
Brazil . . . . . . . . . . . . . . . . . . . . . 20Romania . . . . . . . . . . . . . . . . 16Turkey . . . . . . . . . . . . . . . . . . . 15UAE . . . . . . . . . . . . . . . . . . . . . . . 14Thailand . . . . . . . . . . . . . . . . 13Iceland . . . . . . . . . . . . . . . . . . 11
Netherlands . . . . . . . . . . . 11Singapore . . . . . . . . . . . . . . 11France . . . . . . . . . . . . . . . . . . . 10 Philippines . . . . . . . . . . . . . 10 Saudi Arabia . . . . . . . . . . 10Pakistan . . . . . . . . . . . . . . . . . 10
Russian Federation . . . . . . . . . . . . . 10Mexico . . . . . . . . . . . . . . . . . . . . 8Colombia . . . . . . . . . . . . . . . . . 7Sweden . . . . . . . . . . . . . . . . . . . . 7Slovakia . . . . . . . . . . . . . . . . . . . 6
Slovenia . . . . . . . . . . . . . . . . . . . 6Greece . . . . . . . . . . . . . . . . . . . . . 5South Africa . . . . . . . . . . . . 5Bahrain . . . . . . . . . . . . . . . . . . . . 4Kuwait . . . . . . . . . . . . . . . . . . . . . 4Norway . . . . . . . . . . . . . . . . . . . 4
Sri Lanka . . . . . . . . . . . . . . . . . 4Switzerland . . . . . . . . . . . . . . 4Canada . . . . . . . . . . . . . . . . . . . . 3Chile . . . . . . . . . . . . . . . . . . . . . . . . 3Croatia . . . . . . . . . . . . . . . . . . . . 3Indonesia . . . . . . . . . . . . . . . . . 3
Macau . . . . . . . . . . . . . . . . . . . . . 3Peru . . . . . . . . . . . . . . . . . . . . . . . . 3Portugal . . . . . . . . . . . . . . . . . . 3Vietnam . . . . . . . . . . . . . . . . . . 3 Bulgaria . . . . . . . . . . . . . . . . . . . 2Gibraltar . . . . . . . . . . . . . . . . . . 2
Isle of Man . . . . . . . . . . . . . . 2 Morocco . . . . . . . . . . . . . . . . . . 2 Oman . . . . . . . . . . . . . . . . . . . . . . 2 Qatar . . . . . . . . . . . . . . . . . . . . . . 2 Yemen . . . . . . . . . . . . . . . . . . . . . 2 Armenia . . . . . . . . . . . . . . . . . . 1
Bangladesh . . . . . . . . . . . . . . 1 Belgium . . . . . . . . . . . . . . . . . . . 1 Egypt . . . . . . . . . . . . . . . . . . . . . . . 1 Iran . . . . . . . . . . . . . . . . . . . . . . . . . 1 Kazakhstan . . . . . . . . . . . . . . 1 Kyrgyzstan . . . . . . . . . . . . . . 1
Lebanon . . . . . . . . . . . . . . . . . . 1 Lithuania . . . . . . . . . . . . . . . . . 1 Luxembourg . . . . . . . . . . . . 1 Macedonia . . . . . . . . . . . . . . 1 Moldova . . . . . . . . . . . . . . . . . . 1 New Zealand . . . . . . . . . . . 1
Ukraine . . . . . . . . . . . . . . . . . . . 1 Uruguay . . . . . . . . . . . . . . . . . . 1
Absolute Total. . . . 4803
Les certifications ISO 27001 à venir :
Le calme avant la tempête
Parce que la France fonctionneselon le mode de l’urgence, elle est
plutôt en retard dans les certifica-tions, avec à peine plus d’une
dizaine d’ISO 27001.
Un poids plume face au Japon,recordman du domaine du fait
d’une culture du processus et de laformalisation et à d’autres pays,
plus matures comme les pays anglo-saxons et du Commonwealth
en général. Sur les 5797 certifications
ISO 27001 dans 64 pays* le Japonen totalise à lui seul 3 790.
Pour un client déjà certifié ISO9001, obtenir la certification ISO27001 est relativement aisé, car
l’entreprise a déjà la tournure d’es-prit, l’approche «processus». Sinon
le virage culturel promet d’être serréavec parfois une réduction du péri-mètre d’action. Selon Jean-François
Labrosse, directeur commercialFrance (Bureau Veritas) «entre 7 et
10% des sociétés certifiées ISO9000 sont susceptibles d’être inté-ressées par l’ISO 27001. La normeISO 27001 est un produit généra-liste par excellence. Notre a priori
était qu’elle intéresserait en prioritéles SSII et le secteur bancaire.
