Project Cloud / Sécurité - Analyse de risques

Projet Sécurité : RSS

Mastère Spécialisé Cloud Computing et SaaS, 2014/20 15

Présenté par:

Dao Kasysavanh - Sébastien Kieger - Stéphane Ewbank - Yassir Qrichi

JURY PRESIDENT: O. Caleff MEMBRES: J. Lemée

T. Chiofalo

2

Table des matières

Contenu

I. Présentation globale de la solution ............................................................................................. 3

I.A Les fonctionnalités ...................................................................................................................... 3

I.B Les acteurs ................................................................................................................................... 4

I.C SWOT ............................................................................................................................................ 5

II. Analyse de sécurité ........................................................................................................................... 6

II.A Contexte ....................................................................................................................................... 6

II.B Surface d’attaque ........................................................................................................................ 7

II.C Les menaces ............................................................................................................................... 7

II.D Mise en place d’un SMSI ............................................................................................................ 8

II.E Analyse de risque ....................................................................................................................... 9

II.F Solutions de sécurité cloud ..................................................................................................... 10

II.G Principales mesures de contrôles de sécurité ...................................................................... 11

II.H Les engagements de sécurité ................................................................................................. 12

II.I Audit interne ............................................................................................................................... 12

II.J Gestion des incidents ............................................................................................................... 12

II.K Gestion des évènements de sécurité ..................................................................................... 13

II.L Gestion des vulnérabilités ........................................................................................................ 13

III. Caractéristiques techniques ......................................................................................................... 14

III.A Architecture technique ............................................................................................................ 14

III.B Prérequis ................................................................................................................................... 15

III.C Grille tarifaire ............................................................................................................................ 16

IV. Services annexes ........................................................................................................................... 17

IV.A Unité d’œuvre .......................................................................................................................... 17

IV.B Migration ................................................................................................................................... 17

IV.C PRA/PCA ................................................................................................................................... 18

V. Aspects Juridiques ......................................................................................................................... 22

V.A L’agrément ASIP ....................................................................................................................... 22

V.B Les engagements de l’hébergeur et du profession nel de santé ......................................... 23

V.C Le contrat .................................................................................................................................. 25

VI. Contrat de service SLA : Qualité de service et niveau d’engagement ..................................... 29

VI.A Engagements ........................................................................................................................... 29

VI.B Indicateurs ............................................................................................................................... 30

VI.C Suivis ........................................................................................................................................ 30

VI.D Pénalités ................................................................................................................................... 31

Conclusion ........................................................................................................................................... 32

Glossaire .............................................................................................................................................. 33

3

I. Présentation globale de la solution

I.A Les fonctionnalités La société RSS est un hébergeur agréé par l’Agence nationale des Systèmes d’Information Partagés de santé (ASIP). Elle met à disposition des services de connectivité, de sécurité et d’hébergement à destination des professionnels de santé. RSS s’intéresse aujourd’hui au cloud, essentiellement pour des raisons de coûts et pour répondre à la montée en charge de ses activités. La solution proposée est de transformer RSS en un fournisseur de cloud public mettant à disposition des services IaaS/SaaS à destination des professionnels de santé :

• Hébergement: les données sont hébergées sur des plateformes haute disponibilité accessibles 24h/24 et 7j/7;

• Sécurité: la solution garantie l’authentification et le contrôle des accès, le

chiffrement des flux et des données, la traçabilité et les éléments de preuves, la disponibilité et l’accessibilité des services hébergés;

• Localisation: les données restent sur le territoire national;

• Sauvegarde: les sauvegardes se font en ligne depuis un logiciel de santé fourni

en mode SaaS;

• Messagerie sécurisée pour la télétransmission des FSE en mode SaaS;

• Assistance 24h/24H, 7j/7.

4

I.B Les acteurs

• Les professionnels de santé : médecins, dentistes, pharmaciens…

• Les professions paramédicales : kinésithérapeutes, infirmières, pédicures, podologues, orthophonistes, orthoptistes, ergothérapeutes…

• Les fournisseurs de biens médicaux : audioprothésiste, oculariste, opticien-lunetier,

orthopédiste-orthésiste, orthoprothésiste, podo-orthésiste...

• Les laboratoires d’analyses médicales ;

• L’Assurance Maladie (AMO) ;

• Les Mutuelles complémentaires (AMC) ; Scénarios possibles d’utilisation:

La solution doit répondre aux processus métiers suivants:

• Réceptionner les données des professionnels de santé; • Héberger les données, transmettre des données à l’AMO et les AMC; • Transmettre des informations aux professionnelles.

5

I.C SWOT

Forces Faiblesses Opportunités Menaces

SaaS -Pure consommation - Hébergement agréé -Paiement à la consommation -Pas d’investissements (CAPEX) - Pas de personnel SI dédié. - Gestion interne de la configuration uniquement

- Dépendance totale à un fournisseur - Offre non adaptable, non spécifique - Aucune garantie sur les évolutions et les corrections des applicatifs - Dépendance totale du réseau - Multi tenant - Monitoring très restreint - Coût de la migration

- Toujours sur la dernière version logicielle - Possibilité de changer de fournisseur assez aisément.

