2015-10-07 Colloque SIS "La PGSSI-S" - Diaporama

Ministère des affaires sociales, de la santé et des droits des femmes

La Politique générale de sécurité des systèmes d’information de santé (PGSSI-S)

• Colloque sur la sécurité des systèmes d’information dans les établissements sanitaires et médico-sociaux - Paris - 7 octobre 2015

• Frédérique POTHIER (DSSIS, ministère des affaires sociales, de la santé et des droits des femmes) et Manuel METZ (PUSC, ASIP Santé)

Délégation à la stratégie des systèmes d’information de santé (DSSIS)

santé (PGSSI-S)

2Ministère des affaires sociales , de la santé et des droits des femmes

Délégation à la stratégie des systèmes d’information de santé

Enjeux de la PGSSI-S

�Assurer la sécurité des patients, et pas seulement la

protection de la confidentialité des données et du secret

professionnel

�Créer un espace de confiance permettant de susciter



�Créer un espace de confiance permettant de susciter

l’adhésion (et l’usage des SI) des professionnels de santé,

des patients, du grand public

�Favoriser la prise en compte de la SSI dans l’offre industrielle

de SI de santé

Objectifs de la PGSSI-S

�Définir les niveaux d’exigence, les règles et les moyens

juridiques, organisationnels, techniques et humains

nécessaires pour garantir la sécurité de l’information dans

les secteurs sanitaire et médico-social

�Au bénéfice des professionnels, des établissements et des



�Au bénéfice des professionnels, des établissements et des

patients :

• Établissements et professionnels, quels que soient les modes d’organisation et les lieux d’exercice

• Toutes les applications assurant le traitement de données de santé directement ou indirectement nominatives, voire anonymisées

• Domaine sanitaire et médico-social

Place de la PGSSI-S

�Politique sectorielle applicable à tous les SI assurant le

traitement de données de santé des secteurs sanitaire et

médico-social

�Complète les politiques de l’Etat avec lesquelles elle est en



cohérence :

• Référentiel général de sécurité (RGS)• Tous les SI permettant des échanges d’informations entre administrations ou

avec les citoyens

• Politique de sécurité des SI de l’Etat (PSSIE)• Tous les SI des administrations de l’Etat

• Politique ministérielle de sécurité des SI (PMSSI)• Cadre général régissant la mise en œuvre de la sécurité des SI pour

l’ensemble du périmètre des ministères chargés des affaires sociales

Démarche de construction de la PGSSI-S (1/4)

�Commande du SG des ministères sociaux en septembre 2011

�Lancement des travaux et premier comité de pilotage en mars

2012 :

• MOA stratégique = DSSIS - MOA opérationnelle = ASIP Santé

�Une démarche pragmatique, volontariste et collective :

• Une revue systématique du cadre juridique et technique, une prise en



• Une revue systématique du cadre juridique et technique, une prise en compte de l’existant : PMSSI, PSSIE, RGS, recommandations de l’ANSSI…

• La prise en compte de la variété des contextes d’exercice professionnel

• Une action d’amélioration continue des pratiques, une progression par paliers, des exigences réalistes

• Participation de tous les acteurs concernés : l’Etat et ses agences, la CNIL, les professionnels des secteurs santé et médico-social, les usagers du système de santé, les industriels, l’assurance maladie

�Un comité de pilotage :

• Composition : directions d’administration centrale du ministère, ANSSI, CNAMTS, CNIL, CNSA, HFDS

• Fonction :– Pilotage du projet PGSSI-S

– Décision de mise en concertation publique des documents

– Validation de la prise en compte des commentaires issus de la concertation


7

– Validation de la prise en compte des commentaires issus de la concertation

�Des groupes de travail thématiques :

• Composition : institutionnels, ordres et associations de professionnels de santé, RSSI d'établissement de soin, organisations représentatives d'industriels du secteur

• Fonction :– Contribution à l’élaboration des documents

– Validation des versions à proposer au COPIL pour mise en concertation

Ministère des affaires sociales , de la santé et des droits des femmes


�Un comité de concertation :

• Composition : représentants des professionnels et des établissements de santé, des patients, des industriels du secteur

• Fonction :– Lieu d’échange sur la démarche et sur les éléments constitutifs de la PGSSI-S


8

– Alimentation en participants des GT

– Participation à la diffusion et à la promotion des documents validés

�Une mise en concertation publique sur le site de l’ASIP Santé

http://esante.gouv.fr/pgssi-s/espace-concertation




�Une publication sur le site de l’ASIP Santé

http://esante.gouv.fr/pgssi-s/presentation



9

Le corpus documentaire à ce jour

Principes fondateurs de la PGSSI-S

Identification Authentification Guide

pratique pour

Bibliographie

Doc

umen

ts

chap

eau

Mémento de sécurité

Guide pratique pour

Guides organisationnels

Référentiels techniques Guides pratiquesGuides

juridiques



des acteurs de santé

Authentification des acteurs de

santé

Imputabilité

pratique pour les dispositifs

connectés…

Doc

umen

ts c

orps

Identification des patients

Authentification des patients

sécurité informatique en exercice

libéral

pratique pour la mise en place d’un accès Wifi

Règles pour les

interventions à distance

Guide pratique pour la destruction de données

Règles de sauvegarde des SI de

santé

Règles pour la mise en place d’un accès tiers

Plan de continuité

informatique

PubliéEn

concer-tation

Guide d’élaboration et de mise en

œuvre de PSSI

En projet 10

Gestion des événements

sécurité

Mécanismes de protection de l’intégrité des données

stockées

Gestion des habilitations

d’accès

Les travaux en cours et à venir (1/2)

