PGSSI Santé Politique Générale de Sécurité des SI de Santé
Point d’avancement
Journée Nationale des Industriels - Paris
21 Novembre 2013
2
1. Présentation générale de la PGSSI-S Les enjeux de la SSI
La mission de l’ASIP Santé
Organisation des travaux
2. Le corpus documentaire PGSSI-S
3. Focus sur quelques documents Mémento de sécurité informatique pour les professionnels de santé en exercice libéral
Référentiel d’authentification des acteurs de santé
Guide pratique - règles pour les dispositifs connectés
4. Conclusion
PGSSI-S | Journée Nationale des Industriels 21/11/13
Les enjeux de la sécurité des SI-S Rappels
Enjeux de la SSI dans la sphère Santé :
la disponibilité des données de santé des patients et des moyens
informatiques pour limiter le risque de perte de chance
la confidentialité des données de santé des patients pour préserver le
secret professionnel
l’exactitude des données de santé des patients pour un diagnostic rapide
et juste
la traçabilité des actions réalisées pour lutter contre les mésusages et les
détournements de finalité
Importance croissante des moyens informatiques, confrontés à de
nouvelles sources de menaces.
3 PGSSI-S | Journée Nationale des Industriels 21/11/13
Politique générale de sécurité des SI-S Organisation des travaux
4
Lettre de mission du SG MinSanté à J.-Y. Robin le 22/09/11 : DSSIS = MOA stratégique ; ASIP Santé = MOA opérationnelle
Une gouvernance institutionnelle via un comité de pilotage regroupant les différentes
directions du ministère, la CNAM, la CNSA, l’ANSSI, la CNIL et l’ASIP Santé
Une méthode d’élaboration des référentiels et autres documents de la PGSSI-S
axée sur une concertation étroite avec les différents acteurs du secteur :
• Les documents sont élaborés par des groupes de travail regroupant des acteurs du secteur
(institutionnels, acteurs de santé dont les établissements, industriels)
• Après validation par le COPIL, ils sont présentés au comité de concertation composé des
représentants des acteurs du secteur (institutionnels, acteurs de santé, établissements,
industriels) puis mis en concertation publique.
• Les résultats de la concertation sont présentés au COPIL puis au comité de concertation
avant publication des documents sur les site esante.gouv.fr
Depuis fin 2011:
• 25 réunions des groupes de travail
• 5 COPIL
• 2 Comité de concertation (prochain comité le 2/12/13).
PGSSI-S | Journée Nationale des Industriels 21/11/13
5
Politique générale de sécurité des SI-S Logique de palier
Lorsque c’est judicieux, proposition d’un ensemble de paliers numérotés
• un palier cible (palier dont le numéro est le plus élevé) et des paliers
intermédiaires permettant de bâtir des trajectoires d’évolution et de satisfaire
des objectifs de sécurité intermédiaires ;
• un palier minimal (palier 1) déjà opérationnel ou rapide à atteindre comportant
les exigences de sécurité indiscutables
La PGSSI constitue ainsi :
• un outil d’évaluation de la maturité SSI des systèmes d’information en santé
(et de sa trajectoire d’évolution) pour les acteurs de santé et pour l’état
• un référentiel de positionnement pour toutes les offres industrielles
La PGSSI-S est en phase avec les évolutions industrielles et
technologiques :
• accompagnement des évolutions (par exemple : accès en mobilité, tablettes,
offres en mode SaaS, CLOUD, …)
PGSSI-S | Journée Nationale des Industriels 21/11/13
6
1. Présentation générale de la PGSSI-S Les enjeux de la SSI
La mission de l’ASIP Santé
Organisation des travaux
2. Le corpus documentaire PGSSI-S
3. Focus sur quelques documents Mémento de sécurité informatique pour les professionnels de santé en exercice libéral
Référentiel d’authentification des acteurs de santé
Guide pratique - règles pour les dispositifs connectés
4. Conclusion
PGSSI-S | Journée Nationale des Industriels 21/11/13
7