- Isolement / Segmentation insuffisante - Aucun contrôle sur les mesures de sécurité -Territorialité - Contrat /SLA trop simplifié

Forces Faiblesses Opportunités Menaces

Iaas - Hébergement agréé - Paiement à la consommation - Elasticité - Support permanent sous réserve de souscription - Pas d’investissements (CAPEX)

- Hébergement Mutualisé si cloud public - clauses SLA non exhaustives - IAM insuffisants - Logs et journaux insuffisants - Dépendance totale du réseau - Coût de la migration

- Utilisation de solutions de sécurité complémentaires spécifiques et ciblées - Réduction des coûts (matériels, humains) -Optimisation des ressources matérielles - PCA ou PRA fourni par l’hébergeur - Accès aux dernières technologies

- Isolement / Segmentation insuffisante - Portabilité - Réversibilité -Contrat jamais exhaustif - Territorialité - Pertes de compétences internes - Totale dépendance au fournisseur

Le modèle PaaS a été abandonné car RSS sera exclusivement un fournisseur de services IaaS/SaaS.

6

II. Analyse de sécurité II.A Contexte Le choix de RSS est de se transformer en hébergeur de Cloud public à destination des professionnels de santé. La première action consiste à analyser le contexte d’un point de vue sécurité, que ce soit au niveau SaaS ou IaaS.

7

II.B Surface d’attaque On commence par lister l'ensemble des vulnérabilités qui peuvent impacter notre future infrastructure cloud en partant de l'extérieur avec les points d'accès, puis au niveau des couches SaaS et IaaS, pour finir au niveau des exploitants de la plateforme Cloud. Les vulnérabilités peuvent se rencontrer au niveau des applications, du système d'exploitation, des postes de travail ou de l’infrastructure cloud elle-même.

II.C Les menaces Après avoir listé l’ensemble des vulnérabilités lié au cloud, on constate qu’il en découle un certain nombre de menaces. Au niveau des accès externes, les menaces peuvent être de types:

• Buffer Overflow; • Injection SQL; • Déni de service; • Brute de force sur l'authentification.

En interne, les menaces peuvent provenir:

• Des API et du code non sécurisés; • Des attaques sur l'hyperviseur; • Des failles XSS; • D’un mauvais paramétrage des RBAC (gestion des rôles) et des ACL; • D'un changement non planifié; • D'une attaque brute sur l'authentification; • De la malveillance humaine; • De l’emploi de codes malveillants (DNS poisoning, XSS, Phishing)

8

II.D Mise en place d’un SMSI L’implémentation d’un Système de Management de la Sécurité de l’Information répond à plusieurs objectifs:

• Réaliser une analyse des risques en fonction des différents composants qui doivent être mis dans le cloud et évaluer les différents risques afin de mettre en place les solutions de sécurités disponibles sur marchés pour réduire ces risques au maximum;

• Déployer les différentes solutions de sécurité dans l'infrastructure et évaluer

les composants de sécurités à travers des indicateurs;

• Mettre en place des indicateurs, des audits internes et des contrôles de conformité afin d'évaluer l'adéquation des règles mises en places avec la PSSI de l'entreprise;

• Afin d’assurer l’amélioration continue de notre Système d’information, on

mettra en place une équipe dédiée à la gestion des incidents, de la veille sur les vulnérabilités et de la gestion de la sécurité.

Tout cela dans l'optique d'une amélioration continue de la sécurité:

9

II.E Analyse de risque De l'analyse de risque va découler un ensemble de solutions à mettre en place afin d’obtenir un risque résiduel acceptable pour l'infrastructure cloud.

10

II.F Solutions de sécurité cloud Afin de sécuriser les différentes couches du cloud, un ensemble d’outils va être mis en place pour réaliser les opérations de prévention, de détection/surveillance et de protection du cloud:

Outils de sécurité pour la couche Web:

11

II.G Principales mesures de contrôles de sécurité La mise en place des indicateurs de sécurité permet de mesurer l'efficacité du SMSI. Ci-dessous la liste des principales mesures de contrôles de sécurité:

12

II.H Les engagements de sécurité Les engagements de sécurité vis-à-vis des clients sont les suivants:

• Connexion: Une authentification forte (login/password + carte CPS + token ou bien biométrie)

• Données: Chiffrage SSL des données entre le navigateur du praticien et le

cloud: SSL – Accès sécurisé au web service : RestFul (HTTPS)

• Supervision de la sécurité en temps: Assurer une surveillance en temps réel de la sécurité en mettant en place des outils de supervision et une revue mensuelle des tableaux de bord sécurité.

II.I Audit interne L’audit interne va concerner les composants suivants de la PSSI:

• Politique de Sécurité; • Organisation; • Gestion des droits des personnes; • Ressources humaines; • Contrôle d’accès; • Télécommunications; • Traçabilité; • Gestion des incidents; • Test plan de Sauvegarde; • Continuité de service; • Gestion des évolutions Conformité.

II.J Gestion des incidents Dans la phase d’amélioration continue, la gestion des incidents, des vulnérabilités et des évènements est une obligation du SMSI:

13

II.K Gestion des évènements de sécurité

Vue d’ensemble de la gestion des événements de sécurité et de son rôle dans la surveillance () II.L Gestion des vulnérabilités

Procédure de correction de la sécurité.() Liste des sites open des vulnérabilités :

• (en) OSVDB : Liste open source des vulnérabilités; • (en)(fr) scip VulDB : Liste open des vulnérabilités; • (en)(fr) Définition et liste des vulnérabilités sur le site de Microsoft; • (fr)Pôle ARESU de la DSI du CNRS : Étude sur les failles de sécurité des

applications Web.

