SlideShare uma empresa Scribd logo

2011-12-14 ASIP Santé JNI "Urbanisation des SIS – Messagerie sécurisée, RPPS, RASS"

ASIP Santé
ASIP Santé

Urbanisation des SIS – Messagerie sécurisée, RPPS, RASS Jean-François PARGUET, Directeur du pôle Référentiels, Architecture et Sécurité de l’ASIP Santé JNI du 14 décembre 2011

Saúde e medicina
1 de 20
Baixar para ler offline
JNI - Interopérabilité et urbanisation des SIS Point sur la sécurité RASS, MSS, PGSSI 14 décembre 2011– JNI
Sommaire • RASS (Référentiel des acteurs sanitaires et sociaux) • MSS (Messagerie sécurisée de santé) • PGSSI (Politique générale de sécurité des SI de santé) ASIP PRAS - JNI 14 décembre 2011 2
RPPS : Le Répertoire Partagé des Professionnels de Santé  Le Répertoire Partagé des Professionnels de Santé (RPPS)  Formalisation des rôles et responsabilités concernant la gestion des données d’identification :  Les autorités d’Enregistrement (AE) : les Ordres, les ARS, …  L’autorité de certification : l’ ASIP  Intègre les 4 premières professions à ordres depuis le 3 novembre 2011 Chirurgiens- Pharmaciens Sages-femmes Dentistes Médecins Simplification Administrative 18 Janvier 2010 30 Août 2010 12 Sept 2011 3 Nov 2011  L’opération qualité sur les référentiels (cohérence ordre / CNAM) se poursuit après la simplification administrative (l’ASIP fournit un outil de suivi des écarts) ASIP PRAS - JNI 14 décembre 2011 3
RASS : Gestion des identités des acteurs sanitaires et sociaux  Appel d’offres RASS en cours  Appel d’Offres : publié le 18 novembre 2011  Pour premiers services hiver 2012 : publication du RPPS puis données établissements  Le modèle de données est « transparent » Il est fondé sur deux référentiels d’identification des acteurs sanitaires et sociaux en cours de publication :  Référentiel des données d’identification et des règles de constitution  Référentiels de règles d’accès aux données Ces référentiels / nomenclatures permettent aux éditeurs et industriels d’anticiper l’adaptation de leurs applications / services à l’arrivée du RASS ASIP PRAS - JNI 14 décembre 2011 4
Sommaire • RASS (Référentiel des acteurs sanitaires et sociaux) • MSS (Messagerie sécurisée de santé) • PGSSI (Politique générale de sécurité des SI de santé) ASIP PRAS - JNI 14 décembre 2011 5
Messagerie sécurisée de santé Les besoins L’échange de données de santé à caractère personnel par messagerie doit être réalisé au sein d’un espace de confiance garant du respect des droits du patient. La Messagerie Sécurisée de Santé constitue l’ossature de cet espace de confiance en garantissant que de tels échanges ne sont réalisés qu’entre acteurs de santé enregistrés au sein des référentiels nationaux RPPS/RASS, garant de leur légitimité, en utilisant des moyens d’authentification conformes à la réglementation et en étant conforme au décret « hébergeur ». RASS (Référentiel des Acteurs Santé Social) RPPS (Répertoire Partagé des Professionnels de Santé) Etablissement X Médecins libéraux Etablissement Y ------- ------- -- Dr Dupond A. a.dupond@med...fr -- Dr Legrand D. d.legrand@etabY.fr -- Dr Dupond B. b.dupond@med...fr -- Dr Martin C. c.martin@etabY.fr -- Dr Dupond C. c.dupond@med...fr -- xxx --------- --------- MSS Acteur de santé Acteur de santé Espace de confiance ASIP PRAS - JNI 14 décembre 2011 6
Messagerie sécurisée de santé Les besoins Le service Messagerie doit permettre :  l’échange entre Professionnels de Santé  Communication interpersonnelle non structurée (texte libre avec ou sans pièce jointe libre)  Communication interpersonnelle structurée (IHE-XDM, document CDA) permettant l’intégration automatisée du contenu échangé dans l’outil métier de gestion du dossier patient.  l’échange entre les Professionnels de santé et systèmes d’information de santé - par exemple :  l’émission automatisée de comptes rendus de biologie du laboratoire vers le médecin traitant  l’alimentation du DMP en complément de l’envoi du compte rendu de biologie au médecin traitant  des services complémentaires :  la délégation de l’usage de la boîte aux lettres, par exemple en cas de remplacement, avec la possibilité de restreindre les conditions d’usage  la définition de listes de diffusion nationales et sectorielles permettant la diffusion d’informations sanitaires vers les acteurs de santé à l’initiative des pouvoirs publics . À titre d’exemple : alerte sanitaire ASIP PRAS - JNI 14 décembre 2011 7