7INITIATIVES QM - novembre 2008
se met à l’ISO 27001
Euromillions implique dix loteries euro-péennes au sein de neuf pays. Lors desa mise en route, il y a quatre ans, l’exi-gence de répondre à des normes dequalité et de sécurité régulièrementrevisitées a été adoptée, notamment auréférentiel international des jeux deloterie de la World Lotery Association(WLA). D’ici à la fin de l’année, dans lecadre du renouvellement des certifica-tions d’agrément d’Euromillions, au lieude s’en satisfaire la Française des Jeux(FDJ) a préféré aller au-delà et de seconformer non seulement aux plus exi-geantes des standards WLA mais aussià la norme ISO 27001. C’est viser plushaut pour faire coup double : s’acquit-ter du renouvellement des certificatsEuromillions, répondre aux standardsWLA et dépasser le secteur du jeu en seconformant à la norme internationaleISO 27001. Objectif parallèle, pour laFDJ, la démarche ISO 27001 lui permetd’être cohérente avec sa politique de
développement durable puisqu’elleidentifie des indicateurs auditablestémoignant de ses orientations sociales,sociétales, économiques et environne-mentales. Enfin, dans le cadre de l’ou-verture du jeu en ligne sur Internet etde la réflexion de l’Etat sur le capital dela FDJ, l’entreprise se devait de dépas-ser ses normes sectorielles. C’est quasi-ment l’ensemble de l’entreprise (80%des processus incluant l’ensemble desactivités de loterie et tous ses sites) quisera certifié. Un vendredi 13 par exem-ple, le système reçoit jusqu’à milleconnexions seconde provenant desdétaillants. Les prises de jeux qui arri-vent dans le système informatique de laFDJ sont enregistrées à trois endroitsdifférents et sont scellés informatique-ment sous contrôle d’huissier. D’oùl’enjeu crucial de gérer les niveaux tech-niques et organisationnels pour ver-rouiller les processus liés aux informa-tions de saisie et de sécurisation desdonnées. La FDJ parie sur le gros lot27001 d’ici à la fin de l’année 2008.
Euromillions
L’ISO 27001…
et les enjeux dumonde médical
Parce que la santé de l’hommeest entre leur main, plus que lesautres, entreprises et institutionsdu domaine de la santé n’ont pasle droit à l’erreur. La HauteAutorité de Santé (HAS) et lesLaboratoires Pierre Fabre s’expliquent.
En lien avec les ministères, lesagences sanitaires (Afssaps…), les établissements de santé, leslaboratoires pharmaceutiques etprès de quatre mille experts collaborateurs, la HAS a fait lechoix de mettre en œuvre unplan d’urbanisation du système d’information qui lui permetd’une part, une interopérabilitéoptimale avec les systèmes d’informations de ses partenaireset d’autre part de sécuriser lesflux d’informations. D’une informatique d’entreprise,la HAS est donc passée à des systèmes d’information d’entreprise étendue.
A tort !
Pour l’instant, les demandes émanent plu-tôt du secteur industriel ou des services,qui ont déjà la «mentalité ISO» et veulentse doter d’une composante sécurité desinformations. L’effet boule de neige ne se
fera pas attendre. La sécurité des informa-tions devient une préoccupation de plusen plus centrale pour nos entreprises enFrance et en Europe.»* Cf carte en page 5
classée confidentieldéfense
«Suite à l’audit en étroite collaborationavec la DCSSI rattachée au SGDN(Secrétariat Général de la DéfenseNationale) trois choix se sont imposés.Pour assurer la disponibilité perma-nente du Système d’Information et desservices associés, nous avons choisi leréférentiel de bonnes pratiques ITIL(Information Technology InfrastructureLibrary) qui prend en compte lesdimensions technique et sécuritaire.Pour le déploiement de chacun de nosprojets sensibles, nous recourrons à laméthode EBIOS. C’est le cas actuelle-ment pour le projet européenEunetHTA, pour celui de guichet uniquede l’ensemble des établissements desanté ainsi que pour celui de la mise enplace de l’Accréditation des Médecinsqui permet aux 35000 professionnelsde santé concernés en exercice de saisirdes évènements médicaux porteurs de
risques, afin d’agir en amont. Pourqu’ils se l’approprient et nous fassentconfiance, nous devons leur garantir laconfidentialité des informations trans-mises. Ce projet a été un succès : plu-sieurs milliers de professionnels ontdemandé leur accréditation et nousavons, pour cette réalisation reçu leGrand Prix des Trophées Entreprises etSociété de l’Information. Enfin,aujourd’hui, nous explorons les solu-tions qui permettent de mieux «ver-rouiller l’information», par exemplecrypter certaines données ou encorebloquer l’impression de documents. Lanorme ISO 27001 devrait nous y aider :nous avançons progressivement sur cesujet. Notre analyse sur l’impact dansles bonnes pratiques cliniques en estencore à ses débuts. Si les solutionstechniques existent, elles ne sont paspour autant suffisantes. D’où la prioritéque nous accordons au managementde la sécurité et plus spécifiquement aufacteur humain.»