14

III. Caractéristiques techniques

III.A Architecture technique

Les professionnels de santé se connectent au Data Center par SSL ou VPN en fonction du service cloud auquel ils veulent accéder.

Le répartiteur de charge va rediriger le trafic à l’intérieur du Data Center au moyen de l’algorithme round robin.

S’agissant d’un cloud public, l’architecture est de type multi-tenant. Par conséquent, chaque couche est isolée :

• la couche applicative sépare les instances d’une même application pour différents clients;

• les environnements d’exécutions sont isolés avec des machines virtuelles; • le réseau interne est segmenté en VLANs ; • le stockage est isolé avec des mécanismes tels que le LUN masking ou SAN

zoning.

L’infrastructure est monitorée 24h/24, 7j/7 avec l’outil de supervision Nagios. Afin d’éviter les SPOF, les équipements du Data Center sont redondés. Les données sont répliquées sur un second Data Center (pas sur le schéma) par deux liaisons fibre noire hébergées chez deux ISP différents.

15

III.B Prérequis Voici la liste des prérequis au niveau du poste client et des composants de l'infrastructure cloud: Poste client :

Config minimum Config recommandée Processeur Mono Core 1,2 Ghz Dual Core 2,4 Ghz

Mémoire 1 Go 4 Go OS Windows 7 et supérieur, Linux, client Mac

Java Dernière version stable Internet ADSL 1 Mb/s SDSL 4 Mb/s Sécurité Ports TCP ouverts: 80, 443

OS et navigateurs supportés poste client:

Linux Mac OS 10.6 ou

supérieur Windows Vista/7 Windows 8

Safari 7.x

Internet Explorer 9 Internet Explorer

10 Internet Explorer



11 Google Chrome Google Chrome Google Chrome Google Chrome

Firefox 4 ou supérieur Firefox 4 ou supérieur

Firefox 4 ou supérieur

Firefox 4 ou supérieur

Serveur cloud :

Scale Unit Processeur Octo Core 2 Ghz

Mémoire 256 Go Disque (OS) 2 SAS RAID 1

Stockage local 146 Go Hyperviseur Hyper-V 3

Réseau :

Nb de NCIs dédiées Rôles des NCIs 10 Gb 3 2 NCIs 10 Gb pour le trafic, 1 NCI 1 Gb pour le management

Connectivité SAN :

Nb de NCIs dédiées Fibre Channel 2 - 4GB FC HBAs

16

III.C Grille tarifaire Ci-dessous la grille tarifaire des services cloud que proposera RSS:

Services SaaS Abonnement Prix € HT Prix € TTC Sauvegarde en ligne

1 Go Tarif mensuel 8,33 9,99 2 Go Tarif mensuel 10,83 12,99 5 Go Tarif mensuel 14,99 17,99



Messagerie santé 1 BAL FSE Tarif mensuel 4,17 5

20 BAL FSE Tarif mensuel 25 30

Assistance/hotline Abonnement Tarif mensuel 4,18 5,02

Connexion au service A la minute 1,26 1,52 Messagerie vocale Tarif mensuel 5,85 7,02

Services IaaS vCPU RAM Espace disque Abonnement

Prix € HT

Prix € TTC

Machines virtuelles

Small 2 2 Go 25 Go Tarif mensuel 9,99 11,99 Medium 4 4 Go 50 Go Tarif mensuel 15,99 19,19 Large 6 8 Go 100 Go Tarif mensuel 29,99 59,99

Extra Large 8 16 Go 200 Go Tarif mensuel 59,99 71,99

17

IV. Services annexes

IV.A Unité d’œuvre Le modèle de sous-traitance en Unité d’Œuvre au plus juste de la consommation réelle et en fonction de la variabilité de l’activité en prestation informatique s’impose dans la facturation des services en mode Cloud. Il repose sur la définition de “prestations packagées” à un prix fixé. En mode Iaas, la facturation en Unité d’Œuvre est fonction du nombre de Serveurs, Machines Virtuelles, CPU, RAM et Stockage.

Nous proposons en option les Services facturés en Unité d’Œuvre selon le périmètre de votre SI.

Nos domaines d’expertise:

• Migration; • PRA/PCA; • Sauvegarde; • Stockage; • Archivage; • Snapshot.

IV.B Migration

Le périmètre du SI éligible à la migration dans le Cloud a été défini dans notre étude au préalable; nous pouvons vous offrir nos compétences pour effectuer la migration de votre SI dans le cloud. Afin de mener à bien cette phase de migration, il est important que les équipes client et fournisseur travaillent en étroite collaboration.

Les phases de la Migration:

• Audit de l’existant du SI Il est nécessaire de définir les périmètres matériels et logiciels à migrer dans le Cloud.

