PRÉSENTATION DU GUIDE DE LA DGOS À L’ATTENTION DES DIRECTIONS

Auriane Lemesle, RSSI TéléSanté Centre

Introduction à la Sécurité des Systèmes d’Information en établissements de santé

Fiche N°1 : Les enjeux de la sécurité de l’information pour l’établissement de santé

Fiche N°2 : Maîtriser la sécurité du SI, comment ?

Fiche N°3 : Définition de la sécurité du SI dans les établissements de santé

Fiche N°4 : La Direction acteur important de la démarche sécurité

Fiche N°5 : Prérequis : un diagnostic et une gouvernance sécurité

Fiche N°6 : La sécurité avant d’autres projets : le bon arbitrage

Fiche N°7 : Les facteurs clés de succès de la démarche

Fiche N°8 : La communication : un levier essentiel

Fiche N°9 : La documentation sécurité : un minimum est nécessaire

Fiche N°10 : Les coûts de la sécurité

Présentation du guide

Destiné aux équipes de Directions des établissements de santé, publics comme privés

Fait partie de la PGSSI-S

Basé sur les retours d’expérience de deux projets régionaux, dans le Nord Pas de Calais et dans le Limousin

Pas d’ordre de lecture imposé.

Fiche N°1 : Les enjeux de la sécurité de l’information pour l’établissement de santé

Rappelle les enjeux et le contexte vis-à-vis des nouvelles technologies de l’information et de la communication.

L’évolution des pratiques

Le lien entre incidents de sécurité et qualité de l’offre de soins

Les conséquences des incidents

Les menaces qui pèsent sur le système d’information

La sécurité pour maîtriser le coût des incidents

Impacts possibles d’un incident sur le SI

Réputation / image

De l’événement qui ne porte pas atteinte à l’image de l’établissement au rejet définitif des patients pour un établissement

Social & organisation

De la gène ponctuelle à l’arrêt prolongé de toute activité de soins

De la démotivation du personnel au conflit social

Financier

De la perte sans impact significatif à celle remettant en cause l’équilibre financier de l’établissement

Responsabilité / juridique

De l’affaire classée sans suite à la condamnation pénale ou risques judiciaires

Patient

De l’inconfort au décès

Sécurité des SI

Disponibilité L’information doit être disponible à tout moment aux personnes qui ont accès à cette information.

Intégrité

L’information doit être précise, complète et ne doit ni être altérée, ni altérable. Les informations ne doivent pouvoir être modifiées que par les personnes autorisées.

S’assurer que l’information est seulement accessible à ceux qui en ont l’autorisation.

Preuve et le Contrôle

Assurer la non-répudiation c’est-à-dire l’impossibilité de nier avoir reçu ou émis un message (preuve) et le contrôle du bon déroulement d’une fonction c’est-à-dire l’auditabilité.

Confidentialité

Qualité et continuité des soins

Secret professionnel

Responsabilité

Apports de la sécurité

Qualité

•Performance

•Disponibilité de l’information

•Espace de confiance

Economies

•Réduction des coûts de la non qualité

•Diminution des charges

• Limitation des risques projets

•Non perte de chiffre d’affaire

Notoriété • Image de marque

•Confidentialité

Fiche N°2 : Maîtriser la sécurité du SI, comment ?

Donne les objectifs d’une démarche de sécurité du SI avec les principes permettant de maîtriser sa mise en place et les actions prioritaires pour initier la démarche.

Les objectifs de sécurité du système d’information

Répondre aux exigences règlementaires et de certification

Valider une démarche réaliste et conforme aux objectifs prioritaires

Mettre en place une organisation légitime

Initier une démarche d’amélioration continue

Sensibiliser et informer

S’appuyer sur les aides extérieures

Fiche N°3 : Définition de la sécurité du SI dans les établissements de santé

Présente le fondement d’une démarche sécurité ainsi que les projets majeurs associés.

Définition de la sécurité du système d’information

Notions fondamentales : DICP

Une démarche itérative composée de plusieurs projets

Sécurité des SI

Sécurité des Systèmes

d’Information

Organisation

Méthodes

Techniques

Outils

80 %

20 %

Garantir l’intégrité et la disponibilité des informations et des

traitements

Préserver la confidentialité des

données

Prouver et contrôler que les traitements

ont été réalisés dans le strict respect de la

législation

Fiche N°4 : La Direction acteur important de la démarche sécurité

Précise les différents points où l’action de la Direction est nécessaire.