Antoine Vigneron,DSI de la HAS, habilité confidentiel défense,
membre du CIGREF
La HAS,
Seule la sécurité des données informatisées est garantie !
L’ISO 27001 ne valide pas la mise enplace d’un simple logiciel mais «ver-rouille» bien l’information au senslarge : c’est une boîte à outils guidant
une démarche de l’ensemble desacteurs et des moyens technologi-ques de l’entreprise. Est visée toute
information orale, électronique, télé-phonique, écrite sur support papier,ainsi que tout échange d’informationau sein de l’entreprise mais aussi entrel’entreprise et ses partenaires.
C’est l’affaire de la direction informatique !
«La sécurité n’est pas à part, on se doitd’avoir une démarche intégrée», pré-cise Gérard Grelou, Monsieur Sécuritéd’IBM France. Pas d’amalgame ! pré-vient Thierry J a rd in ( Log i caManagement Consulting), «lanorme ISO 27001 concerne la sécuritéde l’information, et pas uniquement laprotection des systèmes d’informations.Elle assure au contraire la protection desdonnées des métiers de l’organisation.La nuance est de taille : ce qui estimportant c’est la donnée. Durée deconservation et niveau de confidentia-lité souhaité, contraintes règlemen-taires imposées… seuls les métierspeuvent y répondre. La direction infor-matique n’est là, qu’unprestataire de service.»
Toute société peut y prétendre !
Plutôt que l’obligation, c’est l’incitationet le marché qui convaincra les sociétésde s’engager dans ce processus.Sociétés commerciales, agences gou-vernementales, associations, ONG, dupublic comme du privé, l’ISO 27001s’applique à toute organisation indé-pendamment du type, de la taille ou desa nature d’activité. Elle est décernéepour trois ans. Entre un et deux anssont nécessaires à la certification, ausein d’un périmètre raisonnable, quipeut par la suite être étendu. Encorefaut-il convaincre la Direction de l’utilitéde tels efforts ! Le ROI (return on secu-rity investment) d’un SMSI est un ser-pent de mer. On en parle beau-coup mais on peine toujours à lecalculer, la prévention étant un investis-sement dont les retombées sont diffici-lement évaluables.
ISO 27001 : Les points sur les “i”
Quelles sont vos spécificités métierliées à la sécurisation de l’informa-tion, dans le R&D médicament etdermo-cosmétique ?
La spécificité des entreprises du médi-cament est de compter autant d’en-jeux de la sécurité de l’information quede spécificités métier. C’est la protec-tion des secrets de fabrication, descampagnes stratégiques et marketing,des résultats de recherche, la traçabi-lité des produits. L’enjeu principal estbien entendu le fait que notre produc-tion a un impact au final sur la santéhumaine. Nous avons encore moinsque les autres entreprises le droit àl’erreur.
Comment assurez-vous l’intégrité, laconfidentialité et la pérennité desdonnées ?
C’est le double sens de la sécurité del’information : protection vis à vis del’extérieur, préservation en interne. Parexemple, un chercheur a vocation àpublier au sein de sa communauté. Oùse place le curseur entre la sécurité etla confidentialité de l’information etles us et coutume de chacun ? C’est ladifficulté à leur faire comprendre cequi peut être diffusé via une revue pri-maire et ce qui doit rester secret pourdes raisons propres à l’entreprise. C’estd’autant plus ardu qu’au sein d’unlaboratoire pharmaceutique cohabi-tent divers populations de cultures dif-férentes. Notre challenge devant cettehétérogénéité de métiers est de sensi-biliser globalement aux intérêts dugroupe et de nos patients versus unbesoin légitime du partage de l’infor-
mation dans le cadre de chaquemétier. Et ce avec pédagogie, car lasécurité informatique ne peut plusavoir un rôle de sanction. Non expli-quée, elle va générer le renouvelle-ment à l’infini du même type de situa-tion. La pharmacovigilance illustre toutel’importance de la disponibilité sécuri-sée de l’information. En tant que pro-ducteur de médicament, nous devonsdonner accès à l’information sur nosproduits en temps réel, au moins autiers médicaux et aux autorités régle-mentaires. Son indisponibilité n’est pasadmissible au regard de l’impactpotentiel sur la santé.
