Pierre Desmarais, ASSURER LA SÉCURITÉ JURIDIQUE D’UN SIH · 2014. 5. 22. · Top 7 des failles...
Transcript of Pierre Desmarais, ASSURER LA SÉCURITÉ JURIDIQUE D’UN SIH · 2014. 5. 22. · Top 7 des failles...
ASSURER LA SÉCURITÉ JURIDIQUE D’UN SIH
Pierre Desmarais, Avocat - CIL
Assurer la sécurité juridique du SIH
Top 7 des failles de sécurité juridique
Top 7 des failles de sécurité juridique
v Les classiques n Afficher sur le tableau de service les identifiants et
mots de passe de tout le service n Ne pas avoir restreint l’utilisation perso de l’ordinateur
v Les surprenantes n Exécuter à la lettre un avis CADA n Laisser le service Marché rédiger seul un appel d’offres
v Les technico-juridiques n Se borner à imposer une clause de confidentialité à un
prestataire extérieur n Ne pas imposer au fournisseur d’interfacer le logiciel
d’aide à la prescription avec le dossier médical n Mettre des données dans le Nuage sans clause de réversibilité, ni garantie temps de rétablissement
Top 7 des failles de sécurité juridique
v Gérer la crise
Top 7 des failles de sécurité juridique
v Toutes ces failles auraient pu être évitées. Comment?
Assurer la sécurité juridique du SIH
Les prérequis pour assurer la sécurité juridique du SIH
v Pour garantir la sécurité juridique du SIH, il faut faire coopérer tout l’établissement
v passerelle de communication
Les prérequis
v Pour garantir la sécurité juridique du SIH, il faut faire coopérer tout l’établissement
n Parler le même langage n Ou établir une passerelle de communication
Les prérequis
???
Les prérequis
v Pour garantir la sécurité juridique du SIH, il faut savoir prioriser
Les prérequis
v Pour garantir la sécurité juridique du SIH, il faut savoir prioriser
Assurer la sécurité juridique du SIH
La sécurité du SIH… en interne
v Pourquoi une PSSI
n Un document obligatoire
n Un document harmonisé
n Un document pour garantir la continuité du service public hospitalier
PSSI et sécurité juridique
v Le droit dans la PSSI
PSSI et sécurité juridique
v Le droit dans la PSSI
n Lors de l’élaboration de la PSSI
n Dans le corps de la PSSI
n Lors de la révision de la PSSI
PSSI et sécurité juridique
v Sécurité organisationnelle n Gouvernance et pilotage de la PSSI
n Désignation d’un responsable de la sécurité du système d’information pour le pilotage quotidien et d’un décisionnaire pour les urgences
n Cellule de crise, cellule de veille, cellule d’audit n Définition des relations correspondant informatique et
libertés/responsable de la sécurité du système d’information/Directeur
n Gestion des délégations de pouvoir n Gestion de la documentation de sécurité n Clausier n Définition des cas de recours à la Direction des
Systèmes d’Information
PSSI et sécurité juridique
v Sécurité logique n Des mesures indispensables :
n Politique de gestion de droit, authentification, identification, verrouillage des postes, contrôle des logiciels avant leur installation
n L’utilisateur est un risque: n Contrôle des flux entrants et sortants, Bring Your Own
Device n L’utilisation du SIH depuis l’extérieur:
n Télétravail, coopération sanitaire n Télémédecine, hospitalisation à domicile
n Se prémunir du risque: n Preuve et journalisation
PSSI et sécurité juridique
Déclinaisons de la PSSI
v Possibilité de décliner la PSSI en PSSI sectorielle n Souci de lisibilité et de clarté
v De la pédagogie pour l’utilisateur n La Charte Informatique
v De l’anticipation pour la direction du système d’information : n Le plan de continuité d’activité n Le plan de reprise d’activité
Compléments à la PSSI
v De la sensibilisation / formation
v De la compliance n Désigner un correspondant Informatique et libertés
v De la veille n Juridique n Contractuelle n Technologique
Assurer la sécurité juridique du SIH
Sécurité du SIH… avec l’extérieur
Sécurité juridique … avec l’extérieur
v L’envoi de données à l’extérieur
n La communication du dossier médical
n Le partage de données avec des tiers
SSI juridique … avec l’extérieur
v La rédaction des marchés publics n Contrôler les logiciels avant leur achat
n S’assurer de la conformité au préalable n Veiller à la sécurité des données externalisées
n Clause de réversibilité n Clause de garantie temps de rétablissement n Clause d’interopérabilité
n S’assurer de la discrétion des prestataires n Clause de confidentialité n Clause de contrôle par le département d’information
médicale
Assurer la sécurité juridique du SIH
Sécurité juridique du SIH… et prospective
Assurer la sécurité juridique du SIH
v Sécurité juridique du SIH et prospective
n L’expertise judiciaire du SIH
n L’opendata
n L’audit ANSSI