Messagerie sécurisée Un choix de maîtrise d’ouvrage L’ASIP Santé propose un choix fort de pilotage permettant d’accélérer la mise en œuvre d’un système de messagerie sécurisée pour les professionnels de santé, au bénéfice de la coordination des soins. Cette stratégie repose sur la mise en œuvre de la messagerie par un opérateur technique unique sous la maîtrise d’ouvrage de l’ASIP Santé :  Cette plateforme permet d’héberger les domaines de messagerie des organismes souhaitant mettre à disposition de leurs membres une boîte aux lettres.  Les organismes concernés sont : o Les Autorités d’Enregistrement (AE) des professionnels de santé inscrits dans le RPPS/RASS (Ordres, ARS, SSA), exemple « médecin.fr ». o Les établissements de santé (que ceux-ci souhaitent mettre en œuvre leur propre passerelle de messagerie ou disposer de BAL auprès de l’opérateur MSS), par exemple « @hopital local deX.fr ».  Chaque organisme, en tant que gestionnaire d’un domaine de messagerie: o conserve la relation avec ses usagers professionnels ; o prend en charge l’accompagnement et la conduite du changement pour les populations qui le concernent (en complément des éditeurs des clients de messagerie et des passerelles des ES). ASIP PRAS - JNI 14 décembre 2011 8
Messagerie sécurisée de santé Les accès au service Les domaines de messagerie hébergés par le service obéissent tous aux mêmes règles d’accès. Le service de messagerie est accessible selon 3 modes d’accès :  client de messagerie intégré au LPS et homologué  Facilite l’intégration des données au sein du LPS  client de messagerie autonome homologué (outlook, thunderbird, ..)  navigateur Web (Webmail)  Mise à disposition d’un module de construction de pièces jointes structurées conformes au CI-SIS  Accès en partage aux boîtes aux lettres via le Webmail (délégation d’accès) Plus un mode passerelle / proxy pour les ES L’accès au service requiert :  une authentification forte de l’utilisateur par carte CPS  un mode d’authentification de secours permet de palier l’indisponibilité de la carte CPS (mécanisme de type mot de passe à usage unique par GSM) pour les accès en Webmail  un mode alternatif d’authentification forte doit être défini pour l’accès via terminaux mobiles (pda, tablettes…) ASIP PRAS - JNI 14 décembre 2011 9
Messagerie sécurisée de santé Satisfaction des besoins de sécurité La confidentialité des échanges reposent sur deux principes majeurs :  la notion de groupe fermé de domaines MSS permettant le cloisonnement des échanges de données de santé dans un espace de confiance maîtrisé (RPPS/RASS) Les messages ne peuvent être échangés qu’entre domaines de messagerie MSS répertoriés dans une liste blanche administrée par l’ASIP Santé. Ce modèle remplace le concept d’OSM avec lequel l’interopérabilité n’est pas possible  la sécurisation des canaux d’échanges entre les clients de messagerie et le service et entre les domaines de messagerie MSS. Client MSSU Opérateur de service Proxy MSSU MSSU Emission consultation d’un Hébergeur agréé message Émission du message Proxy MSSU vers Emission et domaine MSSU réception de message de et Messagerie vers des Interne Messages domaines de Réception de référencés l’établissement message des Canal sécurisé MSSU domaines MSSU et stockage des messages Canal sécurisé Seuls des acteurs authentifiés par un certificat CPS peuvent accéder au service MSS L’imputabilité des contenus structurés de santé échangés est garantie par la conformité de ces contenus aux référentiels de l’ASIP Santé en vigueur : cadre d’interopérabilité des SIS et référentiel d’imputabilité L’opérateur technique doit disposer, pour ce service, d’un agrément d’hébergeur de données de santé, garant de la sécurité des données hébergées. ASIP PRAS - JNI 14 décembre 2011 10
Messagerie sécurisée de santé Eléments de calendrier T4 2011 T1 2012 T2 2012 T3 2012 T4 2012 T1 2013 T2 2013 T3 2013 Cahier des charges Opérateur technique Procédure de marché Sélection opérateur Mise en œuvre du service Mise en œuvre par l’opérateur technique Pilote Ouverture générale du service Agrément hébergeur de Instruction données de santé MSS-compatibilité Cahier des charges MSS-compatibilité Homologation des produits Développements éditeurs (LGC, proxy…) Homologation ASIP PRAS - JNI 14 décembre 2011 11
Messagerie sécurisée de santé  Appel d’offres MSS en cours  Appel d’Offres : publié le 2 décembre 2011  Pour premiers services hiver 2012 : publication du RPPS puis données établissements ASIP PRAS - JNI 14 décembre 2011 12
Sommaire • RASS (Référentiel des acteurs sanitaires et sociaux) • MSS (Messagerie sécurisée de santé) • PGSSI (Politique générale de sécurité des SI de santé) ASIP PRAS - JNI 14 décembre 2011 13
PGSSI : Politique générale de sécurité Objectifs La lettre de mission du 22 septembre 2011 de la secrétaire générale des ministères sociaux, confie la maitrise d’ouvrage opérationnelle du projet PGSSI à l’ASIP Santé. La Délégation à la Stratégie des Systèmes d’Information de Santé en assure la maîtrise d’ouvrage stratégique.  Les objectifs de la politique générale de sécurité des SIS sont  généraliser le strict respect des droits fondamentaux des patients (dans la dimension gestion de leurs données de santé)  d’homogénéiser le niveau de sécurité accordé aux données personnelles de santé dans l’ensemble des SI de santé (LGC, SIH et bien d’autres)  mettre en place un cadre réglementaire permettant aux professionnels de santé de se concentrer sur la prise en charge des patients et l’exercice de leur discipline  Créer un espace de confiance numérique favorable à l’essor du partage et des échanges de données médicales personnelles ASIP PRAS - JNI 14 décembre 2011 14
