2015-05-21 Atelier N°14 SSA 2015 "Politique générale de sécurité des SIS : comment mieux utiliser les référentiels de sécurité ?"

RÉFÉRENTIELS

Politique Générale de Sécurité des SIS Comment mieux utiliser les référentiels de sécurité ?

SSA – 21 mai 2015

POLITIQUE GÉNÉRALE DE SÉCURITÉ DES SIS

PGSSI-S 2

A. Objectif et périmètre de la PGSSI-S

B. Démarche d’élaboration

C. Logique d’élaboration

D. Corpus documentaire

E. Exemple d’utilisation des documents

Sommaire

SSA – 21 mai 2015

Objectifs et périmètre de la PGSSI-S

PGSSI-S 3

Objectifs de la PGSSI-S :

• Permettre de renforcer la confiance et l’adhésion des professionnels, des patients et

plus largement du grand public par l’amélioration de la sécurité des données ;

• Favoriser la structuration de l’offre logicielle des industriels du secteur ;

• Faciliter la mise en œuvre de la SSI par les différents acteurs concernés.

Périmètre de la PGSSI-S :

• Ensemble des domaines de la santé et du médico-social (à terme) ;

• Ensemble des acteurs publics ou privés des domaines de la santé et du médico-social (professionnels de santé quel que soit leur mode d’exercice, intervenants professionnels dans ces secteurs,

établissements de soins, offreurs de services du domaine, ministères et organismes publics, …) ainsi que

les services proposés directement aux personnes concernées par les données (de type

réseau social santé, accès externes aux données de santé, …).

Organisation des travaux

• MOA stratégique: Délégation à la Stratégie des Systèmes d’Information de Santé

(DSSIS);

• MOA opérationnelle: ASIP Santé.


Démarche d’élaboration

PGSSI-S 4

Forte mobilisation des représentants des acteurs professionnels et des industriels dans la comitologie d’élaboration de la PGSSI-S:

• Acteurs métier : Les professionnels de santé et les représentants de patients.

La PGSSI-S doit à la fois :

• Permettre le respect des droits fondamentaux des patients, propriétaires de leurs données de santé,

• Ne pas générer de « perte de chance » ;

• Les industriels du secteur de la santé :

• En particulier, les trajectoires de prise en compte la PGSSI-S sont définies par les promoteurs de SIS en fonction des solutions offertes par les industriels ;

• La dimension économique et les trajectoires de mise en conformité doivent être prises en compte.

Contribution des « utilisateurs » des référentiels à l’élaboration du corpus PGSSI-S pour favoriser l’adhésion des acteurs comme l’adéquation et l’enrichissement des documents :

• groupes de travail regroupant des acteurs du secteur : institutionnels, acteurs de santé dont les établissements, industriels ;

• processus de concertation publique ;

• gouvernance institutionnelle via un comité de pilotage regroupant les différentes directions du ministère, la CNAM, la CNSA, l’ANSSI, la CNIL et l’ASIP Santé.

Attentes importantes des acteurs en termes de pragmatisme / réalisme pour une production rapide des règles minimum indiscutables face aux situations de risques identifiées (identification et authentification des PS, ouverture des SI aux tiers, dispositifs connectés…).


Logique d’élaboration

PGSSI-S 5

Le corpus documentaire prévoit une mise en œuvre progressive

Lorsque c’est judicieux, proposition d’un ensemble de paliers numérotés : • Un palier maximal (palier dont le numéro est le plus élevé) et des paliers intermédiaires qui

permettent de bâtir des trajectoires d’évolution et de satisfaire des objectifs de sécurité intermédiaires ;

• Un palier minimal (palier 1) déjà opérationnel ou rapide à atteindre, qui porte les exigences de sécurité indiscutables.

Le corpus documentaire est conçu pour une utilisation pragmatique :

• Outils d’aide à la définition et au renforcement de la sécurité des SI de santé

• Outils d’auto-évaluation et de planification de la mise en œuvre de la sécurité :

• Positionnement des offres des industriels par rapport aux paliers et définition des politiques industrielles,

• Evaluation de la maturité SSI des systèmes d’information de santé pour les acteurs de santé et pour l’état et définition des axes d’amélioration fondés sur les paliers ;

• Prise en compte progressive dans les systèmes d’information de santé :

• Pas de modification brutale des SI de santé,

• Mais une intégration progressive, principalement lors du renouvellement des différents éléments du SI en fonction de la conformité de l’offre disponible aux paliers de la PGSSI-S.