- Les serveurs: CPU, RAM, Volumétrie disque - Les Applications: critiques, importantes, non critiques - Réseaux: routeurs, switches - Sauvegarde de l’ensemble du périmètre

• Préparation de l’environnement dans le Datacenter - Créer le périmètre défini à l’identique du site actuel dans le Cloud du site Datacenter : virtualisation des serveurs, serveurs dédiés rackés

- Création des Réseaux: Vlan. • Transfert des Données dans le Cloud

- Transport des Données dans des containers sécurisés - Le transporteur doit être accrédité

- Dans le cas de petite volumétrie, le transfert est effectué de façon sécurisée par le réseau (SSL, cryptage) - Dans le cas de grosse volumétrie, nous utiliserons les lecteurs LTO-4, LTO-5 et LTO-6 qui font appel au cryptage AES 256 bits garantissant ainsi des niveaux de sécurité optimaux : Cryptage certifié FIPS avec prise en charge du protocole KMIP permettant de gérer facilement les clés de cryptage

18

- Restauration de l’ensemble du périmètre des serveurs et postes de travail utilisateurs - Test de la restauration du périmètre - Recette

• Validation • Réplication du périmètre sur un autre DataCenter par sécurité de la première

bascule - Test et Validation des applicatifs dans ce deuxième site

• Bascule et Mise en production Pour garantir le succès de cette migration, une réorganisation des fonctions du personnel du SI accompagné de plans de formation est nécessaire. Notre équipe Support Technique est à votre service dans cette phase de Migration. Il est à noter que la durée de cette phase de migration est plus ou moins longue selon le périmètre que l’on souhaite migrer : nombre de serveurs, la volumétrie des données, la complexité de l’environnement applicatif.

Par précaution, lors de la bascule vers le Cloud, et afin de conserver la possibilité de la réversibilité, nous conservons l’intégralité du périmètre actuel du SI client en Offline, le temps de la validation de la nouvelle mise en production.

IV.C PRA/PCA

Pour faire face à l'enjeu de la Haute Disponibilité des Serveurs, Données, Réseaux, des Applications 24/7 requis par l’agrément ASIP, il est vital de mettre en place un Plan de Reprise d’Activité (PRA) et/ou un Plan de Continuité d’Activité (PCA) pour assurer le redémarrage des systèmes.

Le PCA et le PRA ont pour objectif de minimiser les pertes de Données et d'accroître la réactivité en cas de sinistre majeur pour garantir la continuité de l'activité même en mode dégradé. Le PCA en cas de sinistre, doit être transparent pour les utilisateurs ainsi garantir l'intégrité des Données sans perte d'information. Les ressources identifiées critiques sont l'Infrastructure Réseaux Client-Datacenter, les Serveurs d’Applications, les Données.

Architecture Cloud PRA/PCA

Les serveurs de secours répliqués sont situés dans un deuxième Datacenter pour être opérationnels dans le cas où le Datacenter primaire est inaccessible.

19

Trois principaux indicateurs de Disponibilité: Rés eaux, Serveurs, Données

Dans le cas d’un sinistre, les trois indicateurs ci-dessous seront repris:

1/ Réseaux

2/ Serveurs

3/ Données

Le redémarrage dans cet ordre est optimal pour la reprise de l’activité des services.

20

Bascule vers le site distant secondaire

La bascule vers le site de secours en transparence pour les utilisateurs.

21

Le PRA permet un démarrage à froid de l'activité après un sinistre, avec restauration du système de sauvegarde. Le temps de reprise de l'activité du SI, RTO dépendra du nombre de serveurs, de la volumétrie des données à restaurer. Le RTO affectera le RPO: plus longue est la restauration du SI, plus long est le temps de non enregistrement des Données.

Contrairement au PRA, le PCA permet une reprise à chaud par une redondance de l'Infrastructure sur 1 ou 2 sites distants avec une solution de Réplication en Temps Réel des Données: RTO et RPO proches de zéro.

22

V. Aspects Juridiques V.A L’agrément ASIP

Préambule :

L’hébergeur ci-après nommé représente le fournisseur d’une solution RSS en mode SaaS, et d’une solution indépendante de sauvegarde de données de santé à caractère personnel en mode SaaS, et d’une solution IaaS destinée aux professionnels de santé.

Cette nomenclature correspond à la nomenclature de l’ASIP. Elle est justifiée par le fait que les données ne sont pas conservées "au sein" de l’établissement de santé, et qu’elles doivent donc être considérées comme "hébergées", au sens du Code de la santé publique.

Droit applicable:

Le cadre législatif de l'activité d'hébergement de données de santé à caractère personnel est fixé par l’article L. 1111-8 du code de la santé publique.

Le cadre réglementaire est fixé par le Décret n° 2006-6 du 4 janvier 2006 relatif à l’hébergement de données de santé. Les conditions et le régime définis par le décret figurent aux articles R. 1111-9 à R. 1111-16 nouveaux du Code de la santé publique Les professionnels de santé ou les établissements de santé peuvent déposer des données médicales à caractère personnel auprès de tiers. (Article L1111-8 du code de santé publique)

Deux conditions sont posées à cette possibilité d’hébergement des données de santé :

• le consentement exprès du patient; • l’obtention par l’hébergeur d’un agrément administratif.

L’hébergeur est donc agréé par la CNIL - il a la qu alité d’un HADS

Il s’agit d’un agrément à l'hébergement des données de santé à caractère personnel, accordé pour une durée de trois ans, renouvelable par demande après audit externe, concernant la conformité Sécurité et Technique. L’hébergeur a complété à cet effet un dossier en s’appuyant sur un référentiel élaboré par l’ASIP Santé, dans lequel Il a démontré sa capacité à mettre en œuvre une politique de sécurité et de confidentialité, destinée notamment à assurer le respect des exigences de confidentialité et de secret, la protection contre les accès non autorisés ainsi que la pérennité des données, et dont la description a été jointe au dossier d’agrément .