Qu’apporte un SMSI dans les bonnespratiques cliniques ?
Le « droit de la preuve » est chez nousjuridico-règlementaire ; la premièrecible de conformité sont nos obligationsrèglementaires, et le métier du médica-ment se concentre sur trois points : lecontrôle d’accès, pour éviter les erreurshumaines, la gestion du changement etla traçabilité de l’information depuis sanaissance jusqu’à sa destruction (plusde vingt ans parfois) et ce quel que soitle support, papier, oral et informatique.Les normes ISO 27000 guide l’ensem-ble de nos travaux actuels de gouver-nance de nos systèmes d’information.Cependant le lancement d’un projetSMSI n’est pas dans un horizon à courtterme, vu la diversité de nos corpsmétier et la taille des laboratoires PierreFabre.
Stéphanie Buscayret,DSI des laboratoires Pierre Fabre
Interview
21 CFR part 11 !
La FDA, l’Afssaps, l’EMEA imposentdes guidelines, pour homogénéiserles réglementations. Le 21 CFR part11 est sûrement le référentiel de bon-nes pratiques pharmaceutiques appli-quées au système de l’information leplus incontournable parce que celuide la FDA. Il définit les critères selonlesquels les dossiers et signaturesélectroniques seront considéréscomme équivalents à des dossiers sursupport papier et des signaturesmanuscrites. Aujourd’hui, dans lemonde de la sécurité de l’information,on a besoin de parler un langage com-mun. Les normes 27000 sont des boî-tes à outils qui doivent permettre lasystématisation de meilleures prati-ques de sécurité imposées par lesréférentiels réglementaires pourensuite aller au-delà et appliquer unedémarche de sécurisation de l’infor-mation à l’ensemble de l’entreprise.L’échange d’information pour uneentreprise du médicament est vital, etdoit être normé.
Incontournable
FAUX
VRAI
Registre mondial SMSI: www.iso27001certificates.com/
Le propriétaire du référentiel estl’International Standard Organisation. L’AFNOR assure sa diffusion française : www.boutique.afnor.org
Bureau Veritas : www.bureauveritas.fr
Hervé Schauer Consultant :www.hsc.fr
Logica Management Consulting :www.logica.com/france/index.html
Ysosecure : http://www.ysosecure.com/
Liste des organismes certificateurs :www.xisec.com
pour en savoir plus …
9INITIATIVES QM - novembre 2008
FAUX
le péril vient de l’intérieur…
Chaque collaborateur d’une entre-prise partage la même clé d’accès à
ce précieux patrimoine qu’est l’in-formation. Un seul d’entre eux livrela clé et l’entreprise se retrouve en
danger. Et contrairement à uneidée reçue, les plus gros dégâts se
préparent en interne…
De nombreuses entreprises sontconfrontées à la divulgation d’in-
formations confidentielles, non pasparce que les dispositifs techniquesde protection n’existent pas, mais
parce que les règles ne sont pasrespectées, en général par igno-
rance ou par insouciance. Fournirun accès à internet à ses employésest par exemple une porte ouverteaux virus. Sans être techno-centri-que, de nombreuses parades exis-tent (filtres, accès à la Toile par un
poste déconnecté du réseau...).Mais sans conscience collective desenjeux de la sécurité, leur efficacité
est limitée. Car l’individu pèche leplus souvent par ignorance, incons-
cience des dangers. L’envoi dedocuments semi-confidentiels horsles murs de l’entreprise via un mail
ou leur stockage dans un coffre-fort en ligne n’a pas forcément audépart d’intention malveillante. Lerisque juridique est aussi bien pré-
sent lors du téléchargement delogiciels non autorisés, l’accès aux
sites défendus,
«Le talon d’Achille d’une entreprise,c’est l’homme, sans aucun doute. Lerisque humain est plus fréquemment liéà l’ignorance des bonnes pratiques desécurité informatique et de l’informa-tion en général, à l’absence deconscience des employés qu’à de lamalveillance pure.Sans oublier quel’«intérieur» est sou-vent externalisé(prestataires, sous-traitants). L’ISO 27001 obligeles dirigeants à com-muniquer auprès deleurs employés sur lasécurité. Car le per-sonnel est trop peusensibilisé à l’enjeude la sécurité, nesait pas commentdéclarer un incidentpar exemple.L’entreprise a, également, deux autresennemis : l’absence de maîtrise de l’in-frastructure et l’urgence.