PGSSI : Politique générale de sécurité Méthode d’élaboration de la PGSSI (Organisation) La PGSSI est élaborée en concertation avec les différents acteurs concernés  Un comité de pilotage réunissant les acteurs institutionnels (DSSIS, ASIP Santé, directions du ministère de la santé, ANSSI, …) pour définir et valider les enjeux, les objectifs et les principes de la PGSSI  Une concertation avec différents groupes d’acteurs  Acteurs métier : Les professionnels de santé et les représentants de patients. La PGSSI doit à la fois permettre le respect des droits fondamentaux des patients, propriétaires de leurs données de santé et ne pas générer de « perte de chance »;  Les industriels du secteur de la santé : en particulier, les trajectoires de prise en compte la PGSSI sont définies par les promoteurs de SIS en fonction des solutions offertes par les industriels. La dimension économique et les trajectoires de mise en conformité doivent être prises en compte. ASIP PRAS - JNI 14 décembre 2011 15
PGSSI : Politique générale de sécurité Méthode d’élaboration de la PGSSI (Livrables)  De référentiels de politique générale (comité de pilotage, représentants de PS et de patients)  Une doctrine qui identifie en particulier les objectifs, enjeux et principes de la PGSSI  Un référentiel d’exigences de sécurité pérennes  Un référentiel de contextes de mise en œuvre de SIS (comité de pilotage, représentants de PS et de patients)  Ce référentiel décrit des contextes types de mise en œuvre de SIS (exercice libéral, maison de santé, ES de différentes tailles, ….)  Des référentiels techniques composé de  Référentiels génériques applicables à tous les contextes de mise en œuvre  Référentiel d’identification de patients, référentiel d’acteurs de santé, référentiels d’authentification des professionnels de santé, etc.  Référentiels contextuels adaptés à chacun des contextes types  Guide de bonnes pratiques en « exercice libéral », etc. ASIP PRAS - JNI 14 décembre 2011 16
PGSSI : Politique générale de sécurité Les livrables Doctrine à Données de santé caractère personnel Référentiel des « types de menaces » P Référentiel des G « types de scénarios de risques » S S I Référentiels de sécurité ASIP Référentiel des « exigences de sécurité » des SIS FEROS type SIS Contexte A Contexte B Contexte C ... P P P S S S ... Référentiel des S S S ... trajectoires de I I I « mesures de sécurité » Contextuelles ... Référentiels de « dispositifs de sécurité » ASIP PRAS - JNI 14 décembre 2011 17
PGSSI : Politique générale de sécurité Focus sur le principe de palier de mise en œuvre de la PGSSI  Pour chaque fonction de sécurité (confidentialité, traçabilité) un ensemble de paliers sera proposé • Chaque fonction est composée par un palier cible à atteindre et des paliers intermédiaires permettant de bâtir des trajectoires d’évolution et de satisfaire des objectifs de sécurité intermédiaires (ex gestion des rôles, SSO mais pas encore l’authentification forte des acteurs); • un palier minimal déjà opérationnel ou rapide à mettre en œuvre comportant les exigences de sécurité exigées dans le cadre de la DMP compatibilité  La PGSSI constitue ainsi : • un outil d’évaluation de la maturité SSI des systèmes d’information en santé (et de sa trajectoire d’évolution) pour les acteurs de santé et pour l’état • un référentiel de positionnement pour toutes les offres industrielles  La PGSSI sera en phase avec les évolutions industrielles et technologiques: • accompagnement des évolutions (par exemple, mobilité, tablettes, cartes déléguées, certificats logiciels confinés, ASP, SAAS, CLOUD, …) ASIP PRAS - JNI 14 décembre 2011 18
PGSSI : Politique générale de sécurité Calendrier  Les phases de travail :  La doctrine PGSSI est prévue début 2012 (après validation des directions du ministère, des opérateurs d’Etat et de l’ANSSI)  Les concertations avec les acteurs de santé, les représentants de patients et les industriels sont prévues mi 2012  Puis des spécifications détaillées d’exigences, d’organisations, de dispositifs, à vocation opérationnelle, pour permettre une adoption terrain rapide. Pour les exigences, par exemple : Exigences de confidentialité : Exigence de sécurité physique ou logique pour les gisements de données de santé ( différentes solutions possibles pour le LGC : chiffrement disque, chiffrement base , IAAS, …) Pour les dispositifs , par exemple : Référentiels d’authentification des PS : Nouvelle offre de produits de certification : cartes déléguées, certificats logiciels de personnes morales, certificats logiciel confinés de personnes physiques (usages SAAS, tablettes, mobilité) ASIP PRAS - JNI 14 décembre 2011 19
Merci ASIP PRAS - JNI 14 décembre 2011 20

