O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.
Modélisationd’unréseausocialcommutaire
pourmedecin-MedNet-
Réalisé par :
• Azrou Lilia
• Benchaib Widad
• Cherhabil Ibtiha...
Plan
 Introduction
 Contexte hospitalier
 Analyse de risques
 La PSSI appliquée aux CHU
 Etude de cas
 Etat des lieu...
Introduction
3
 Les hôpitaux à l’ère du digital  des technologies de plus en plus complexes.
 Pression des médias et re...
I. Contexte hospitalier
s
4
SIH
• Système informatique, destiné à faciliter la gestion de l'ensemble des informations
médi...
Convergence SIH  SIS
5
- Principaux objectifs -
6
Respect du
secret
professionnel
Qualité
des soins
Responsabilité
Maîtrise des
coûts
7II. Politique de sécurité
Comment atteindre ces objectifs ?
1. Politique de sécurité des SIH
 Un plan d'actions définies pour maintenir un certain niveau de sécurité.
8
Roue de
Deim...
2. Facteurs clés de succès
 Une volonté directoriale  LEGITIME
 Une politique de sécurité simple, précise et compréhens...
10III. Analyse de risques
Exemple de risques
11
Atteinte à la confidentialité
Accès aux dossiers médicaux
Postes connectés sans surveillance
Réseau ...
Exemple de risques
12
Atteinte à la disponibilité, intégrité et traçabilité
Infection virale
Poste non autorisé connecté
à...
IV. La PSSIH
Politique de sécurité des systèmes d’information hospitaliers
13
Matériel
• TIC
• Procédures et logiciels mét...
La PSSIH : Acteurs
Qui ?
14
Acteurs de la PSSIH
Utilisateurs
Gestionnaire
Propriétaire
La PSSIH : Hiérarchie
Politique de responsabilité
15
RSSI
Comité
sécurité
Mise en œuvre
• Responsable de la
sécurité des s...
Aspects réglementaires
16
Règles du PSSI issues des législations, culture de l’organisme/pays :
 Déontologie: DUDH, ligne...
Principes techniques
Comment ?
17
1. Identification et authentification (forte, unique)
2. Contrôle d’accès logique aux bi...
Principes techniques
Comment ?
18
3. Définir :
- Technologie à utiliser (algorithme d’authentification, mot de passe joué ...
Principes techniques
Comment ?
19
- Exigences de robustesse des moyens d’accès et des mots de passe - règles de
constructi...
Principes techniques
Comment ?
20
- Procédure en cas de tentatives de connexion infructueuses répétées ;
- Limitation des ...
Principes techniques
Comment ?
21
4. Protection des accès en maintenance :  hauts privilèges
Des engagements de responsab...
Signaux compromettants
• Signaux électriques parasites interférant avec le matériel :
intentionnels ou non.
• Protection i...
CONCLUSION
23
Próximos SlideShares
Carregando em…5
×