�Mettre en œuvre l’article 25 du projet de loi de modernisation

de notre système de santé :

• Après l’article L. 1110-4 du code de la santé publique, il est inséré un article L. 1110-4-1 ainsi rédigé :

« Art. L. 1110-4-1. - Afin de garantir la qualité et la confidentialité des données de santé à caractère personnel et leur protection, les professionnels de santé, les établissements et services de santé, les



professionnels de santé, les établissements et services de santé, les hébergeurs de données de santé à caractère personnel et tout autre organisme participant à la prévention, aux soins ou au suivi médico-social et social utilisent, pour leur traitement, leur conservation sur support informatique et leur transmission par voie électronique, des systèmes d’information conformes aux référentiels d’interopérabilité et de sécurité élaborés par le groupement d’intérêt public mentionné à l’article L. 1111-24. Ces référentiels sont approuvés par arrêté du ministre chargé de la santé, pris après avis de la Commission nationale de l’informatique et des libertés. »

�Mettre en œuvre le nouvel article 27 quater du projet de loi de

modernisation de notre système de santé :

• Après l’article L. 1111-8-1 du code de la santé publique, il est inséré un article L. 1111-8-2 ainsi rédigé :

« Art. L. 1111-8-2. - Les établissements de santé, les organismes et services exerçant des activités de prévention, de diagnostic ou de soins

Les travaux en cours et à venir (2/2)

services exerçant des activités de prévention, de diagnostic ou de soins signalent sans délai à l’agence régionale de santé les incidents graves de sécurité des systèmes d’information. Les incidents de sécurité jugés significatifs sont, en outre, transmis sans délai par l’agence régionale de santé aux autorités compétentes de l’État.

« Un décret définit les catégories d’incidents concernés et les conditions dans lesquelles sont traités les incidents de sécurité des systèmes d’information. »



Focus sur le guide d’élaboration d’une PSSI

�Objectif du guide

• Le guide a pour objectif de permettre le développement d’une Politique de Sécurité du Système d’Information (PSSI) par un établissement de santé qui n’a pas d’approche sécurité du SI formalisée



formalisée

• C’est un guide de rédaction de PSSI et de suivi de sa mise en œuvre (vs. méthode d’analyse de risques):

• Pas d’analyse de risque spécifique : PSSI basée sur analyse de risque « modèle»

• Une PSSI « modèle » (canevas PSSI) à reprendre telle quelle ou à adapter


�Contenu

• Afin de faciliter son utilisation, le guide est constitué de 3 documents distincts et 3 documents annexes :

Document Cible Contenu

Guide PSSI Tout public impliqué dans la sécurisation du SI Guide de mise en place

Canevas PSSI Personnels en charge de la rédaction de la PSSI et Modèle directement utilisable



Canevas PSSI Personnels en charge de la rédaction de la PSSI et personnels en charge de l’application des règles

Modèle directement utilisable

Plan d’action SSI Personnels en charge du suivi de l’application des règles Modèle directement utilisable

Annexe Cible Contenu

Modèle de charte sécurité pour personnel IT

Personnels en charge de la rédaction de la PSSI

Exemple adaptable

Modèle de charte d’usage Personnels en charge de la rédaction de la PSSI

Exemple adaptable

Couverture PSSIE Personnels en charge de la conformité à la PSSIE (si applicable)

Liste de règles du canevas permettant de mettre en œuvre les objectifs de la PSSIE


� Guide PSSI

• Le guide PSSI explique la logique d’élaboration d’une PSSI et la démarche d’utilisation du canevas PSSI pour rédiger la PSSI d’une structure et du plan d’action SSI pour suivre la mise en œuvre de la PSSI

� Canevas PSSI

• Le canevas PSSI est un modèle de PSSI qui peut être directement repris comme une PSSI de structure avec d’éventuelles mises à jour marginales pour adaptation au contexte de l’établissement



pour adaptation au contexte de l’établissement• Les règles contribuant à l’atteinte des prérequis hôpital numérique et/ou aux

objectifs de la PSSIE sont signalées avec identification des prérequis et des objectifs concernés via des cartouches spécifiques

• Les référentiels et guides pratiques de la PGSSI-S qui permettent d’approfondir les règles du canevas PSSI sont signalés tout au long du canevas

� Plan d’action SSI

• Le plan d’action PSSI est un outil permettant le suivi détaillé de la mise en œuvre des règles identifiées dans le canevas. Il intègre le suivi des coûts

Autre exemple de document PGSSI-S

�Règles pour les interventions à distance sur les systèmes

d’information de santé

• Règles de sécurité pouvant être utilisées directement dans les documents contractuels encadrant les interventions

Règles relatives à la sécurité de la prestation

fournie

Règles relatives à la sécurité de l’environnement du fournisseur

Règles relatives à la sécurité des échanges et des accès



Cahier des charges

-Exigences de

sécurité

Contrat-

Clauses générales & particulières de

sécurité

Plan d’assurance sécurité

-Dispositions de

sécurité du fournisseur

Conventionde service

-Modalités

pratiques de réalisation

sécurisée de la prestation

Dispositions techniques de sécurité

-Mécanismes de protection des échanges et des accèsDocuments contractuels

fournie des échanges et des accès

Volet organisationnelDescriptionEngagement

2015-10-07 Colloque SIS "La PGSSI-S" - Diaporama

Technology

Transcript of 2015-10-07 Colloque SIS "La PGSSI-S" - Diaporama