Recomendados

2011-12-14 ASIP Santé JNI "Gouvernance des technologies de l’information MSSS...
2011-12-14 ASIP Santé JNI "Gouvernance des technologies de l’information MSSS...2011-12-14 ASIP Santé JNI "Gouvernance des technologies de l’information MSSS...
2011-12-14 ASIP Santé JNI "Gouvernance des technologies de l’information MSSS...ASIP Santé
 
2014-04-10 ASIP Sante RIR "PAACO premiers retours d’expériences"
2014-04-10 ASIP Sante RIR "PAACO premiers retours d’expériences"2014-04-10 ASIP Sante RIR "PAACO premiers retours d’expériences"
2014-04-10 ASIP Sante RIR "PAACO premiers retours d’expériences"ASIP Santé
 
Projet Urbanisation
Projet UrbanisationProjet Urbanisation
Projet Urbanisationdihiaselma
 
Référentiel d'architecture avec TOGAF
Référentiel d'architecture avec TOGAFRéférentiel d'architecture avec TOGAF
Référentiel d'architecture avec TOGAFPierre-Xavier Fouillé
 
Cartographie et SIG 2016 - Partie 1
Cartographie et SIG 2016 - Partie 1Cartographie et SIG 2016 - Partie 1
Cartographie et SIG 2016 - Partie 1Ibrahima Sylla
 
Démarche mise en place de référentiel d'architecture
Démarche mise en place de référentiel d'architectureDémarche mise en place de référentiel d'architecture
Démarche mise en place de référentiel d'architectureMouhsine LAKHDISSI
 
Feuille de route " Accélérer le virage numérique "
Feuille de route " Accélérer le virage numérique " Feuille de route " Accélérer le virage numérique "
Feuille de route " Accélérer le virage numérique " ASIP Santé
 
Présentation " Accélérer le virage numérique "
Présentation " Accélérer le virage numérique "Présentation " Accélérer le virage numérique "
Présentation " Accélérer le virage numérique "ASIP Santé
 

Recomendados

2011-12-14 ASIP Santé JNI "Gouvernance des technologies de l’information MSSS...
2011-12-14 ASIP Santé JNI "Gouvernance des technologies de l’information MSSS...2011-12-14 ASIP Santé JNI "Gouvernance des technologies de l’information MSSS...
2011-12-14 ASIP Santé JNI "Gouvernance des technologies de l’information MSSS...ASIP Santé
 
2014-04-10 ASIP Sante RIR "PAACO premiers retours d’expériences"
2014-04-10 ASIP Sante RIR "PAACO premiers retours d’expériences"2014-04-10 ASIP Sante RIR "PAACO premiers retours d’expériences"
2014-04-10 ASIP Sante RIR "PAACO premiers retours d’expériences"ASIP Santé
 
Projet Urbanisation
Projet UrbanisationProjet Urbanisation
Projet Urbanisationdihiaselma
 
Référentiel d'architecture avec TOGAF
Référentiel d'architecture avec TOGAFRéférentiel d'architecture avec TOGAF
Référentiel d'architecture avec TOGAFPierre-Xavier Fouillé
 
Cartographie et SIG 2016 - Partie 1
Cartographie et SIG 2016 - Partie 1Cartographie et SIG 2016 - Partie 1
Cartographie et SIG 2016 - Partie 1Ibrahima Sylla
 
Démarche mise en place de référentiel d'architecture
Démarche mise en place de référentiel d'architectureDémarche mise en place de référentiel d'architecture
Démarche mise en place de référentiel d'architectureMouhsine LAKHDISSI
 
Feuille de route " Accélérer le virage numérique "
Feuille de route " Accélérer le virage numérique " Feuille de route " Accélérer le virage numérique "
Feuille de route " Accélérer le virage numérique " ASIP Santé
 
Présentation " Accélérer le virage numérique "
Présentation " Accélérer le virage numérique "Présentation " Accélérer le virage numérique "
Présentation " Accélérer le virage numérique "ASIP Santé
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationColloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationASIP Santé
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationColloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationASIP Santé
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationColloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationASIP Santé
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information ASIP Santé
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information ASIP Santé
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information ASIP Santé
 
Point d'information sur les prochains marchés de l'ASIP Santé
Point d'information sur les prochains marchés de l'ASIP SantéPoint d'information sur les prochains marchés de l'ASIP Santé
Point d'information sur les prochains marchés de l'ASIP SantéASIP Santé
 
L'offre de l'ASIP Santé au service des industriels
L'offre de l'ASIP Santé au service des industrielsL'offre de l'ASIP Santé au service des industriels
L'offre de l'ASIP Santé au service des industrielsASIP Santé
 
Connectathon - IHE Europe
Connectathon - IHE EuropeConnectathon - IHE Europe
Connectathon - IHE EuropeASIP Santé
 
Identification des acteurs de santé : évolutions des services d'annuaire
Identification des acteurs de santé : évolutions des services d'annuaireIdentification des acteurs de santé : évolutions des services d'annuaire
Identification des acteurs de santé : évolutions des services d'annuaireASIP Santé
 
Utilisation du NIR en tant qu'Identifiant National de Santé (INS)
Utilisation du NIR en tant qu'Identifiant National de Santé (INS)Utilisation du NIR en tant qu'Identifiant National de Santé (INS)
Utilisation du NIR en tant qu'Identifiant National de Santé (INS)ASIP Santé
 
Actualité juridique de la e-santé
Actualité juridique de la e-santé Actualité juridique de la e-santé
Actualité juridique de la e-santé ASIP Santé
 
20181024 reunion information_marche_deploiement
20181024 reunion information_marche_deploiement20181024 reunion information_marche_deploiement
20181024 reunion information_marche_deploiementASIP Santé
 
20171221-1 jni-mssanté
20171221-1 jni-mssanté20171221-1 jni-mssanté
20171221-1 jni-mssantéASIP Santé
 
20171221-2 jni-interoperabilite
20171221-2 jni-interoperabilite20171221-2 jni-interoperabilite
20171221-2 jni-interoperabiliteASIP Santé
 