Politique générale de sécurité des SI-S Organisation du corpus documentaire (1/2)
Documents chapeaux :
Principes fondateurs de la PGSSI-S
Cadre juridique
Bibliographie des bonnes pratiques SSI
Corps de la PGSSI-S :
• guides organisationnels
documents contextualisés
aides à la constitution de PSSI adaptées aux acteurs
• référentiels techniques
fonctions de sécurité : identification / authentification des acteurs de santé et des patients,
imputabilité, …
• guides pratiques
règles de sécurité applicables face à une situation de risques concrète : dispositif connecté,
intervention à distance, …
• guides juridiques (recueil du consentement, périmètre de l’équipe de soin, …)
PGSSI-S | Journée Nationale des Industriels 21/11/13
8
Politique générale de sécurité des SI-S Organisation du corpus documentaire (2/2)
PGSSI-S | Journée Nationale des Industriels 21/11/13
9
1. Présentation générale de la PGSSI-S Les enjeux de la SSI
La mission de l’ASIP Santé
Organisation des travaux
2. Le corpus documentaire PGSSI-S
3. Focus sur quelques documents Mémento de sécurité informatique pour les professionnels de santé en exercice libéral
Référentiel d’authentification des acteurs de santé
Guide pratique - règles pour les dispositifs connectés
4. Conclusion
PGSSI-S | Journée Nationale des Industriels 21/11/13
10
Structure du Mémento Pourquoi protéger vos informations ?
• Le besoin de sécurité pour la Santé
• La diversité des menaces informatiques
• La recrudescence des actes de malveillance
• La multiplication des risques liés aux mauvais usages
Comment protéger vos informations ?
• Les incontournables pour protéger les données de santé de vos patients
• Détail des règles de protection des données de vos patients par thématique • Thématique 1 : Répondre aux obligations légales et réglementaires
• Thématique 2 : Promouvoir la sécurité
• Thématique 3 : Protéger vos équipements informatiques
• Thématique 4 : Assurer la sécurité physique du lieu d’exercice
• Thématique 5 : Maîtriser les accès aux informations
• Thématique 6 : Limiter la survenue et les conséquences d’incidents de sécurité
Annexes • Pour en savoir plus
• Glossaire
• Documents de référence
Mémento de sécurité informatique pour les professionnels de santé en exercice libéral
PGSSI-S | Journée Nationale des Industriels 21/11/13
11
Exemple de recommandations du mémento
Mémento de sécurité informatique pour les professionnels de santé en exercice libéral
Si la maintenance des moyens
informatiques fait l’objet d’un
contrat de service avec un
prestataire ou si les moyens
informatiques sont fournis par un
tiers, vous êtes responsable de
l’application de toutes les
exigences du présent document.
Cependant, les règles annotées
avec un [A] peuvent être
déléguées à votre fournisseur
dans le cadre de sa prestation ou
relèvent de la structure tierce
dans laquelle vous intervenez.
PGSSI-S | Journée Nationale des Industriels 21/11/13
12
Exemple de recommandations du mémento
Mémento de sécurité informatique pour les professionnels de santé en exercice libéral
Si vous accédez par internet à
votre application métier qui est
gérée par une société qui
héberge des données de santé
de vos patients, Vous êtes
responsable de l’application de
toutes les exigences du présent
document. Cependant, les règles
annotées avec un [B] peuvent
être déléguées à votre
fournisseur dans le cadre de sa
prestation.
PGSSI-S | Journée Nationale des Industriels 21/11/13
13
Périmètres d’authentification Authentification « publique » : pour
l’authentification publique, les dispositifs sont définis
dans le présent référentiel. Ils sont associés à des
identifiants de portée nationale.
Référentiel d’authentification des acteurs de santé - Concepts clés
Authentification « privée » : pour l’authentification privée, les dispositifs sont
choisis par le responsable de traitement sur la base d’une analyse de risques.