23

V.B Les engagements de l’hébergeur et du profession nel de santé

L’hébergeur est agréé pour une prestation dite « générique » lui permettant d’héberger des applications contenant des données de santé à caractère personnel, qui inclut l’hébergement d’applications de type messageries sécurisées de santé. L’hébergeur s’engage à formuler une nouvelle demande pour toute modification du périmètre de ses services agréés. L’hébergeur s’engage à maintenir ses demandes d’agrément pour la durée des contrats souscrits, ainsi qu’à mettre en œuvre tous les moyens à sa disposition pour obtenir son renouvellement. L’hébergeur s’engage à assurer une veille juridique, devant respecter le cadre juridique et opérer cas échéant des modifications à son service.

L’hébergeur confirme que les données ne peuvent être utilisées à d’autres fins que celles définies dans le contrat d’hébergement.

L’hébergeur confirme être soumis au secret professionnel, et respecte l’article art. L.1110-4.

L’hébergeur atteste s’attacher les services d’un mé decin dans son organisation, lié par contrat.

Principales missions du médecin: Encadrement des procédures de restitution, de modification et de destructions de données Traitement de toute demande émanant d’une personne dont les données sont hébergées qui vise à obtenir la communication, la rectification ou l’effacement de tout ou partie de ses données hébergées. Vérification de la cohérence d’informations éventuellement suite à un incident. Vérification du respect déontologique en matière de données de santé à caractère personnel, pour l’ensemble du système. Dans le cadre du Service, c’est le médecin de l’hébergeur qui est le seul habilité à pouvoir déchiffrer les données sauvegardées par le Client en cas de nécessité. Le médecin hébergeur est associé aux processus de gestion des incidents. L’hébergeur confirme que le patient dispose, conformément au droit commun issu de la loi 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, d’un droit d’opposition et de rectification, et de suppression des données. Au quotidien, l’hébergeur s’appuie sur une dérogation à l’obligation de recueil du consentement, apportée par l’article 25 de la loi n°2007-117 du 30 janvier 2007, pour ne plus exiger le consentement du patient, dès lors que l’accès aux données hébergées est limité au seul professionnel de santé ou établissement qui les a déposées.

24

Une seconde dérogation permet à un établissement de santé qui décide désormais de faire héberger ses données par un hébergeur de ne pas solliciter le consentement de ses patients. L’hébergeur rappelle que le professionnel de santé est responsable du traitement des données hébergées. Le professionnel de santé s’engage à remplir l’ensemble des obligations découlant de la loi du 6 janvier 1978, et notamment celle d’informer les personnes concernées de leur droit d’accès, de modification et de suppression des données traitées. Il conservera à sa charge l’ensemble des déclarations, demandes d’autorisation et autres procédures et démarches à accomplir auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) afférentes aux traitements de données à caractère personnel qu’il mettra en œuvre. L’hébergeur reportant sur son client le recueil du consentement exprès de la personne concernée à l’hébergement de ses données de santé, il porte à son attention les modalités de recueil du consentement: un formulaire de recueil du consentement à retirer auprès de la CNIL doit être formalisé.

L’hébergeur rappelle au professionnel de santé qu’il est responsable de son poste de travail, de son équipement de SI. Celui-ci doit respecter des mesures de sécurité particulières, afin notamment de répondre aux exigences de confidentialité. La sécurité du poste de travail est entièrement sous la responsabilité du professionnel de santé. L’hébergeur fournit à cet effet une liste de recommandations, communiquées au professionnel de santé lors de la souscription d’un des services proposés. Le poste de travail du professionnel de santé doit répondre aux caractéristiques techniques spécifiées par l’hébergeur. L’hébergeur rappelle au professionnel de santé qu’il est responsable de sa carte CPS :

En cas de perte, de vol ou de dysfonctionnement de sa carte CPS, le professionnel de santé titulaire en informe l'organisme émetteur dans la mesure où il en est conscient. Afin d'éviter les utilisations frauduleuses des cartes de professionnel de santé, l'organisme émetteur établira une liste d'oppositions qui sera mise à la disposition des utilisateurs. La mise en opposition de la carte entraînera la révocation automatique des certificats contenus dans la carte, l’inscription dans la liste des certificats révoqués et la suppression de ces certificats de l’annuaire CPS.

25

V.C Le contrat

Un contrat doit être conclu entre le déposant et l’hébergeur qui détermine les droits et obligations de chacun et les modalités d’accès et de transmission des informations hébergées qui sont subordonnées à l’accord de la personne concernée. Le contrat conclus entre l’hébergeur et son client (établissements de santé, médecins, etc.) stipule les points suivants:

Les services proposés :

• Un service de boîte aux lettres de télétransmission de feuilles de soin, de messagerie médicale, de services intranet, d’hébergement de données médicales, de sauvegarde de fichiers et de données médicales, s’appuyant sur des infrastructures opérées par l’hébergeur, via une connexion Internet haut-débit, en mode SaaS.

• Une solution indépendante de sauvegarde de données de santé à caractère personnel en mode SaaS

• Une solution IaaS destinée aux professionnels de santé.

L’abonnement au service:

• Sur la base d’un engagement mensuel, tout forfait mensuel engagé étant dû.

La première prestation de service souscrite devient effective après retour du contrat accepté et signé auprès du fournisseur. Toute demande de provisionnement (ou de dé provisionnement) supplémentaire par le professionnel de santé déjà engagé sur un service s’appuie sur ce contrat et ne nécessite qu’une simple demande par courriel.

Le désabonnement définitif au service se fait par dénonciation du contrat auprès de l’hébergeur.

