support de présentation · présentation du guide destiné aux équipes de directions des...
TRANSCRIPT
PRÉSENTATION DU GUIDE DE LA DGOS À L’ATTENTION DES DIRECTIONS
Auriane Lemesle, RSSI TéléSanté Centre
Introduction à la Sécurité des Systèmes d’Information en établissements de santé
Fiche N°1 : Les enjeux de la sécurité de l’information pour l’établissement de santé
Fiche N°2 : Maîtriser la sécurité du SI, comment ?
Fiche N°3 : Définition de la sécurité du SI dans les établissements de santé
Fiche N°4 : La Direction acteur important de la démarche sécurité
Fiche N°5 : Prérequis : un diagnostic et une gouvernance sécurité
Fiche N°6 : La sécurité avant d’autres projets : le bon arbitrage
Fiche N°7 : Les facteurs clés de succès de la démarche
Fiche N°8 : La communication : un levier essentiel
Fiche N°9 : La documentation sécurité : un minimum est nécessaire
Fiche N°10 : Les coûts de la sécurité
Présentation du guide
Destiné aux équipes de Directions des établissements de santé, publics comme privés
Fait partie de la PGSSI-S
Basé sur les retours d’expérience de deux projets régionaux, dans le Nord Pas de Calais et dans le Limousin
Pas d’ordre de lecture imposé.
Fiche N°1 : Les enjeux de la sécurité de l’information pour l’établissement de santé
Rappelle les enjeux et le contexte vis-à-vis des nouvelles technologies de l’information et de la communication.
L’évolution des pratiques
Le lien entre incidents de sécurité et qualité de l’offre de soins
Les conséquences des incidents
Les menaces qui pèsent sur le système d’information
La sécurité pour maîtriser le coût des incidents
Impacts possibles d’un incident sur le SI
Réputation / image
De l’événement qui ne porte pas atteinte à l’image de l’établissement au rejet définitif des patients pour un établissement
Social & organisation
De la gène ponctuelle à l’arrêt prolongé de toute activité de soins
De la démotivation du personnel au conflit social
Financier
De la perte sans impact significatif à celle remettant en cause l’équilibre financier de l’établissement
Responsabilité / juridique
De l’affaire classée sans suite à la condamnation pénale ou risques judiciaires
Patient
De l’inconfort au décès
Sécurité des SI
Disponibilité L’information doit être disponible à tout moment aux personnes qui ont accès à cette information.
Intégrité
L’information doit être précise, complète et ne doit ni être altérée, ni altérable. Les informations ne doivent pouvoir être modifiées que par les personnes autorisées.
S’assurer que l’information est seulement accessible à ceux qui en ont l’autorisation.
Preuve et le Contrôle
Assurer la non-répudiation c’est-à-dire l’impossibilité de nier avoir reçu ou émis un message (preuve) et le contrôle du bon déroulement d’une fonction c’est-à-dire l’auditabilité.
Confidentialité
Qualité et continuité des soins
Secret professionnel
Responsabilité
Apports de la sécurité
Qualité
•Performance
•Disponibilité de l’information
•Espace de confiance
Economies
•Réduction des coûts de la non qualité
•Diminution des charges
• Limitation des risques projets
•Non perte de chiffre d’affaire
Notoriété • Image de marque
•Confidentialité
Fiche N°2 : Maîtriser la sécurité du SI, comment ?
Donne les objectifs d’une démarche de sécurité du SI avec les principes permettant de maîtriser sa mise en place et les actions prioritaires pour initier la démarche.
Les objectifs de sécurité du système d’information
Répondre aux exigences règlementaires et de certification
Valider une démarche réaliste et conforme aux objectifs prioritaires
Mettre en place une organisation légitime
Initier une démarche d’amélioration continue
Sensibiliser et informer
S’appuyer sur les aides extérieures
Fiche N°3 : Définition de la sécurité du SI dans les établissements de santé
Présente le fondement d’une démarche sécurité ainsi que les projets majeurs associés.