Ils sont associés à des identifiants de portée nationale ou de portée locale.
L’authentification privée n’est possible que dans le cadre d’une relation
formalisée entre le responsable de traitement et les utilisateurs qui en
bénéficient. Cette relation peut naître du contrat de travail entre le responsable
de traitement et l’utilisateur (cas des ES par exemple) ou être spécifiquement
créée par exemple dans le cadre d’un contrat (contrat de prestation de service,
convention de partenariat, etc.).
PGSSI-S | Journée Nationale des Industriels 21/11/13
14
Modes d’authentification Authentification directe: quand la personne physique accède au système d’information cible
intuitu personae et sous sa propre responsabilité.
Authentification indirecte: quand la personne physique accède au système
d’information de santé cible au travers d’un autre système d’information opéré par une
personne morale. La personne morale est alors responsable de s’assurer de l’identité de cet
accédant et propage au système de santé cette identification/authentification après s’être elle-
même authentifiée auprès du système cible. L’authentification indirecte correspond donc à la
combinaison d’une authentification de la personne morale (certificat logiciel de personne
morale) et d’une authentification « privée » de l’acteur de santé au sein de la personne morale
(par identifiant / mot de passe par exemple).
Référentiel d’authentification des acteurs de santé - Concepts clés
Personne physique
Personne morale
Système d’information authentification
publique ou privée
Personne physique Personne morale Système d’information authentification
privée authentification
publique
PGSSI-S | Journée Nationale des Industriels 21/11/13
15
Référentiel d’authentification des acteurs de santé - Paliers et trajectoire
Paliers et trajectoire
PGSSI-S | Journée Nationale des Industriels 21/11/13
Guide pratique - Règles pour les dispositifs connectés d’un Système d’Information de Santé
16
L’équipement biomédical est un dispositif médical particulier : Il intègre des matériels, progiciels et composants de communication, et
appartient au SIS
Il assure, dans un processus de soin, une fonction de traitement médical,
d’analyse médicale, de surveillance médicale, de diagnostic ou de
supervision
Un référentiel proposé en s’appuyant sur : Le guide « Exigences de sécurité des Systèmes d’Information pour
les équipements biomédicaux des établissements de santé »
− Réalisé par un groupe de travail regroupant des Responsables de la Sécurité
du Système d’Information (RSSI) et des ingénieurs biomédicaux
d’établissements hospitaliers avec le support du Fonctionnaire de la Sécurité
des Systèmes d’information (FSSI), de l’ANAP et de la DGOS, à la demande du
ministère de la santé
Le guide de l’ANSSI publié en juin 2012 : « Maîtriser la SSI pour les
systèmes industriels - La cybersécurité des systèmes industriels »
PGSSI-S | Journée Nationale des Industriels 21/11/13
17
Objectifs du référentiel : Fixer les exigences de protection des équipements biomédicaux connectés
permettant de s’assurer que le dispositif n’est pas une source de vulnérabilité
pour le SIS
Favoriser la prise en compte de la SSI, par les industriels, dans ces dispositifs
Faciliter le choix des dispositifs pour les ES (positionnement des industriels par
rapport au référentiel)
L’intégration d’un dispositif connecté au sein d’un SIS nécessite : La prise en compte de la sécurité tout au long du cycle de vie du dispositif par l’industriel
− Rédaction d’un dossier de sécurité présentant en guise de conclusion le niveau de sécurité
offert, et comprenant tous les éléments tangibles à l’appréciation objective de ce niveau de
sécurité (niveau de couverture des exigences du référentiel et risques résiduels)
− La communication de ce dossier de sécurité à l’utilisateur du dispositif connecté
L’analyse par l’utilisateur du dossier de sécurité fourni par l’industriel avant son intégration
au sein du SIS (et l’acceptation des risques résiduels)
Exemples de scénarios susceptibles d’impacter le SIS : Infection par code malveillant, utilisation abusive du dispositif, erreur lors d’une opération
de configuration, vol du dispositif et accès aux données qu’il contient, etc.