Les caractéristiques principales :

• Les dispositions pour assurer la sécurité des données et la garantie des secrets protégés par la loi sont conformes à celles de l’agrément ASIP - Agence nationale des systèmes d’information partagés de santé - avec une politique de confidentialité et de sécurité correspondant aux exigences de la CNIL.

• Le chiffrement des données : Le cryptage des données est réalisé avec le protocole SSL.

• La localisation des infrastructures dans lesquelles est réalisé l’hébergement : Situées en France métropolitaine.

• Les modalités selon lesquelles les données hébergées sont mises à la

disposition du professionnel de santé ou de l’établissement de santé sont

26

incluses dans la description de chacun des services et dans ce document, leur restitution en cas de rupture de contrat de service étant décrite ci-après.

• Le recueil de l’accord des personnes concernées par ces données s’agissant

tant de leur hébergement que de leurs modalités d’accès et de transmission est opéré par le professionnel de santé.

L’hébergeur confirme que le patient dispose, conformément au droit commun issu de la loi 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, d’un droit d’opposition et de rectification, et de suppression des données.

Les applications opérées dans les services de l’hébergeur ne prévoyant pas d’accès direct du patient à l’application, les requêtes du patient doivent alors être adressées au professionnel de santé.

• La mention des indicateurs de qualité et de performance permettant la vérification du niveau de service annoncé, ainsi que de la périodicité de leur mesure (SLA)

L’accès au service :

• Est subordonné à la souscription par le professionnel de santé d’un service internet haut débit auprès d’un ISP, et à la compatibilité technique de l’équipement informatique du professionnel de santé, répondant aux caractéristiques spécifiées par l’hébergeur.

L’accès au service s'effectue à distance, via le réseau Internet, il est soumis aux aléas techniques inhérents à l’Internet, et aux interruptions d’accès qui peuvent en résulter. De ce fait, l’hébergeur ne peut pas être tenu responsable des difficultés d’accès ou impossibilité momentanée d’accès au service, dues à des perturbations des réseaux de télécommunication.

• L’hébergeur propose au professionnel de santé, moyennant finances, l’accès à une connexion réseau dédiée vers ses emplacements de connexion, en alternative à l’utilisation d’internet. Le raccordement à ses emplacements reste à la charge et sous la responsabilité du professionnel de santé.

L’hébergeur fournit à cet effet une liste de fournisseurs d’accès réseau non exhaustive, à titre indicatif.

• Le dispositif supplémentaire de token ou de biométrie est fourni par l’hébergeur après retour du contrat d’abonnement, par envoi à sa charge au professionnel de santé.

Il doit être restitué à la fin du contrat sous huit jours ouvrés ou sera facturé 200 € HT

Ce dispositif est sous la responsabilité du professionnel de santé, et celui-ci doit informer l’hébergeur en cas de perte ou de vol. Son remplacement

27

entraînera une facturation supplémentaire, et ne dispensera en aucun cas le professionnel de santé de le restituer en fin de contrat.

Les évolutions technologiques :

• Les obligations de l’hébergeur à l’égard de la personne à l’origine du dépôt des données de santé à caractère personnel en cas de modifications ou d’évolutions techniques introduites par lui :

L’hébergeur assure une veille technologique pour garantir le respect de l’état de l’art.

L’hébergeur se réserve le droit de faire évoluer son infrastructure informatique, sans altérer le service tel qu'il existe au moment de la souscription, afin de garantir la qualité, la performance et la sécurité des services délivrés. Il mettra tout en œuvre pour que ces évolutions aient le minimum d’impacts pour le client, notamment en matière de disponibilité du service d’intégrité des données sauvegardées.

L’hébergeur met en œuvre des moyens garantissant la pérennité des données en cas d’évolution des systèmes

De plus, l’hébergeur a défini une procédure d’alerte vers la personne à l’origine du dépôt des données de santé en cas d’évolution des systèmes.

La sous-traitance :

• Une information sur les conditions de recours à d’éventuels prestataires techniques externes et les engagements de l’hébergeur pour que ce recours assure un niveau équivalent de garantie au regard des obligations pesant sur l’activité d’hébergement ;

Les sous-traitants qui ne participent pas directement à l’activité d’hébergement et ne contribuent pas à la sécurité informatique ou physique des données ne seront pas déclarés.

A ce jour, aucun sous-traitant n’intervient dans les services proposés.

Plans de reprises :

• Une information sur les garanties permettant de couvrir toute défaillance éventuelle de l’hébergeur : PRA détaillé dans les SLA.

Les audits internes :

• L’hébergeur s’engage à réaliser un audit interne d’auto-évaluation tous les ans. Le résultat de cet audit pourra être communiqué sur demande motivée du professionnel de santé.

28

La gestion des incidents :

• L’hébergeur utilise la méthodologie EBIOS (qui est conforme à la norme ISO 27005) pour la gestion des risques, comme recommandé par le référentiel général de sécurité (v1.0) qui constitue une référence utile pour les opérateurs privés.

• L’hébergeur s’engage à signaler les incidents graves au professionnel de

santé. Les incidents concernant l’altération des données ou la divulgation non autorisée des données personnelles de santé sont signalés au professionnel de santé, à l’autorité de contrôle (CNIL), voire au patient.

La gestion des incidents est conforme à l’agrément de l’ASIP.