Organisation du corpus documentaire

6


PGSSI-S

Les types de documents PGSSI-S et leur utilisation

PGSSI-S 7

Référentiels de sécurité (http://esante.gouv.fr/pgssi-s/espace-publication#referentiels_techniques )

Description des « mécanismes » permettant la mise en œuvre de fonctions de sécurité • Le palier à mettre en œuvre dépend des objectifs de sécurité du système d’information considéré.

• Pour les contextes d’utilisation généraux les plus fréquents, la grille d’applicabilité (http://esante.gouv.fr/pgssi-s/espace-publication#aide_mise_en_oeuvre) propose les paliers minimum à mettre en œuvre.

• Documents identifiés comme pouvant à terme être rendus opposables (en utilisant les paliers de la grille d’applicabilité)

Guides pratiques (http://esante.gouv.fr/pgssi-s/espace-publication#guides_pratiques_specifiques )

Description des bonnes pratiques sur un périmètres technique spécifique • Checklist des règles pragmatiques permettant la sécurisation à l’état de l’art d’un élément du

système d’information ou d’un processus (ex. dispositifs connectés, interventions à distance…) autant au niveau technique qu’au niveau organisationnel.

• Mise en place des règles à adapter selon le contexte du système d’information.

Guides organisationnels (http://esante.gouv.fr/pgssi-s/espace-publication#guides_pratiques_organisationnels)

Démarche de mise en œuvre de la sécurité pour un système d’information de santé • Guides didactiques pour aider à la détermination des mesures à mettre en place et de leur

priorisation

• Utilisables directement pour des contextes généraux.


http://esante.gouv.fr/pgssi-s/espace-publication#referentiels_techniques






http://esante.gouv.fr/pgssi-s/espace-publication#guides_pratiques_specifiques






http://esante.gouv.fr/pgssi-s/espace-publication#guides_pratiques_organisationnels





Exemple d’utilisation d’un référentiel technique: Référentiel d’imputabilité 1/6

PGSSI-S 8


Définition :

• « Responsabilité d'une entité par rapport à ses actions et ses décisions » [ISO 27000:2009]

• Au sein d’un système d’information, l’imputabilité vise : • à attribuer à chaque utilisateur ou à chaque machine l’intégralité des actions qu’il a effectuées sur le

système d’information ;

• à s’assurer que chaque action est attribuée de façon univoque à l’utilisateur ou la machine l’ayant

effectuée.

• Toute action qui peut être imputée à une machine relève in fine de la responsabilité d’une

personne physique ou morale

L’imputabilité par rapport aux autres notions sécurité : • Le rôle de l’imputabilité est de « certifier » l’intégrité des données (i.e. montrer que toutes les

modifications apportées aux données l’ont été dans le cadre d’une action légitime).

• Le niveau d’imputabilité repose sur le niveau de fiabilité de la traçabilité (i.e. la possibilité de

s’appuyer sur les traces des actions sans que leurs auteurs ne puissent nier avoir réaliser ces actions).

Utilisation pratique de l’imputabilité / traçabilité

• Dans le cas d’une action en justice - production d’éléments rapidement compréhensibles

pour expertise judiciaire (peu de temps alloué à l’expert)

• Nécessité d’un outil ergonomique pour accéder aux traces et d’une documentation claire

• Compromis exploitabilité des traces vs. valeur scientifique voire juridique

• Pour des besoins fonctionnels

• Imputabilité d’une non action – imputabilité en « creux »

• Nécessité de traces accessibles et intelligibles par des acteurs métiers non spécialistes de la SSI

• Pour des besoins d’analyse, de détection de comportements utilisateurs « anormaux »

