Auditabilité des SI et Sécurité - Care...
-
Upload
truongkhanh -
Category
Documents
-
view
216 -
download
0
Transcript of Auditabilité des SI et Sécurité - Care...
Auditabilité des SI et Sécurité
Principes et cas pratique
Géraldine GICQUEL
Rémi TILLY
Journée E-santé - La Villette – 17 décembre 2014
SOMMAIRE
1
2
3
4
Les leviers d’amélioration de la SSI
Les enjeux de la démarche
Les sujets abordés
Les facteurs clés du succès de la démarche
Journée E-santé - La Villette – 17 décembre 2014
Les leviers d’amélioration de la SSI
Amélioration de la SSI
Hôpital Numérique
Certification HAS
Normes ISO 27001, ISO 20000, ISO 9001
CNIL
Accréditation des Laboratoires, COFRAC
Certification des comptes
PGSSI-S,PSSI-E
Journée E-santé - La Villette – 17 décembre 2014
PSSI-E
P2
Les leviers d’amélioration de la SSI
HN
P2.1
HAS
5.a
EvalSI
SDSI PRA
HN
P2.2
PSSI
HN
P3.1
HAS
5.b
CC-Aud
F1
HAS
2.e
Gestion
Risques
Gestion
documentaire
HAS
5.c
CC-Aud
Etap.1
PSSI-E
P3
Journée E-santé - La Villette – 17 décembre 2014
Les leviers d’amélioration de la SSI
Capitalisation entre les démarches (exemples)
Certification HAS Hôpital Numérique Auditabilité du SI
Critère 5b (sécurité du système d'information) Eclairage du E1-EA1: La sécurité des données et organisée (définition des responsabilités, formalisation et diffusion des procédures, etc.)
P3.1: Existence d'une politique de sécurité formalisée pour les applications au cœur du processus de soins et fondée sur une analyse des risques au sein de l'établissement ; existence d’une fonction de référent sécurité
ETAPE 1 - Préparer la prise de connaissance du SI – Chapitre 1 Organisation de la fonction SI dans l’EPS : « L’organisation de la DSI, les responsabilités des différents acteurs (..) »
Journée E-santé - La Villette – 17 décembre 2014
Les enjeux de la démarche d’auditabilité du SI
Impact des incidents de sécurité sur la qualité de l’offre de soin
• Disponibilité
• Intégrité
• Confidentialité
• Traçabilité
Qualité et Continuité des soins
Secret professionnel
Responsabilité
Journée E-santé - La Villette – 17 décembre 2014
Les Fiches Pratiques (exemple)
Mise en oeuvre
Une matrice de séparation des tâches existe et est validée.
La matrice a été appliquée dans les systèmes (construction des profils, etc.).
Les profils d'autorisation dans les applications correspondent à la matrice de séparation des tâches.
La politique de sécurité traite des points relatifs à la séparation des tâches.
Documentation à préparer
Matrice de séparation des tâches validée par le management
Eléments à préparer
Formalisation
Objectif
Les principes de séparation des tâches sont respectés pour les applications du périmètre (voir guide partie 2.3.1).
Exemple de bonnes pratiques
Une matrice de séparation des fonctions est définie et validée par la direction générale et est appliquée au niveau informatique.
Thème Matrice de séparation des tâches
Fiche 7 - Matrice de séparation des tâches
Catégorie Contrôles généraux informatiques Domaine Configuration des droits d'accès
Journée E-santé - La Villette – 17 décembre 2014
LES SUJETS ABORDÉS
1
2
Gouvernance
Accès Logique au SI
3 Accès Physique au SI
4 Gestion du Changement
5 Développement et Acquisition
6 Exploitation et Sauvegarde
7 Gestion des incidents
Journée E-santé - La Villette – 17 décembre 2014
Gouvernance – Exigences
• Stratégie du SIH : Schéma Directeur, Projets
• Organisation de la DSI
• Cartographie applicative et interfaces
• Gestion des contratsSDSI
CC-Aud
F1
Journée E-santé - La Villette – 17 décembre 2014
Gouvernance – Application
• Essentiellement de la formalisation• Documents modèle disponible dans boîte à outil HN, dans guide
auditabilité du SI de la DGOS
Journée E-santé - La Villette – 17 décembre 2014
Gouvernance – Application
Journée E-santé - La Villette – 17 décembre 2014
Gouvernance – Application
Journée E-santé - La Villette – 17 décembre 2014
Gouvernance – Application
• Essentiellement de la formalisation
• Au CHIPS, 3jrs de consultant expert sécurité, 10jrs ingénieur en interne pour réaliser l ’analyse de risques, la PSSI, le PRA/PCA et le plan d’actions SSI
Journée E-santé - La Villette – 17 décembre 2014
Gouvernance – Application
Journée E-santé - La Villette – 17 décembre 2014
Gouvernance – Application
Journée E-santé - La Villette – 17 décembre 2014
Accès logique au SI – Exigences
• Revue des comptes Utilisateur
• Compte générique
• Politique des mots de passe
• Compte Administrateur
• Attribution des droits en fonction des rôles
• Séparation des tâches
• Processus de gestion des utilisateurs
Journée E-santé - La Villette – 17 décembre 2014
Accès logique au SI – Application
• Gestion des génériques accédant au Dossier Patient Informatisé
• Livret accès aux ressources SI : sécurisation du mot de passe
• Entrée/sortie personnel : utilisation d’un logiciel connecté au logiciel RH
Extrait logigramme
Journée E-santé - La Villette – 17 décembre 2014
Accès logique au SI – Application
Journée E-santé - La Villette – 17 décembre 2014
Accès logique au SI – Application
• Gestion des génériques accédant au Dossier Patient Informatisé
• Livret accès aux ressources SI : sécurisation du mot de passe
• Entrée/sortie personnel : utilisation d’un logiciel connecté au logiciel RH
• Revue à organiser en routine
Journée E-santé - La Villette – 17 décembre 2014
Accès physique au SI – Exigences
• Accès sécurisé
• Gestion des personnes habilitées
• Équipement de sécurité
• Remontées d’alerte
Journée E-santé - La Villette – 17 décembre 2014
Accès physique au SI – Application
• Travaux réalisés à la salle de Saint Germain
Clé élec.