20171221-3 jni-igcsante
20171221-3 jni-igcsante20171221-3 jni-igcsante
20171221-3 jni-igcsanteASIP Santé
 
20171221-4 jni-nir-ins
20171221-4 jni-nir-ins20171221-4 jni-nir-ins
20171221-4 jni-nir-insASIP Santé
 
20171221-5 jni-rgpd
20171221-5 jni-rgpd20171221-5 jni-rgpd
20171221-5 jni-rgpdASIP Santé
 
20171221-6 jni-marches
20171221-6 jni-marches20171221-6 jni-marches
20171221-6 jni-marchesASIP Santé
 
20171221-7 jni-atelier hds
20171221-7 jni-atelier hds20171221-7 jni-atelier hds
20171221-7 jni-atelier hdsASIP Santé
 

Mais conteúdo relacionado

Mais de ASIP Santé

Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationColloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationASIP Santé
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationColloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationASIP Santé
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationColloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationASIP Santé
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information ASIP Santé
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information ASIP Santé
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information ASIP Santé
 
Point d'information sur les prochains marchés de l'ASIP Santé
Point d'information sur les prochains marchés de l'ASIP SantéPoint d'information sur les prochains marchés de l'ASIP Santé
Point d'information sur les prochains marchés de l'ASIP SantéASIP Santé
 
L'offre de l'ASIP Santé au service des industriels
L'offre de l'ASIP Santé au service des industrielsL'offre de l'ASIP Santé au service des industriels
L'offre de l'ASIP Santé au service des industrielsASIP Santé
 
Connectathon - IHE Europe
Connectathon - IHE EuropeConnectathon - IHE Europe
Connectathon - IHE EuropeASIP Santé
 
Identification des acteurs de santé : évolutions des services d'annuaire
Identification des acteurs de santé : évolutions des services d'annuaireIdentification des acteurs de santé : évolutions des services d'annuaire
Identification des acteurs de santé : évolutions des services d'annuaireASIP Santé
 
Utilisation du NIR en tant qu'Identifiant National de Santé (INS)
Utilisation du NIR en tant qu'Identifiant National de Santé (INS)Utilisation du NIR en tant qu'Identifiant National de Santé (INS)
Utilisation du NIR en tant qu'Identifiant National de Santé (INS)ASIP Santé
 
Actualité juridique de la e-santé
Actualité juridique de la e-santé Actualité juridique de la e-santé
Actualité juridique de la e-santé ASIP Santé
 
20181024 reunion information_marche_deploiement
20181024 reunion information_marche_deploiement20181024 reunion information_marche_deploiement
20181024 reunion information_marche_deploiementASIP Santé
 
20171221-1 jni-mssanté
20171221-1 jni-mssanté20171221-1 jni-mssanté
20171221-1 jni-mssantéASIP Santé
 
20171221-2 jni-interoperabilite
20171221-2 jni-interoperabilite20171221-2 jni-interoperabilite
20171221-2 jni-interoperabiliteASIP Santé
 
20171221-3 jni-igcsante
20171221-3 jni-igcsante20171221-3 jni-igcsante
20171221-3 jni-igcsanteASIP Santé
 
20171221-4 jni-nir-ins
20171221-4 jni-nir-ins20171221-4 jni-nir-ins
20171221-4 jni-nir-insASIP Santé
 
20171221-5 jni-rgpd
20171221-5 jni-rgpd20171221-5 jni-rgpd
20171221-5 jni-rgpdASIP Santé
 
20171221-6 jni-marches
20171221-6 jni-marches20171221-6 jni-marches
20171221-6 jni-marchesASIP Santé
 
20171221-7 jni-atelier hds
20171221-7 jni-atelier hds20171221-7 jni-atelier hds
20171221-7 jni-atelier hdsASIP Santé
 

Mais de ASIP Santé (20)

Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationColloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationColloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationColloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information
 
Point d'information sur les prochains marchés de l'ASIP Santé
Point d'information sur les prochains marchés de l'ASIP SantéPoint d'information sur les prochains marchés de l'ASIP Santé
Point d'information sur les prochains marchés de l'ASIP Santé
 
L'offre de l'ASIP Santé au service des industriels
L'offre de l'ASIP Santé au service des industrielsL'offre de l'ASIP Santé au service des industriels
L'offre de l'ASIP Santé au service des industriels
 
Connectathon - IHE Europe
Connectathon - IHE EuropeConnectathon - IHE Europe
Connectathon - IHE Europe
 
Identification des acteurs de santé : évolutions des services d'annuaire
Identification des acteurs de santé : évolutions des services d'annuaireIdentification des acteurs de santé : évolutions des services d'annuaire
Identification des acteurs de santé : évolutions des services d'annuaire
 
Utilisation du NIR en tant qu'Identifiant National de Santé (INS)
Utilisation du NIR en tant qu'Identifiant National de Santé (INS)Utilisation du NIR en tant qu'Identifiant National de Santé (INS)
Utilisation du NIR en tant qu'Identifiant National de Santé (INS)
 
Actualité juridique de la e-santé
Actualité juridique de la e-santé Actualité juridique de la e-santé
Actualité juridique de la e-santé
 
20181024 reunion information_marche_deploiement
20181024 reunion information_marche_deploiement20181024 reunion information_marche_deploiement
20181024 reunion information_marche_deploiement
 
20171221-1 jni-mssanté
20171221-1 jni-mssanté20171221-1 jni-mssanté
20171221-1 jni-mssanté
 