Présentation PGSSI-S 9

Paliers Prérequis Génération de la piste

d’audit

Conservation des

traces

Restitution de la

piste d’audit Documentation spécifique

1

Palier 1 du

référentiel

d’identification et

d’authentification

Gestion dans le

temps des identités,

des rôles et des

habilitations

Heure partagée par

l’ensemble des

composants du SIS

Traces fonctionnelles

Possibilité

d’extraction des

traces pour

conservation dans

des endroits

multiples pour

réduire le risque de

modifications

systémiques

Outil de gestion

permettant la

restitution

ergonomique des

traces utilisable par

des non spécialistes

de la sécurité

Documentation des dispositifs

d’authentification, de gestion

des identités, des rôles, des

habilitations et des traces

2 Traces fonctionnelles

Traces techniques

provenant d’au moins un

type de composant du SIS

Archives

journalières

regroupant

l’ensemble des

traces

Idem palier 1 +

Description des sources des

traces et des processus mis en

œuvre de la génération à la

constitution de l’archive

journalière

3

Scellement

quotidien des traces

Idem palier 1 +

L’outil de gestion

permet de réconcilier

les traces autant que

de besoin

L’outil de gestion

des traces gère un

format pivot ou gère

de nombreux

formats de traces

Guide didactique

d’utilisation de l’outil

de gestion des

traces

Idem palier 2 +

Description des processus mis

en œuvre de la génération à

réconciliation

4

Idem palier 2 +

Au moins un élément de

traçabilité discrète basé

sur un scellement serveur

Idem palier 3 +

Documentation de la mise en

œuvre de la signature

électronique

5

Idem palier 1 +

Mise en œuvre

d’un processus

d’authentification

générant une

signature

électronique

Continuité totale de la

piste d’audit par

réconciliation de

l’ensemble des traces

fonctionnelles et

techniques et au moins

un élément de

traçabilité discrète basé

sur une signature

utilisateur

Mise en œuvre du

scellement et de

l’horodatage de ce

scellement des

traces




PGSSI-S 10


Pour les systèmes d’information disposant d’objectifs de sécurité formalisés :

• Mise en œuvre du palier répondant à l’objectif d’imputabilité

Pour les systèmes d’information ne disposant pas d’objectifs de sécurité formalisés :

• Identification du ou des contexte(s) applicable(s) dans la grille d’applicabilité

• Selon les paliers minimaux d’imputabilité correspondant aux contextes identifiés : • Mise en œuvre du palier le plus élevé

• Division du système d’information en plusieurs sous systèmes correspondant à des contextes spécifiques

et mise en œuvre du palier idoine sur chacun des sous systèmes.


PGSSI-S 11


Contextes de la grille d’applicabilité :

• Contexte 1 : exercice individuel pour lequel les accès au système d’information sont

sous le contrôle du professionnel de santé (ex. cabinet libéral)

• Contexte 2 : exercice collectif pour lequel les accès au système d’information sont

chacun sous le contrôle d’un utilisateur (ex. cabinet de groupe)

• Contexte 3 : exercice collectif pour lequel au moins une partie du système d’information

est mutualisée entre plusieurs utilisateurs (ex. hôpital, pharmacie)

• Contexte 4 : téléservices avec enregistrement préalable des utilisateurs (ex. site

marchand)

• Contexte 5 : téléservices sans enregistrement préalable des utilisateurs (ex. DMP, E-fit)

• Contexte 6 : documents de santé électroniques quand ils sont amenés à sortir du SIS

producteur pour échange ou mise en partage (ex. compte rendu d’examen de biologie

médicale envoyé par messagerie sécurisée, partage de plan personnalisé de santé…)


PGSSI-S 12


Palier d’imputabilité selon les contextes:

Contexte Palier d'imputabilité

minimum Dispositions complémentaires

Contexte 1 Palier 1

Contexte 2 Palier 2

Contexte 3 Palier 2

Contexte 4 Palier 2 à 4

En fonction de la sensibilité du service évaluée par le responsable de traitement (ex.

palier 2 pour la consultation de données générales et palier 4 pour la modification de

données de santé à caractère personnel)


En fonction de la sensibilité du service évaluée par le responsable de traitement (ex.

palier 2 pour la consultation de données générales et palier 5 pour la modification de

données de santé à caractère personnel)


Palier 2 pour les documents ne nécessitant pas de traçabilité embarquée.