PGSSI-S | Journée Nationale des Industriels 21/11/13
Guide pratique - Règles pour les dispositifs connectés d’un Système d’Information de Santé
18
Exemple de règles:
PGSSI-S | Journée Nationale des Industriels 21/11/13
Guide pratique - Règles pour les dispositifs connectés d’un Système d’Information de Santé
Sécurité des réseaux
[E7]
La documentation du dispositif connecté (accessible par exemple au travers
d’un espace client sur Internet) doit comporter une matrice des flux réseau
(types de protocoles, origine/destination des flux, plan d’adressage…)
exhaustive.
Palier 1
[E8]
Les dispositifs connectés doivent comporter des moyens de sécurité
permettant de filtrer les données échangées sur les réseaux (types de
protocoles, origine/destination des flux, …).
Palier 2
19
1. Présentation générale de la PGSSI-S Les enjeux de la SSI
La mission de l’ASIP Santé
Organisation des travaux
2. Le corpus documentaire PGSSI-S
3. Focus sur quelques documents Mémento de sécurité informatique pour les professionnels de santé en exercice libéral
Référentiel d’authentification des acteurs de santé
Guide pratique - règles pour les dispositifs connectés
4. Conclusion
PGSSI-S | Journée Nationale des Industriels 21/11/13
20
Conclusion Un processus d’élaboration en vitesse de croisière
Un corpus qui se construit par consensus et ajout itératif
• un processus d’élaboration et une comitologie assurant un consensus sur les
documents:
• implication de représentants de l’ensemble des acteurs du secteur dès le début
du processus d’élaboration des document,
• plusieurs instances multipliant les opportunités de contribution;
• une croissance du corpus documentaire régulière cadencée par une
comitologie formelle
Un corpus toujours en évolution
• pour suivre les avancés technologiques;
• pour suivre les éventuels évolutions législatives et règlementaires;
• en fonction des retours terrain;
• cycle de mise à jour tous les 12 à 18 mois.
PGSSI-S | Journée Nationale des Industriels 21/11/13
21
Conclusion Point d’étape
Document PGSSI-S Statut
Principes fondateurs Document validé et publié
Référentiel d’authentification des acteurs de
santé Document validé et publié
Mémento de sécurité informatique pour les
professionnels de santé en exercice libéral
Document en cours de publication
(concertation terminée)
Guide pratique - règles pour les dispositifs
connectés
Document en cours de publication
(concertation terminée)
Guide pratique – règles pour les accès à
distance
Début de concertation publique prévue en
janvier 2014
Guide pratique – règles pour la mise en place
d’un accès wifi
Début de concertation publique prévue en
janvier 2014
Documents publiés ou en cours de publication :
PGSSI-S | Journée Nationale des Industriels 21/11/13
22
Conclusion Prochains documents
Travaux en cours :
• Référentiels techniques
• imputabilité;
• identification des acteurs de santé;
• identification des patients, authentification des patients.
• Guides pratiques
• règles pour la destruction des données lors du transfert de matériel;
• règles de sauvegarde;
• règles pour la mise en œuvre d’accès par des tiers.
• Guides organisationnels
• guides d’élaboration et de mise en œuvre de PSSI pour les structures du
domaine de la santé.
Exemple de sujets demandés par les membres des GT dont la
priorisation reste à évaluer : • gestion des devices mobiles / BYOD; archivage des données; gestion de la continuité
d’activité / PRA; contrôle d’accès; détection des intrusions
PGSSI-S | Journée Nationale des Industriels 21/11/13
PGSSI-S | Journée Nationale des Industriels
Merci de votre attention
23
Espace dédié à la PGSSI-S sur le site esante.gouv.fr :
http://esante.gouv.fr/pgssi-s/presentation
Contact :
21/11/13