20171221-2 jni-interoperabilite
20171221-2 jni-interoperabilite20171221-2 jni-interoperabilite
20171221-2 jni-interoperabilite
 
20171221-3 jni-igcsante
20171221-3 jni-igcsante20171221-3 jni-igcsante
20171221-3 jni-igcsante
 
20171221-4 jni-nir-ins
20171221-4 jni-nir-ins20171221-4 jni-nir-ins
20171221-4 jni-nir-ins
 
20171221-5 jni-rgpd
20171221-5 jni-rgpd20171221-5 jni-rgpd
20171221-5 jni-rgpd
 
20171221-6 jni-marches
20171221-6 jni-marches20171221-6 jni-marches
20171221-6 jni-marches
 
20171221-7 jni-atelier hds
20171221-7 jni-atelier hds20171221-7 jni-atelier hds
20171221-7 jni-atelier hds
 

2011-12-14 ASIP Santé JNI "Urbanisation des SIS – Messagerie sécurisée, RPPS, RASS"

  • 1. JNI - Interopérabilité et urbanisation des SIS Point sur la sécurité RASS, MSS, PGSSI 14 décembre 2011– JNI
  • 2. Sommaire • RASS (Référentiel des acteurs sanitaires et sociaux) • MSS (Messagerie sécurisée de santé) • PGSSI (Politique générale de sécurité des SI de santé) ASIP PRAS - JNI 14 décembre 2011 2
  • 3. RPPS : Le Répertoire Partagé des Professionnels de Santé  Le Répertoire Partagé des Professionnels de Santé (RPPS)  Formalisation des rôles et responsabilités concernant la gestion des données d’identification :  Les autorités d’Enregistrement (AE) : les Ordres, les ARS, …  L’autorité de certification : l’ ASIP  Intègre les 4 premières professions à ordres depuis le 3 novembre 2011 Chirurgiens- Pharmaciens Sages-femmes Dentistes Médecins Simplification Administrative 18 Janvier 2010 30 Août 2010 12 Sept 2011 3 Nov 2011  L’opération qualité sur les référentiels (cohérence ordre / CNAM) se poursuit après la simplification administrative (l’ASIP fournit un outil de suivi des écarts) ASIP PRAS - JNI 14 décembre 2011 3
  • 4. RASS : Gestion des identités des acteurs sanitaires et sociaux  Appel d’offres RASS en cours  Appel d’Offres : publié le 18 novembre 2011  Pour premiers services hiver 2012 : publication du RPPS puis données établissements  Le modèle de données est « transparent » Il est fondé sur deux référentiels d’identification des acteurs sanitaires et sociaux en cours de publication :  Référentiel des données d’identification et des règles de constitution  Référentiels de règles d’accès aux données Ces référentiels / nomenclatures permettent aux éditeurs et industriels d’anticiper l’adaptation de leurs applications / services à l’arrivée du RASS ASIP PRAS - JNI 14 décembre 2011 4
  • 5. Sommaire • RASS (Référentiel des acteurs sanitaires et sociaux) • MSS (Messagerie sécurisée de santé) • PGSSI (Politique générale de sécurité des SI de santé) ASIP PRAS - JNI 14 décembre 2011 5
  • 6. Messagerie sécurisée de santé Les besoins L’échange de données de santé à caractère personnel par messagerie doit être réalisé au sein d’un espace de confiance garant du respect des droits du patient. La Messagerie Sécurisée de Santé constitue l’ossature de cet espace de confiance en garantissant que de tels échanges ne sont réalisés qu’entre acteurs de santé enregistrés au sein des référentiels nationaux RPPS/RASS, garant de leur légitimité, en utilisant des moyens d’authentification conformes à la réglementation et en étant conforme au décret « hébergeur ». RASS (Référentiel des Acteurs Santé Social) RPPS (Répertoire Partagé des Professionnels de Santé) Etablissement X Médecins libéraux Etablissement Y ------- ------- -- Dr Dupond A. a.dupond@med...fr -- Dr Legrand D. d.legrand@etabY.fr -- Dr Dupond B. b.dupond@med...fr -- Dr Martin C. c.martin@etabY.fr -- Dr Dupond C. c.dupond@med...fr -- xxx --------- --------- MSS Acteur de santé Acteur de santé Espace de confiance ASIP PRAS - JNI 14 décembre 2011 6
  • 7. Messagerie sécurisée de santé Les besoins Le service Messagerie doit permettre :  l’échange entre Professionnels de Santé  Communication interpersonnelle non structurée (texte libre avec ou sans pièce jointe libre)  Communication interpersonnelle structurée (IHE-XDM, document CDA) permettant l’intégration automatisée du contenu échangé dans l’outil métier de gestion du dossier patient.  l’échange entre les Professionnels de santé et systèmes d’information de santé - par exemple :  l’émission automatisée de comptes rendus de biologie du laboratoire vers le médecin traitant  l’alimentation du DMP en complément de l’envoi du compte rendu de biologie au médecin traitant  des services complémentaires :  la délégation de l’usage de la boîte aux lettres, par exemple en cas de remplacement, avec la possibilité de restreindre les conditions d’usage  la définition de listes de diffusion nationales et sectorielles permettant la diffusion d’informations sanitaires vers les acteurs de santé à l’initiative des pouvoirs publics . À titre d’exemple : alerte sanitaire ASIP PRAS - JNI 14 décembre 2011 7