Conditions de restitution des données :

• L’hébergeur s’engage sur les prestations suivantes à la fin de l’hébergement :

Lorsqu’il est mis fin au contrat, l’hébergeur restitue les données qui lui ont été confiées, sans en garder copie, au professionnel, à l’établissement ou à la personne concernée ayant contracté avec lui.

L’hébergeur confirme que les données peuvent être restituées à tout moment, sur demande du professionnel de santé, dans un format standard et ouvert, gage de leur intégration future dans d’autres applications.

Le professionnel est informé par courriel de la mise à disposition des données et de ses conditions de récupération, et il est responsable de leur récupération.

Délais : Sous 48 heures, après réception effective de la dénonciation du contrat, pour une durée de 10 jours.

Format : format natif du dépôt, crypté.

Interface : Fichiers mis à disposition via un site FTP sécurisé (FTPS avec cryptage SSL/TLS)

Lorsqu’il est mis fin au contrat, l’hébergeur efface les données après restitution.

L’effacement des données - données client et données client dérivées - en fin de contrat sera complet et sécurisé : les données seront réellement effacées et il ne subsistera pas de copies stockées.

La destruction physique sera utilisée.

Les données concernées sont les données en ligne (on-line) ou hors ligne (offline), et les données sauvegardées (souvent en plusieurs versions) ou archivées (parfois en plusieurs versions).

29

Cas de conservation des données :

L’hébergeur assure un archivage prolongé si le professionnel de santé souscrit cette option payante

L’hébergeur rappelle que la responsabilité de la conservation de ces données incombe alors au professionnel de santé, et précise les points suivants :

Dossier médical dans les cabinets médicaux libéraux : 10 ans

Dossier médical dans les établissements de santé publics et privés : 20 ans à partir du dernier passage dans l’établissement par le patient, excepté en cas de décès du patient moins de 10 ans après son dernier passage son dossier sera conservé 10 ans à partir de la date de son décès.

Analyse des pratiques ou des activités de soins ou de prévention : durée de conservation très courte, ne dépassant pas 2 ans dans la plupart des cas. Durée proportionnelle à la finalité déclarée, conservée le temps de l’étude et supprimée dès que l’étude est terminée.

L’hébergeur n’assure pas de prestation d’archivage à valeur probante (archives publiques contenant des données de santé).

VI. Contrat de service SLA : Qualité de service et niveau d’engagement

VI.A Engagements

• Disponibilité des services à 99.99%

• Gestion des incidents: Incidents bloquants: sous deux heures.

Incidents critiques: sous quatre heures Incidents normaux: sous vingt-quatre heures

• Support: Horaires du centre de support: 24h/24H 7j/7j Engagements sur les temps de réponse : appel traité sous deux heures Communication par ligne téléphonique ou courriels.

• PRA / PCA

PRA: Lorsqu’un sinistre est déclenché, reprise à froid, RSS garantit la reprise

d’activité du périmètre souscrit en conformité au contrat sous 4 heures. -RTO: sous 4 heures.

-RPO: Pas de perte de données.

PCA: Reprise à chaud de l’activité du SI par la bascule automatique après la détection d’une quelconque défaillance. -RTO: <= 1 heure. -RPO: Pas de perte de données.

30

VI.B Indicateurs

• Service IaaS: La supervision et le monitoring des machines virtuelles et de l’infrastructure sont mis à disposition du client.

o Charge CPU et RAM, HDD I/O, trafic réseau.

o Historique d’utilisation des équipements.

o Cet outil est conçu par l’hébergeur sur une base Open Monitoring

Distribution (basé sur Nagios et intégrant des outils supplémentaires).

• Services SaaS : monitoring de la performance des applications (marque blanche de la solution de supervision Viadéis).

o “Météo”, rapport sur la disponibilité, consommation.

• Service SaaS de stockage : traçabilité et historique des accès sur le site web

de l’hébergeur.

VI.C Suivis

• Audit de sécurité : Le fournisseur s’engage à être contrôlé en auto-évaluation sous forme d’audit tous les ans.

Le résultat de cet audit pourra être communiqué sur demande au professionnel de santé.

• Fournitures de logs :

A la demande du professionnel de santé, sous forme de courriel, concernant un accident précis ou une période de temps : Début d’incident - Procédure utilisée par le fournisseur pour la résolution de l’incident - fin de l’incident. Confirmation de résolution. Un bulletin mensuel est à la disposition des professionnels de santé en en faisant la demande spécifique, par courriel. Il comporte un historique des incidents sur la période, le nombre et la description des incidents résolus, le nombre et la description des incidents restant à traiter.

31

VI.D Pénalités

• Mode IaaS :

En cas de défaillance du serveur instancié, sur une période excédant 15 mn, remboursement de l’abonnement du serveur host sur la prochaine facture, sur la base du prix mensuel.

Pour bénéficier des pénalités en cas de non-respect des SLA, il est indispensable d’avoir au moins deux serveurs hosts dans le Cloud proposé, et d’avoir ouvert un ticket incident.

En cas de défaillance de l’accès au stockage, remboursement de 15% du prix du stockage par tranche de 10 minutes d’indisponibilité, sur la base du prix mensuel, dans la limite de 100% de l’abonnement souscrit.

En cas de défaillance de la connectivité à internet de l’infrastructure de l’hébergeur, excepté en cas de maintenance planifiée pour laquelle les clients seront avertis, remboursement de 5% du montant total de la prochaine facture mensuelle, par heure d’indisponibilité dans la limite de 100% du montant total de la facture.

