Sécurité des SIH

1. Modélisationd’unréseausocialcommutaire
pourmedecin-MedNet-
Réalisé par :
• Azrou Lilia
• Benchaib Widad
• Cherhabil Ibtihal
• Si-moussi Sara
Politique de sécurité
des
Systèmes d’Information Hospitaliers

2. Plan
 Introduction
 Contexte hospitalier
 Analyse de risques
 La PSSI appliquée aux CHU
 Etude de cas
 Etat des lieux en Algérie
 Conclusion
2

3. Introduction
3
 Les hôpitaux à l’ère du digital  des technologies de plus en plus complexes.
 Pression des médias et renforcement du cadre législatif.
 De l’obligation de moyens  L’obligation de résultats = Logique de
performances.
 Environnement complexe de l’hôpital : humanitaire, public et administratif.
 OBLIGATION DE SECURISER :
Les soins d’abord, mais les informations aussi.

4. I. Contexte hospitalier
s
4
SIH
• Système informatique, destiné à faciliter la gestion de l'ensemble des informations
médicales et administratives d'un hôpital.
SIS
• Système d'information global, regroupant tous les types d'acteurs et ressources de
santé.

5. Convergence SIH  SIS
5

6. - Principaux objectifs -
6
Respect du
secret
professionnel
Qualité
des soins
Responsabilité
Maîtrise des
coûts

7. 7II. Politique de sécurité
Comment atteindre ces objectifs ?

8. 1. Politique de sécurité des SIH
 Un plan d'actions définies pour maintenir un certain niveau de sécurité.
8
Roue de
Deiming
Méthode
PDCA

9. 2. Facteurs clés de succès
 Une volonté directoriale  LEGITIME
 Une politique de sécurité simple, précise et compréhensible.  APPLICABLE
 La publication de cette politique de sécurité.  CONSULTABLE
 Une gestion centralisée de la sécurité et une certaine automatisation des processus de
sécurité.  CENTRALISATION
 Du personnel sensibilisé et formé à la sécurité, possédant une haute valeur morale. 
FORMATION
 Des procédures d’enregistrement, de surveillance, d’audit, d’organisation.
 CONTROLE
9

10. 10III. Analyse de risques

11. Exemple de risques
11
Atteinte à la confidentialité
Accès aux dossiers médicaux
Postes connectés sans surveillance
Réseau Wifi du SIH ouvert
Partage de
connexions filaires
CONFIDENTIALITE
Intrusion externe

12. Exemple de risques
12
Atteinte à la disponibilité, intégrité et traçabilité
Infection virale
Poste non autorisé connecté
à distance
Fuite d’eau au niveau du SAN
Problème sur l’onduleur
DISPONIBLITE,
INTEGRITE
Vols du matériel informatique essentiel
au fonctionnement de
l’accélérateur de particules pour le
traitement des cancers

13. IV. La PSSIH
Politique de sécurité des systèmes d’information hospitaliers
13
Matériel
• TIC
• Procédures et logiciels métiers
Intellect
• Informations techniques, scientifiques.
• Informations administratives
Humain
• Acteurs interagissant avec le CHU
• Altération  poursuites judiciaires
QUOI ?

14. La PSSIH : Acteurs
Qui ?
14
Acteurs de la PSSIH
Utilisateurs
Gestionnaire
Propriétaire

15. La PSSIH : Hiérarchie
Politique de responsabilité
15
RSSI
Comité
sécurité
Mise en œuvre
• Responsable de la
sécurité des soins
• Responsable de la
sécurité incendie
• Responsable de la
sécurité du
personnel et des
patients
• RSSI
Cellule Veille
Cellule gestion
de crises

16. Aspects réglementaires
16
Règles du PSSI issues des législations, culture de l’organisme/pays :
 Déontologie: DUDH, lignes directrices de l’OCDE.
 La loi Informatique Et Libertés
 Code d’éthique des hôpitaux et protection des informations
médicales privées.

17. Principes techniques
Comment ?
17
1. Identification et authentification (forte, unique)
2. Contrôle d’accès logique aux biens :
- L'accès des utilisateurs aux services pour lesquels ils sont autorisés ;
- La connexion au système d'information des ordinateurs isolés ou
extérieurs à l'organisme ;
- La séparation des réseaux dédiés à des domaines particuliers ;
- Le routage des communications sur les canaux autorisés.

18. Principes techniques
Comment ?
18
3. Définir :
- Technologie à utiliser (algorithme d’authentification, mot de passe joué qu'une
fois…) ;
- Protection des secrets (fichiers de mots de passe gérés par les systèmes ou les
applications)
- Conditions d’attribution d’un accès (engagement de l’utilisateur au respect des
règles élémentaires de protection de l’accès) ;

19. Principes techniques
Comment ?
19
- Exigences de robustesse des moyens d’accès et des mots de passe - règles de
construction - fréquence de changement des mots de passe - historique de
mots de passe non réutilisables.
- Durée de vie de l’attribution de l'accès ;
- Toute procédure d’authentification à des accès sensibles ou utilisant des médias
qui ne sont pas considérés comme de confiance (réseaux publics) doit assurer la
non divulgation des éléments d’authentification ;

20. Principes techniques
Comment ?
20
- Procédure en cas de tentatives de connexion infructueuses répétées ;
- Limitation des temps de connexion ;
- Procédure en cas de déclaration de perte d’un secret – lutter contre des
usurpations d’identité ;
- Procédure de suppression des accès en cas de départ de personnel ou de vol de
matériel.

21. Principes techniques
Comment ?
21
4. Protection des accès en maintenance :  hauts privilèges
Des engagements de responsabilités spécifiques devront être inclus dans les
contrats de prestations de service.
5. Contrôle des listes d’accès
6. Verrouillage des sessions de travail
7. Administration des privilèges
8. Journalisation : gestion des traces.

22. Signaux compromettants
• Signaux électriques parasites interférant avec le matériel :
intentionnels ou non.
• Protection interdite en Europe.
• Moyens de le faire :
• Matériel TEMPEST
• Faradisation des locaux
• Protection des équipements
22

23. CONCLUSION
23