Le danger peut provenir d’un individumalveillant mais c’est surtout la maîtrisetechnique et organisationnelle du sys-tème d’information qui fait défaut etqui accroît le risque humain. L’autreennemi c’est la vitesse. Trop souvent,en France, les responsables de la sécu-
rité sont en mode«réaction», rarementdans l’anticipation.On travaille dansl’urgence, parant auplus pressé. Du coup,lors des interventionson privilégie la miseen production rapidedes outils en sacri-fiant les questionsrelatives à l’infra-structure. C’est si peuefficace. La sécuriténe donne pas derésultat palpableimmédiat.
ISO 27001 oblige à prendre le temps etdu recul quant aux procédures en placeet aux outils nécessaires.»
“Le risque humain est prépondérant”
Un gros mot ?
Au début de l’informatique on proté-geait l’information sans vraiment savoircontre quoi. Sans savoir si ces mesuresétaient appropriées aux enjeux desmétiers. Aujourd’hui, a fortiori avecl’ISO 27001, l’analyse de risque n’estplus tabou.
Le principe de l’ISO 27001, c’est d’exi-ger une approche qui soit conforme àcette vision de la sécurité des informa-tions : identifier les risques, leur proba-bilité et leur impact, mettre en face desmesures adéquates, vérifier qu’ellesfonctionnement correctement, envisa-ger des actions correctives voire unemise à jour de cette analyse.L’appréciation de risque est une photo-graphie à l’instant T qu’il faut régulière-ment réitérer pour la maintenir à jour.Thierry Jardin (Logica ManagementConsulting) précise: «Notre approchede l’appréciation des risques repose sur
quatre critères (DICA) : disponibilité del’information, intégrité, confidentialitéet auditabilité (la traçabilité desactions). Tout est histoire de menta-lité». Jean-François Labrosse, directeurcommercial France, Bureau Veritasconfirme. «Viser l’ISO 27001 découled’une analyse des risques métier : l’ana-lyse de risque dépend du secteur d’acti-vité mais surtout de la construction dusystème informatique et de ses failles.Le risque environnemental prédomineparfois. Dans le secteur médical ce seraplutôt sécurité des fichiers patients.» L’entreprise et l’auditeur doivent seposer la question suivante : «Quelle estla sensibilité du secteur vis-à-vis desdonnées, informatiques entre autre,quelle est la gradation du risque opéra-tionnel ?» Sans une analyse des risquesspécifiques, «métier» à l’entreprise,aucun travail ne peut plus raisonnable-ment être entrepris.
L’analyse de risque...
Alexandre Fernandez-Toro,auteur du premier livre français dédié aux SMSI*,dirige les activités ISO 27001 d'HSC, cabinet deconseil en sécurité des systèmes d'information,auditeur de certification, ancien professeur associéà l'Université, ingénieur CNAM
* “Management de la sécurité de l'information. Implémentation ISO 27001, mise en place d'unSMSI et audit de certification.” Ed. Eyrolles, coll Entreprise (ISBN : 978-2-212-12218-3)
SMSI : Systèmes de management dela sécurité de l'information(GB : ISMS)
DSI : Direction des systèmes d’in-formation
DCSSI : Direction Centrale de laSécurité des Systèmesd'Information
RSSI : Responsable de la sécuritédes systèmes d’information
EBIOS : Expression des Besoins etIdentification des Objectifs deSécurité. Méthode dévelop-pée par la Direction Centralede la Sécurité des Systèmesd’Information (DCSSI au seindu Secrétariat Général de laDéfense Nationale)
RGS : Les travaux sur le RéférentielGénéral de Sécurité (RGS)sont en cours. Il spécifieral’ensemble des règles quedoivent respecter les fonc-tions des systèmes d’informa-tion contribuant à la sécuritédes informations échangéespar voie électronique entre lesusagers et les autorités admi-nistratives et les autoritésadministratives entre-elles.
PDCA : ISO/IEC 27001 encouragel’adoption d’une démarche degestion orientée processus ets’appuie sur le modèle PlanDo Check Act (PDCA)"Planifier-Déployer-Contrôler-Agir" de la roue de Deming.