  • 8. Messagerie sécurisée Un choix de maîtrise d’ouvrage L’ASIP Santé propose un choix fort de pilotage permettant d’accélérer la mise en œuvre d’un système de messagerie sécurisée pour les professionnels de santé, au bénéfice de la coordination des soins. Cette stratégie repose sur la mise en œuvre de la messagerie par un opérateur technique unique sous la maîtrise d’ouvrage de l’ASIP Santé :  Cette plateforme permet d’héberger les domaines de messagerie des organismes souhaitant mettre à disposition de leurs membres une boîte aux lettres.  Les organismes concernés sont : o Les Autorités d’Enregistrement (AE) des professionnels de santé inscrits dans le RPPS/RASS (Ordres, ARS, SSA), exemple « médecin.fr ». o Les établissements de santé (que ceux-ci souhaitent mettre en œuvre leur propre passerelle de messagerie ou disposer de BAL auprès de l’opérateur MSS), par exemple « @hopital local deX.fr ».  Chaque organisme, en tant que gestionnaire d’un domaine de messagerie: o conserve la relation avec ses usagers professionnels ; o prend en charge l’accompagnement et la conduite du changement pour les populations qui le concernent (en complément des éditeurs des clients de messagerie et des passerelles des ES). ASIP PRAS - JNI 14 décembre 2011 8
  • 9. Messagerie sécurisée de santé Les accès au service Les domaines de messagerie hébergés par le service obéissent tous aux mêmes règles d’accès. Le service de messagerie est accessible selon 3 modes d’accès :  client de messagerie intégré au LPS et homologué  Facilite l’intégration des données au sein du LPS  client de messagerie autonome homologué (outlook, thunderbird, ..)  navigateur Web (Webmail)  Mise à disposition d’un module de construction de pièces jointes structurées conformes au CI-SIS  Accès en partage aux boîtes aux lettres via le Webmail (délégation d’accès) Plus un mode passerelle / proxy pour les ES L’accès au service requiert :  une authentification forte de l’utilisateur par carte CPS  un mode d’authentification de secours permet de palier l’indisponibilité de la carte CPS (mécanisme de type mot de passe à usage unique par GSM) pour les accès en Webmail  un mode alternatif d’authentification forte doit être défini pour l’accès via terminaux mobiles (pda, tablettes…) ASIP PRAS - JNI 14 décembre 2011 9
  • 10. Messagerie sécurisée de santé Satisfaction des besoins de sécurité La confidentialité des échanges reposent sur deux principes majeurs :  la notion de groupe fermé de domaines MSS permettant le cloisonnement des échanges de données de santé dans un espace de confiance maîtrisé (RPPS/RASS) Les messages ne peuvent être échangés qu’entre domaines de messagerie MSS répertoriés dans une liste blanche administrée par l’ASIP Santé. Ce modèle remplace le concept d’OSM avec lequel l’interopérabilité n’est pas possible  la sécurisation des canaux d’échanges entre les clients de messagerie et le service et entre les domaines de messagerie MSS. Client MSSU Opérateur de service Proxy MSSU MSSU Emission consultation d’un Hébergeur agréé message Émission du message Proxy MSSU vers Emission et domaine MSSU réception de message de et Messagerie vers des Interne Messages domaines de Réception de référencés l’établissement message des Canal sécurisé MSSU domaines MSSU et stockage des messages Canal sécurisé Seuls des acteurs authentifiés par un certificat CPS peuvent accéder au service MSS L’imputabilité des contenus structurés de santé échangés est garantie par la conformité de ces contenus aux référentiels de l’ASIP Santé en vigueur : cadre d’interopérabilité des SIS et référentiel d’imputabilité L’opérateur technique doit disposer, pour ce service, d’un agrément d’hébergeur de données de santé, garant de la sécurité des données hébergées. ASIP PRAS - JNI 14 décembre 2011 10
  • 11. Messagerie sécurisée de santé Eléments de calendrier T4 2011 T1 2012 T2 2012 T3 2012 T4 2012 T1 2013 T2 2013 T3 2013 Cahier des charges Opérateur technique Procédure de marché Sélection opérateur Mise en œuvre du service Mise en œuvre par l’opérateur technique Pilote Ouverture générale du service Agrément hébergeur de Instruction données de santé MSS-compatibilité Cahier des charges MSS-compatibilité Homologation des produits Développements éditeurs (LGC, proxy…) Homologation ASIP PRAS - JNI 14 décembre 2011 11
  • 12. Messagerie sécurisée de santé  Appel d’offres MSS en cours  Appel d’Offres : publié le 2 décembre 2011  Pour premiers services hiver 2012 : publication du RPPS puis données établissements ASIP PRAS - JNI 14 décembre 2011 12
  • 13. Sommaire • RASS (Référentiel des acteurs sanitaires et sociaux) • MSS (Messagerie sécurisée de santé) • PGSSI (Politique générale de sécurité des SI de santé) ASIP PRAS - JNI 14 décembre 2011 13
  • 14. PGSSI : Politique générale de sécurité Objectifs La lettre de mission du 22 septembre 2011 de la secrétaire générale des ministères sociaux, confie la maitrise d’ouvrage opérationnelle du projet PGSSI à l’ASIP Santé. La Délégation à la Stratégie des Systèmes d’Information de Santé en assure la maîtrise d’ouvrage stratégique.  Les objectifs de la politique générale de sécurité des SIS sont  généraliser le strict respect des droits fondamentaux des patients (dans la dimension gestion de leurs données de santé)  d’homogénéiser le niveau de sécurité accordé aux données personnelles de santé dans l’ensemble des SI de santé (LGC, SIH et bien d’autres)  mettre en place un cadre réglementaire permettant aux professionnels de santé de se concentrer sur la prise en charge des patients et l’exercice de leur discipline  Créer un espace de confiance numérique favorable à l’essor du partage et des échanges de données médicales personnelles ASIP PRAS - JNI 14 décembre 2011 14