badge
Journée E-santé - La Villette – 17 décembre 2014
Gestion du changement – Exigences
• Formalisation des demandes de changements applicatifs
• Réalisation de tests pour les applications sensibles
• Accès aux environnements de production
• Gestion des changements Urgent
Journée E-santé - La Villette – 17 décembre 2014
Gestion du changement – Application
• Sur les applications critiques (RH,GEF,GAP,DPI, SIL,SIR)• Référent métier • base de test• Réunion de go/no go avec le référent métier avant
changement de version
• Traçabilité des changements via GLPI en cours de mise en place
Journée E-santé - La Villette – 17 décembre 2014
Développement et Acquisition – Exigences
• Prise en compte des besoins utilisateurs
• Développements/acquisitions testés, validés et documentés
• Processus de reprise des données
• Processus de mise en production
Journée E-santé - La Villette – 17 décembre 2014
Développement et Acquisition – Application
• Uniquement de l’acquisition
• Processus formalisé• Formalisation du besoin par le métier• Avis du Resp. du domaine• Choix procédure en fonction montant• Comité de choix du prestataire composé de représentants
du métier
Journée E-santé - La Villette – 17 décembre 2014
Exploitation et Sauvegarde – Exigences
• Liste des traitements d’exploitation
• Revue des traitements automatisés
• Plan de sauvegarde
• Gestion des bandes
• Procédure de restauration
• Tests de restauration
Journée E-santé - La Villette – 17 décembre 2014
Exploitation et Sauvegarde – Application
• Applications critiques hébergées au MIPIH, hébergeur agréé pour l’hébergement des données de santé
• Supervision des traitements automatisés via outil VTOM
• Sauvegarde et gestion des bandes assignés au MIPIH
• Restaurations réalisées lors la mise à jour des environnements de recette pour les tests de version majeure
Journée E-santé - La Villette – 17 décembre 2014
Gestion des Incidents – Exigences
• Procédure formalisée
• Dispositif d’escalade
• Rapport de traitement des incidents
• Outil de suivi
• Revue régulière
Journée E-santé - La Villette – 17 décembre 2014
Gestion des Incidents – Application
• Deux dispositifs :
• GLPI pour les demandes utilisateurs, mis en place en mars 2014, aujourd’hui autour de 800 demandes par mois
• Tableau de suivi des incidents majeurs d’exploitation
Journée E-santé - La Villette – 17 décembre 2014
Gestion des Incidents – Application
Date début
description Type Impact Date fin DuréePrestataireimpacté
Description technique
Action curative court terme
Action curative long terme
StatutCorrection
24/10/14 10:00
sidosmeddown
panne
plus de codage, plus de sortie aux urg ped
24/10/14 00:30:00 SIB
Impossible de coder le pmsi, impossible de faire les sorties aux urgences pédiatriques
redémarrage par la hotline SIB
identification cause par le SIB le 30/10/2014 : le traitement actes-en-retard fait planter SIDOSMEDsuspension de ce traitement par le MIPIH le 30/10/2014livraison correction anomalie par le SIB 20/11
OK
Journée E-santé - La Villette – 17 décembre 2014
Les facteurs clés du succès de la démarche
• La sécurité du SI n’est pas un projet informatique
• La mise en place d’objectifs atteignables
• L’identification des risques
• La production de documents Sécurité ciblés et compris de l’ensemble des utilisateurs
Journée E-santé - La Villette – 17 décembre 2014
Journée E-santé - La Villette – 17 décembre 2014
Journée E-santé - La Villette – 17 décembre 2014
Journée E-santé - La Villette – 17 décembre 2014