Lexique
11INITIATIVES QM - novembre 2008
lancement de logiciels à partir de clésUSB… C’est pourquoi l’éducation et l’en-gagement personnel fortement sanctionné
vis-à-vis de la sécurité est une obligationde la norme.
Sécurité des données personnelles :
Tous concernés !
Alors que le passeport biométri-que est prévu pour octobre, quele Dossier Pharmaceutique prend
son envol, que prolifèrent les ges-tionnaires de dossier médical enligne (Microsoft Healthvault etGoogle Health), que la carte àpuce monpass.santé d’Orange
Business Services et de laMutuelle Générale s’affirme, le
Dossier Médical Personnel (DMP)lui, s’enlise.
Le DMP est en stand-by. L’appeld'offre pour les hébergeurs du
28/07/2005 s'appuyait pourtantsur les normes ISO 17799
et ISO 27001. Mais les nombreu-ses péripéties et failles de sécurité
l’ont stoppé net. En mars 2006par exemple, la CNIL constataitque certains hébergeurs (FranceTelecom, InVita, Santénergie) ne
chiffraient pas entièrement lesbases de données en ligne et
s’étonnait de l’absence de dispositif de réplication sur un
site distant. On attend désormais le feu-vertde la ministre de la Santé, de la
Jeunesse, des Sports et de la Vie associative,
Roselyne Bachelot.
En revanche, le Doss ierPharmaceutique (DP) - outil profes-sionnel destiné à sécuriser la dispensa-tion médicamenteuse et à alimenter levolet médicament de du DMP - a levent en poupe. Le responsable du pro-jet, Olivier Porte, confirme que l’hé-bergeur retenu en janvier 2007 (le GIESANTEOS) «s’est engagé sur le respectde la norme ISO 27001. Un million dedossiers est d’ores et déjà ouvert. Nousavons privilégié cette norme pour sa
garantie vis à vis de la pérennité dedonnées si sensibles.» Le patient estidentifié par un numéro spécifique,calculé à partir de sa carte Vitale (sanstoutefois utiliser le «numéro de sécu-rité sociale» lui-même, conformémentà l'exigence de la CNIL).Tous leséchanges de données sont cryptés,pour éviter tout risque de lecture et dedétournement par des tiers.
A suivre…
Le doute plane…
«L’échec du DMP est en partie liée auretard de Vitale2, présenté à l’originecomme une carte très sécurisée et «laclé du DMP». Or, pour cela il auraitfallu que la Vitale2 contienne les certifi-cats de signature et de confidentialitéce qui impliquait de bâtir une infra-structure de gestion de clé (IGC), jamaisconstituée. Par exemple, la Carte deProfessionnels de Santé (CPS) disposed’une IGC. Autre sujet de préoccupation, l’arrêtéen projet concernant le décret d’avril 07prévu par la Loi Kouchner en 2002, surla sécurisation du poste de travail desmédecins et des données de santé. Unbrin utopique. En effet, au cabinet, unepartie des données «patients» se trouvedans les logiciels professionnels, une
autre dans de simples fichiers Word. Enthéorie le médecin doit chiffrer son dis-que dur, définir des clés de sécurité. Ildoit conserver ses dossiers pendant 20ans. Que fait-il alors en cas de perte dela clé de chiffrement ? Beaucoupconservent pour cela leurs données enclair. Par ailleurs, la solution du coffre-fort électronique pose la question de lanature d’une donné médicale. Est-ellemédicale ou standard (une fois qu’elleest chiffrée) ? Or une donnée ditemédicale ne peut être mise en ligne quesur un hébergeur de données de santéagréé. Qui n’existe pas aujourd’hui ! Lemédecin n’a d’autre choix que de mul-tiplier les moyens de sauvegarde. Sansréelle garantie de sécurité. D’autantplus qu’il est souvent relié à Internet parWifi …»
*http://www2.fulmedico.org/a/
Dr Jean-Jacques Fraslin,rédacteur pour le site spécialisé
FULMEDICO*
Données médicales protégées ?
Comité de rédaction : Othar Zourabichvili, Philippe Haran, Bénédicte Hill - Responsable de la publication : OtharZourabichvili - Conception graphique : AGORIA - www.agoria.fr - Journaliste : Hélène JOUBERT - Tirage 3000 ex.
Textes et images : QUANTA MEDICAL - Immeuble AMPERE - 8, rue E et A Peugeot - 92566 RUEIL-MALMAISON CEDEXToute reproduction, même partielle est interdite pour tous pays.