Les rôles de la Direction dans la démarche

Un soutien obligatoire pour une démarche réussie

Les actions à lancer

La charte d’usage du système d’information

Personnes à impliquer

Les services généraux pour les aspects de sécurité physique d’accès aux locaux et de sécurisation des équipements et fluides

Le service informatique, qui est le garant de la mise en œuvre du plan d’action relevant de la sécurité informatique.

Le correspondant informatique et libertés (CIL).

Le responsable des risques et/ou le responsable qualité et sécurité des soins, qui permet d’intégrer la sécurité SI dans une gestion globale et coordonnée des risques.

Le responsable de la communication

Fiche N°5 : Prérequis : un diagnostic et une gouvernance sécurité

Indique par quoi commencer et donne des repères pour organiser la démarche.

Pré-diagnostic : 10 questions à se poser

Faire réaliser un diagnostic externe

Démarche d’analyse de risques

Elaboration du plan d’actions

Similarité avec la démarche qualité

Pilotage et organisation

Plan d’action sécurité SI Politique de sécurité du SI

Les démarches qualité et sécurité

ACTIVITÉS DE L’ÉTABLISSEMENT

OBJECTIFS Maîtrise des risques

SSI Médicaux et techniques

Evaluer le risque

Rectifier le traitement du

risque

Surveiller le risque

Traiter le risque

Engagement de la Direction

• Comité de pilotage • Responsable SSI

• Comité de pilotage • Responsable Qualité

Cellule de gestion

des risques

Plan d’action qualité Manuel Qualité

Sécurité Qualité

Evaluer le risque

Rectifier le traitement du

risque

Surveiller le risque

Traiter le risque

Organisation

Un référent sécurité qui pilote la démarche de

sécurité (suivi des risques, information de la Direction, production de tableaux de bord, veille technologique et réglementaire, organisation d’audits…)

Une instance de pilotage (dédiée ou non) se

réunissant périodiquement et dans laquelle seront évoqués les risques et les mesures opérationnelles de sécurité. Cette instance doit réunir une représentation aussi complète que possible des services de l’établissement (DRH, Services Généraux, Informatique, services de soins, services logistiques…)

Fiche N°6 : La sécurité avant d’autres projets : le bon arbitrage

Propose aussi de commencer par des actions « pépites » relativement faciles à mettre en place.

L’arbitrage des priorités

Arbitrage par les gains : identifier les actions pépites

Arbitrage par les risques

Une bonne pratique budgétaire

Fiche N°7 : Les facteurs clés de succès de la démarche

Décrit les retours d’expérience de démarches réussies au sein des établissements.

Les trois éléments de base

La vision globale portée par la Direction

Point d’attention majeur : l’adhésion des utilisateurs

Démarche impérative même en l’absence d’incident

Documenter la démarche

Echange et mutualisation avec d’autres établissements

Fiche N°8 : La communication : un levier essentiel

Rappelle l’importance de la communication et les messages principaux dans une démarche sécurité.

La communication doit viser un double objectif

Les axes de communication

Le Directeur de l’établissement doit soutenir cette communication

Les principes généraux de communication

La communication vers les intervenants externes

Fiche N°9 : La documentation sécurité : un minimum est nécessaire

Décrit les principales briques documentaires.

La cartographie des risques

La politique de sécurité

La charte d’utilisation

Les procédures opérationnelles et techniques

Le plan d’actions pluriannuel

Fiche N°10 : Les coûts de la sécurité

Donne des pistes pour une évaluation budgétaire des coûts de la sécurité.

Un budget global difficile à chiffrer précisément

Une bonne pratique budgétaire

Un budget sécurité dans les projets d’évolution du système d’information

Les coûts pour la mise en place d’une gouvernance et d’une PSSI

La charge de travail pour l’amorçage du plan d’actions

Les coûts d’un projet de sécurisation des infrastructures

Les coûts d’un projet de la gestion de la confidentialité des données médicales