Traçabilité embarquée via signature électronique sous forme :

soit de scellement faisant référence au SI d'origine (auquel cas le palier minimum

pour l’authentification est le palier 1 de l’authentification privée) – Palier 4 de

l’imputabilité ;

soit de signature utilisateur faisant référence à un utilisateur du SI d'origine

(auquel cas le palier minimum pour l’authentification est le palier 3 de

l’authentification publique) – palier 5 de l’imputabilité.

Charge au SI d'origine d'assurer en interne la piste d'audit des opérations qui ont

menées à la création et à la sortie du document du SI.


PGSSI-S 13


Exemple pour une clinique qui fournit le système d’information à ses intervenant, a un

téléservice de prise de rendez-vous et alimente le DMP avec des comptes-rendus :

• Contextes applicables: • Système d’information fourni aux intervenants: Contexte 3 (exercice collectif pour lequel au moins une

partie du système d’information est mutualisée entre plusieurs utilisateurs)

• Téléservice de prise de rendez-vous: Contexte 5 (téléservices sans enregistrement préalable des

utilisateurs)

• Documents ayant vocation à alimenter le DMP: Contexte 6 (documents de santé électroniques quand ils

sont amenés à sortir du SIS producteur pour échange ou mise en partage)

• Paliers applicables: • Système d’information fourni aux intervenants: Palier 2

• Téléservice de prise de rendez-vous: Palier 2 (seules actions possibles: demande de rendez-vous et

modification de rendez-vous)

• Documents ayant vocation à alimenter le DMP: Palier 4 (le DMP demande de la traçabilité embarquée

sous la forme à minima du scellement du lot de soumission)

• Options de mise en œuvre: • Mise en œuvre du palier 4 sur l’ensemble du système d’information (mise en œuvre de signature

électronique de type scellement sur l’ensemble du SI)

• Mise en œuvre du palier 2 sur le système d’information à l’exception du module d’alimentation du DMP

pour lequel le palier 4 est mis en œuvre (traces fonctionnelles et techniques sur l’ensemble du SI et

scellement uniquement pour le module d’alimentation du DMP)

PGSSI-S 14

Trois types d’intervention à distance :

• La télésurveillance est l’activité qui consiste à recueillir à distance et

analyser des informations relatives au fonctionnement technique de

tout ou partie d’un SIS, en vue de suivre ce fonctionnement, d’en

prédire les évolutions ou de détecter d’éventuelles anomalies.

• Exemples : le suivi d’indicateurs de charge d’un ensemble

d’équipements, le suivi du niveau de consommable, l’exécution cyclique

de tests d’une application pour vérifier qu’elle est toujours disponible.

• La télémaintenance est l’activité qui consiste à assurer à distance des modifications de

paramètres et de configuration de logiciels de tout ou partie d’un SIS afin d’en maintenir le

bon fonctionnement ou de faire évoluer son fonctionnement.

• Exemples : l’exploitation et l’administration technique, l’analyse d’incident technique, la mise à

jour de logiciel.

• La téléassistance est l’activité qui consiste à aider à partir d’un poste distant sur lequel les

interfaces d’accès de la personne assistée sont reproduites à l’identique. Dans certains cas

la seule interface d’accès reproduite est l’affichage à l’écran et l’intervenant a seulement la

possibilité d’observer ce que voit ou fait la personne assistée.

• Exemples : le dépannage logique d’un utilisateur sur son poste de travail, l’apport en direct

d’une expertise d’un administrateur sur la console d’un serveur.