  • 15. PGSSI : Politique générale de sécurité Méthode d’élaboration de la PGSSI (Organisation) La PGSSI est élaborée en concertation avec les différents acteurs concernés  Un comité de pilotage réunissant les acteurs institutionnels (DSSIS, ASIP Santé, directions du ministère de la santé, ANSSI, …) pour définir et valider les enjeux, les objectifs et les principes de la PGSSI  Une concertation avec différents groupes d’acteurs  Acteurs métier : Les professionnels de santé et les représentants de patients. La PGSSI doit à la fois permettre le respect des droits fondamentaux des patients, propriétaires de leurs données de santé et ne pas générer de « perte de chance »;  Les industriels du secteur de la santé : en particulier, les trajectoires de prise en compte la PGSSI sont définies par les promoteurs de SIS en fonction des solutions offertes par les industriels. La dimension économique et les trajectoires de mise en conformité doivent être prises en compte. ASIP PRAS - JNI 14 décembre 2011 15
  • 16. PGSSI : Politique générale de sécurité Méthode d’élaboration de la PGSSI (Livrables)  De référentiels de politique générale (comité de pilotage, représentants de PS et de patients)  Une doctrine qui identifie en particulier les objectifs, enjeux et principes de la PGSSI  Un référentiel d’exigences de sécurité pérennes  Un référentiel de contextes de mise en œuvre de SIS (comité de pilotage, représentants de PS et de patients)  Ce référentiel décrit des contextes types de mise en œuvre de SIS (exercice libéral, maison de santé, ES de différentes tailles, ….)  Des référentiels techniques composé de  Référentiels génériques applicables à tous les contextes de mise en œuvre  Référentiel d’identification de patients, référentiel d’acteurs de santé, référentiels d’authentification des professionnels de santé, etc.  Référentiels contextuels adaptés à chacun des contextes types  Guide de bonnes pratiques en « exercice libéral », etc. ASIP PRAS - JNI 14 décembre 2011 16
  • 17. PGSSI : Politique générale de sécurité Les livrables Doctrine à Données de santé caractère personnel Référentiel des « types de menaces » P Référentiel des G « types de scénarios de risques » S S I Référentiels de sécurité ASIP Référentiel des « exigences de sécurité » des SIS FEROS type SIS Contexte A Contexte B Contexte C ... P P P S S S ... Référentiel des S S S ... trajectoires de I I I « mesures de sécurité » Contextuelles ... Référentiels de « dispositifs de sécurité » ASIP PRAS - JNI 14 décembre 2011 17
  • 18. PGSSI : Politique générale de sécurité Focus sur le principe de palier de mise en œuvre de la PGSSI  Pour chaque fonction de sécurité (confidentialité, traçabilité) un ensemble de paliers sera proposé • Chaque fonction est composée par un palier cible à atteindre et des paliers intermédiaires permettant de bâtir des trajectoires d’évolution et de satisfaire des objectifs de sécurité intermédiaires (ex gestion des rôles, SSO mais pas encore l’authentification forte des acteurs); • un palier minimal déjà opérationnel ou rapide à mettre en œuvre comportant les exigences de sécurité exigées dans le cadre de la DMP compatibilité  La PGSSI constitue ainsi : • un outil d’évaluation de la maturité SSI des systèmes d’information en santé (et de sa trajectoire d’évolution) pour les acteurs de santé et pour l’état • un référentiel de positionnement pour toutes les offres industrielles  La PGSSI sera en phase avec les évolutions industrielles et technologiques: • accompagnement des évolutions (par exemple, mobilité, tablettes, cartes déléguées, certificats logiciels confinés, ASP, SAAS, CLOUD, …) ASIP PRAS - JNI 14 décembre 2011 18
  • 19. PGSSI : Politique générale de sécurité Calendrier  Les phases de travail :  La doctrine PGSSI est prévue début 2012 (après validation des directions du ministère, des opérateurs d’Etat et de l’ANSSI)  Les concertations avec les acteurs de santé, les représentants de patients et les industriels sont prévues mi 2012  Puis des spécifications détaillées d’exigences, d’organisations, de dispositifs, à vocation opérationnelle, pour permettre une adoption terrain rapide. Pour les exigences, par exemple : Exigences de confidentialité : Exigence de sécurité physique ou logique pour les gisements de données de santé ( différentes solutions possibles pour le LGC : chiffrement disque, chiffrement base , IAAS, …) Pour les dispositifs , par exemple : Référentiels d’authentification des PS : Nouvelle offre de produits de certification : cartes déléguées, certificats logiciels de personnes morales, certificats logiciel confinés de personnes physiques (usages SAAS, tablettes, mobilité) ASIP PRAS - JNI 14 décembre 2011 19
  • 20. Merci ASIP PRAS - JNI 14 décembre 2011 20