Politique de sécurité des systèmes d'information hospitaliers

222 visualizações

Publicada em

Sécurité des SIH

Publicada em: Tecnologia
  • Seja o primeiro a comentar

Politique de sécurité des systèmes d'information hospitaliers

  1. 1. Modélisationd’unréseausocialcommutaire pourmedecin-MedNet- Réalisé par : • Azrou Lilia • Benchaib Widad • Cherhabil Ibtihal • Si-moussi Sara Politique de sécurité des Systèmes d’Information Hospitaliers
  2. 2. Plan  Introduction  Contexte hospitalier  Analyse de risques  La PSSI appliquée aux CHU  Etude de cas  Etat des lieux en Algérie  Conclusion 2
  3. 3. Introduction 3  Les hôpitaux à l’ère du digital  des technologies de plus en plus complexes.  Pression des médias et renforcement du cadre législatif.  De l’obligation de moyens  L’obligation de résultats = Logique de performances.  Environnement complexe de l’hôpital : humanitaire, public et administratif.  OBLIGATION DE SECURISER : Les soins d’abord, mais les informations aussi.
  4. 4. I. Contexte hospitalier s 4 SIH • Système informatique, destiné à faciliter la gestion de l'ensemble des informations médicales et administratives d'un hôpital. SIS • Système d'information global, regroupant tous les types d'acteurs et ressources de santé.
  5. 5. Convergence SIH  SIS 5
  6. 6. - Principaux objectifs - 6 Respect du secret professionnel Qualité des soins Responsabilité Maîtrise des coûts
  7. 7. 7II. Politique de sécurité Comment atteindre ces objectifs ?
  8. 8. 1. Politique de sécurité des SIH  Un plan d'actions définies pour maintenir un certain niveau de sécurité. 8 Roue de Deiming Méthode PDCA
  9. 9. 2. Facteurs clés de succès  Une volonté directoriale  LEGITIME  Une politique de sécurité simple, précise et compréhensible.  APPLICABLE  La publication de cette politique de sécurité.  CONSULTABLE  Une gestion centralisée de la sécurité et une certaine automatisation des processus de sécurité.  CENTRALISATION  Du personnel sensibilisé et formé à la sécurité, possédant une haute valeur morale.  FORMATION  Des procédures d’enregistrement, de surveillance, d’audit, d’organisation.  CONTROLE 9
  10. 10. 10III. Analyse de risques
  11. 11. Exemple de risques 11 Atteinte à la confidentialité Accès aux dossiers médicaux Postes connectés sans surveillance Réseau Wifi du SIH ouvert Partage de connexions filaires CONFIDENTIALITE Intrusion externe
  12. 12. Exemple de risques 12 Atteinte à la disponibilité, intégrité et traçabilité Infection virale Poste non autorisé connecté à distance Fuite d’eau au niveau du SAN Problème sur l’onduleur DISPONIBLITE, INTEGRITE Vols du matériel informatique essentiel au fonctionnement de l’accélérateur de particules pour le traitement des cancers
  13. 13. IV. La PSSIH Politique de sécurité des systèmes d’information hospitaliers 13 Matériel • TIC • Procédures et logiciels métiers Intellect • Informations techniques, scientifiques. • Informations administratives Humain • Acteurs interagissant avec le CHU • Altération  poursuites judiciaires QUOI ?
  14. 14. La PSSIH : Acteurs Qui ? 14 Acteurs de la PSSIH Utilisateurs Gestionnaire Propriétaire
  15. 15. La PSSIH : Hiérarchie Politique de responsabilité 15 RSSI Comité sécurité Mise en œuvre • Responsable de la sécurité des soins • Responsable de la sécurité incendie • Responsable de la sécurité du personnel et des patients • RSSI Cellule Veille Cellule gestion de crises
  16. 16. Aspects réglementaires 16 Règles du PSSI issues des législations, culture de l’organisme/pays :  Déontologie: DUDH, lignes directrices de l’OCDE.  La loi Informatique Et Libertés  Code d’éthique des hôpitaux et protection des informations médicales privées.
  17. 17. Principes techniques Comment ? 17 1. Identification et authentification (forte, unique) 2. Contrôle d’accès logique aux biens : - L'accès des utilisateurs aux services pour lesquels ils sont autorisés ; - La connexion au système d'information des ordinateurs isolés ou extérieurs à l'organisme ; - La séparation des réseaux dédiés à des domaines particuliers ; - Le routage des communications sur les canaux autorisés.
  18. 18. Principes techniques Comment ? 18 3. Définir : - Technologie à utiliser (algorithme d’authentification, mot de passe joué qu'une fois…) ; - Protection des secrets (fichiers de mots de passe gérés par les systèmes ou les applications) - Conditions d’attribution d’un accès (engagement de l’utilisateur au respect des règles élémentaires de protection de l’accès) ;
  19. 19. Principes techniques Comment ? 19 - Exigences de robustesse des moyens d’accès et des mots de passe - règles de construction - fréquence de changement des mots de passe - historique de mots de passe non réutilisables. - Durée de vie de l’attribution de l'accès ; - Toute procédure d’authentification à des accès sensibles ou utilisant des médias qui ne sont pas considérés comme de confiance (réseaux publics) doit assurer la non divulgation des éléments d’authentification ;
  20. 20. Principes techniques Comment ? 20 - Procédure en cas de tentatives de connexion infructueuses répétées ; - Limitation des temps de connexion ; - Procédure en cas de déclaration de perte d’un secret – lutter contre des usurpations d’identité ; - Procédure de suppression des accès en cas de départ de personnel ou de vol de matériel.
  21. 21. Principes techniques Comment ? 21 4. Protection des accès en maintenance :  hauts privilèges Des engagements de responsabilités spécifiques devront être inclus dans les contrats de prestations de service. 5. Contrôle des listes d’accès 6. Verrouillage des sessions de travail 7. Administration des privilèges 8. Journalisation : gestion des traces.
  22. 22. Signaux compromettants • Signaux électriques parasites interférant avec le matériel : intentionnels ou non. • Protection interdite en Europe. • Moyens de le faire : • Matériel TEMPEST • Faradisation des locaux • Protection des équipements 22
  23. 23. CONCLUSION 23

×