• Mode SaaS :

En cas d’indisponibilité du service, remboursement de 15% du montant de l’abonnement mensuel par tranche de 10 minutes d’indisponibilité, dans la limite de 100% de l’abonnement souscrit.

Les engagements mentionnés ne s’appliquent pas dans les cas suivants :

Problème de trafic internet, hors connectivité de l’infrastructure de l’hébergeur : ralentissement, congestion et indisponibilité.

Dysfonctionnements dus aux comportements des postes clients, notamment lors d’attaques de sécurité.

Actions inappropriées ou inactions des clients.

Cas de force majeure.

32

Conclusion La solution de cloud computing SaaS proposée pour le RSS, le service SaaS de sauvegarde de données de santé, et le service IaaS, comporte un risque résiduel acceptable et permet une amélioration continue de la sécurité sur le plan opérationnel, fonctionnel et organisationnel. Elle offre aux professionnels de santé l’élasticité des services et ressources, ainsi que le monitoring associé. Les professionnels de santé sont responsables des données de santé mais peuvent confier ces données et la gestion de leur sécurité à une structure qualifiée et spécialisée, avec les bénéfices de la surveillance continue, de la gestion des incidents et des vulnérabilités en temps réel, de la réactivité immédiate. Le fournisseur de la solution implémente le cercle vertueux du Système de Management de la Sécurité de l'Information, alimenté par la mutualisation des services propre au cloud computing, et offre une sécurité meilleure que celle que le professionnel de santé peut mettre en œuvre par ses propres moyens.

33

Glossaire ASIP Agence nationale des Systèmes d’Information Partagés de santé,

L’ASIP Santé est un groupement d’intérêt public en charge du développement des systèmes d’information partagés dans les domaines de la santé et du secteur médico-social

BAL Boite Aux Lettres

CNIL Commission Nationale de l'Informatique et des Libertés Autorité administrative indépendante française chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publique

Fibre Channel

Protocole défini par la norme ANSI X3T11 permettant une connexion de l’ordre du gigabit par secondes entre un ordinateur et son système de stockage ou d'autre type de périphérique

FSE Feuille de Soin Electronique

HADS Hébergeur Agréé de Données de Santé

HBA Host Bus Adapter (contrôleur hôte de bus) est une carte d'extension utilisée pour connecter un hôte à un système de stockage

IaaS Infrastructure as a Service Cette offre concerne la mise à disposition de ressources informatiques (puissance CPU, mémoire, stockage etc.). Le modèle IaaS permet au client de disposer de ressources externalisées virtualisées. Celui-ci garde le contrôle sur le système d’exploitation (OS), le stockage, les applications déployées ainsi que sur certains composants réseau (pare-feu, par exemple).

ISP Internet Service Provider – Fournisseur de services internet

LUN masking

Action de présenter ou non un LUN (Logical Unit Number ou identifiant d’un espace de stockage dans un SAN) à un serveur.

NIC Network Interface Card - Carte réseau standard

PCA/BCP Plan de Continuité d’Activité/Business Continuity Plan assure l’activité sans interruption du service et la disponibilité des informations quels que soient les problèmes rencontrés

PRA/DRP Plan de Reprise d’Activité/Disaster Recovery Plan décrit l’ensemble de procédures qui doivent être déclenchées à la suite d’un incident majeur ayant entraîné une interruption de l’activité, pour la reconstruction de l’infrastructure et le redémarrage des applications du SI

34

RAID Redundant Array of Independent Disks désigne les techniques permettant de répartir des données sur plusieurs disques durs afin d'améliorer soit les performances, soit la sécurité ou la tolérance aux pannes de l'ensemble du ou des systèmes.

RPO Recovery Point Objectif désigne la durée maximale qu’il est acceptable de perdre les Données

RTO Recovery Time Objectif est la durée maximale d’interruption acceptable en cas de sinistre

SaaS Software as a Service: cette offre concerne la mise à disposition d’applications d’entreprise. Le prestataire offre une fonction opérationnelle et gère de façon transparente pour l’utilisateur l’ensemble des aspects techniques requérant des compétences informatiques. Le client garde la possibilité d’effectuer quelques paramétrages de l’application

SAN Zoning

Le SAN zoning permet de créer un lien logique entre un serveur et une ressource au sein d’un SAN (Storage Area Network). L'utilisation du zoning permet de garantir de bonnes performances en évitant les risques de collisions de frames.

SLA Service Level Agreement - Accord / garantie du niveau de service

SPOF Single Point of Failure - Point unique de défaillance

SSL Secure Sockets Layer: protocole de sécurisation des échanges sur Internet.

Token Solution d’authentification forte pour prouver une identité par voie électronique. Solution avec mot de passe statique, mot de passe dynamique synchronisé, mot de passe asynchrone, challenge/réponse (ou demande d'accès/Réponse) A titre d’exemple, ils peuvent se matérialiser sous la forme d’une calculette permettant d'entrer un code PIN, ou sous forme de clé USB.

vCPU Virtual Central Processing Unit: cœur d’un CPU physique dédié à une machine virtuelle

VLAN Virtual Local Area Network: technologie permettant la séparation d’un réseau physique et plusieurs réseaux logiques

VPN Virtual Private Network: connexion réseau privée et sécurisée à travers Internet.

Project Cloud / Sécurité - Analyse de risques

Technology

Transcript of Project Cloud / Sécurité - Analyse de risques