Définition de la sécurité du système d’information
Notions fondamentales : DICP
Une démarche itérative composée de plusieurs projets
Sécurité des SI
Sécurité des Systèmes
d’Information
Organisation
Méthodes
Techniques
Outils
80 %
20 %
Garantir l’intégrité et la disponibilité des informations et des
traitements
Préserver la confidentialité des
données
Prouver et contrôler que les traitements
ont été réalisés dans le strict respect de la
législation
Fiche N°4 : La Direction acteur important de la démarche sécurité
Précise les différents points où l’action de la Direction est nécessaire.
Les rôles de la Direction dans la démarche
Un soutien obligatoire pour une démarche réussie
Les actions à lancer
La charte d’usage du système d’information
Personnes à impliquer
Les services généraux pour les aspects de sécurité physique d’accès aux locaux et de sécurisation des équipements et fluides
Le service informatique, qui est le garant de la mise en œuvre du plan d’action relevant de la sécurité informatique.
Le correspondant informatique et libertés (CIL).
Le responsable des risques et/ou le responsable qualité et sécurité des soins, qui permet d’intégrer la sécurité SI dans une gestion globale et coordonnée des risques.
Le responsable de la communication
Fiche N°5 : Prérequis : un diagnostic et une gouvernance sécurité
Indique par quoi commencer et donne des repères pour organiser la démarche.
Pré-diagnostic : 10 questions à se poser
Faire réaliser un diagnostic externe
Démarche d’analyse de risques
Elaboration du plan d’actions
Similarité avec la démarche qualité
Pilotage et organisation
Plan d’action sécurité SI Politique de sécurité du SI
Les démarches qualité et sécurité
ACTIVITÉS DE L’ÉTABLISSEMENT
OBJECTIFS Maîtrise des risques
SSI Médicaux et techniques
Evaluer le risque
Rectifier le traitement du
risque
Surveiller le risque
Traiter le risque
Engagement de la Direction
• Comité de pilotage • Responsable SSI
• Comité de pilotage • Responsable Qualité
Cellule de gestion
des risques
Plan d’action qualité Manuel Qualité
Sécurité Qualité
Evaluer le risque
Rectifier le traitement du
risque
Surveiller le risque
Traiter le risque
Organisation
Un référent sécurité qui pilote la démarche de
sécurité (suivi des risques, information de la Direction, production de tableaux de bord, veille technologique et réglementaire, organisation d’audits…)
Une instance de pilotage (dédiée ou non) se
réunissant périodiquement et dans laquelle seront évoqués les risques et les mesures opérationnelles de sécurité. Cette instance doit réunir une représentation aussi complète que possible des services de l’établissement (DRH, Services Généraux, Informatique, services de soins, services logistiques…)
Fiche N°6 : La sécurité avant d’autres projets : le bon arbitrage
Propose aussi de commencer par des actions « pépites » relativement faciles à mettre en place.
L’arbitrage des priorités
Arbitrage par les gains : identifier les actions pépites
Arbitrage par les risques
Une bonne pratique budgétaire
Fiche N°7 : Les facteurs clés de succès de la démarche
Décrit les retours d’expérience de démarches réussies au sein des établissements.
Les trois éléments de base
La vision globale portée par la Direction
Point d’attention majeur : l’adhésion des utilisateurs
Démarche impérative même en l’absence d’incident
Documenter la démarche
Echange et mutualisation avec d’autres établissements
Fiche N°8 : La communication : un levier essentiel
Rappelle l’importance de la communication et les messages principaux dans une démarche sécurité.
La communication doit viser un double objectif
Les axes de communication
Le Directeur de l’établissement doit soutenir cette communication
Les principes généraux de communication
La communication vers les intervenants externes
Fiche N°9 : La documentation sécurité : un minimum est nécessaire
Décrit les principales briques documentaires.
La cartographie des risques
La politique de sécurité
La charte d’utilisation
Les procédures opérationnelles et techniques
Le plan d’actions pluriannuel
Fiche N°10 : Les coûts de la sécurité
Donne des pistes pour une évaluation budgétaire des coûts de la sécurité.
Un budget global difficile à chiffrer précisément
Une bonne pratique budgétaire
Un budget sécurité dans les projets d’évolution du système d’information
Les coûts pour la mise en place d’une gouvernance et d’une PSSI
La charge de travail pour l’amorçage du plan d’actions
Les coûts d’un projet de sécurisation des infrastructures
Les coûts d’un projet de la gestion de la confidentialité des données médicales