Exemple d’utilisation d’un guide pratique: Règles pour les interventions à distance 1/3


PGSSI-S 15

Cahier des

charges

-

Exigences de

sécurité

Contrat

-

Clauses générales

& particulières de

sécurité

Plan d’assurance

sécurité

-

Dispositions de

sécurité du

fournisseur

Convention

de service

-

Modalités

pratiques de

réalisation

sécurisée de la

prestation

Dispositions techniques de

sécurité

-

Mécanismes de protection

des échanges et des accès

Documents contractuels

Règles relatives à la

sécurité de la prestation

fournie

Règles relatives à la

sécurité de la prestation

fournie

Règles relatives à la sécurité de

l’environnement du fournisseur

Règles relatives à la sécurité de

l’environnement du fournisseur

Règles relatives à la sécurité


Règles relatives à la sécurité


Volet technique Volet organisationnel Description Engagement



PGSSI-S 16

N° Règle

Applicabilité

Niveau

exigibilité

Télé

surv

eill

ance

Télé

main

tenance

Télé

assis

tance

Le responsable du SIS doit s’assurer de la mise en œuvre des dispositions techniques de sécurité suivantes dans le SIS. S’il n’en a

pas les capacités techniques, il peut déléguer par contrat la mise en œuvre de ces mesures au fournisseur.

[T1] La connexion directe du télé-mainteneur sur des équipements contenant des applications

ou des informations à caractère personnel doit être évitée.

Dans la mesure du possible, un point (ou passerelle) d’accès distant est mis en place pour

accéder aux équipements objets de l’intervention à distance. Dans ce cas les règles [T2] à

[T5] sont à mettre en œuvre. Dans le cas contraire, les règles [T6] à [T8] s’appliquent

X X X Palier 1

[T2] o Les équipements sont reliés à ce point d’accès par un réseau d’administration mis

en œuvre soit via un réseau dédié physiquement distinct du reste du SIS, soit via

une DMZ ou tout autre mécanisme permettant une isolation logique entre les flux

d’administration et le reste du SIS. Cette isolation logique se fera de préférence au

moyen d’un VPN.

X X X Palier 1

[T3] o Le point d’accès distant doit être protégé contre les attaques logiques en

provenance des réseaux et son contournement en vue d’accéder au réseau du SIS

ne doit pas être possible dans la pratique. X X X Palier 1

[T4] o Le point d’accès doit faire l’objet d’audits de sécurité renouvelés destinés à vérifier

sa mise en œuvre et sa résistance aux tentatives d’intrusion dans le SIS. X X X Palier 2

[T5] o Les échanges entre la plateforme d’intervention et le point d’accès distant au SIS

doivent être protégés par des fonctions de chiffrement et d’authentification

mutuelle. Ces fonctions sont de préférence conformes au Référentiel Général de

Sécurité (RGS).

X X X Palier 2



PGSSI-S 17

Le « guide d’élaboration et de mise en œuvre d’une PSSI pour les structures des

secteurs sanitaire et médico-social - Structure sans approche SSI formalisée » est

conçu pour apporter aux structures de santé une aide concrète dans la définition et

la mise en application de leur Politique de Sécurité du Système d’Information.

Il consiste en:

• Un guide qui explique la logique d’élaboration d’une PSSI et la démarche d’utilisation des autres

document pour rédiger la PSSI d’une structure et en suite la mise en œuvre

• Un modèle de PSSI qui peut être directement repris comme une PSSI de structure avec

d’éventuelles mises à jour marginales pour adaptation au contexte de la structure

• Un plan d’action SSI qui permet la priorisation et le suivi détaillé de la mise en œuvre des règles

identifiées dans le canevas

• Deux modèles de chartes (charte sécurité pour les personnels IT et de charte d’accès et d’usage

du système d’information) qui peuvent être directement repris comme des chartes applicables aux

personnels de la structure avec d’éventuelles mises à jour pour adaptation au contexte de la

structure

• Une annexe couverture PSSIE qui permet aux structures soumises à la PSSIE d’évaluer leur taux

de couverture des exigences PSSIE en fonction des règles de la PSSI qui ont été mises en œuvre.

Exemple d’utilisation d’un guide organisationnel: Guide PSSI


En savoir plus

PGSSI-S 18

Espace dédié à la PGSSI-S sur le site esante.gouv.fr :

http://esante.gouv.fr/pgssi-s/presentation

Contact :

[email protected]






mailto:[email protected]



Healthcare

2015-05-21 Atelier N°14 SSA 2015 "Politique générale de sécurité des SIS : comment mieux utiliser les référentiels de sécurité ?"