2. Plan
Introduction
Contexte hospitalier
Analyse de risques
La PSSI appliquée aux CHU
Etude de cas
Etat des lieux en Algérie
Conclusion
2
3. Introduction
3
Les hôpitaux à l’ère du digital des technologies de plus en plus complexes.
Pression des médias et renforcement du cadre législatif.
De l’obligation de moyens L’obligation de résultats = Logique de
performances.
Environnement complexe de l’hôpital : humanitaire, public et administratif.
OBLIGATION DE SECURISER :
Les soins d’abord, mais les informations aussi.
4. I. Contexte hospitalier
s
4
SIH
• Système informatique, destiné à faciliter la gestion de l'ensemble des informations
médicales et administratives d'un hôpital.
SIS
• Système d'information global, regroupant tous les types d'acteurs et ressources de
santé.
8. 1. Politique de sécurité des SIH
Un plan d'actions définies pour maintenir un certain niveau de sécurité.
8
Roue de
Deiming
Méthode
PDCA
9. 2. Facteurs clés de succès
Une volonté directoriale LEGITIME
Une politique de sécurité simple, précise et compréhensible. APPLICABLE
La publication de cette politique de sécurité. CONSULTABLE
Une gestion centralisée de la sécurité et une certaine automatisation des processus de
sécurité. CENTRALISATION
Du personnel sensibilisé et formé à la sécurité, possédant une haute valeur morale.
FORMATION
Des procédures d’enregistrement, de surveillance, d’audit, d’organisation.
CONTROLE
9
11. Exemple de risques
11
Atteinte à la confidentialité
Accès aux dossiers médicaux
Postes connectés sans surveillance
Réseau Wifi du SIH ouvert
Partage de
connexions filaires
CONFIDENTIALITE
Intrusion externe
12. Exemple de risques
12
Atteinte à la disponibilité, intégrité et traçabilité
Infection virale
Poste non autorisé connecté
à distance
Fuite d’eau au niveau du SAN
Problème sur l’onduleur
DISPONIBLITE,
INTEGRITE
Vols du matériel informatique essentiel
au fonctionnement de
l’accélérateur de particules pour le
traitement des cancers
13. IV. La PSSIH
Politique de sécurité des systèmes d’information hospitaliers
13
Matériel
• TIC
• Procédures et logiciels métiers
Intellect
• Informations techniques, scientifiques.
• Informations administratives
Humain
• Acteurs interagissant avec le CHU
• Altération poursuites judiciaires
QUOI ?
14. La PSSIH : Acteurs
Qui ?
14
Acteurs de la PSSIH
Utilisateurs
Gestionnaire
Propriétaire
15. La PSSIH : Hiérarchie
Politique de responsabilité
15
RSSI
Comité
sécurité
Mise en œuvre
• Responsable de la
sécurité des soins
• Responsable de la
sécurité incendie
• Responsable de la
sécurité du
personnel et des
patients
• RSSI
Cellule Veille
Cellule gestion
de crises
16. Aspects réglementaires
16
Règles du PSSI issues des législations, culture de l’organisme/pays :
Déontologie: DUDH, lignes directrices de l’OCDE.
La loi Informatique Et Libertés
Code d’éthique des hôpitaux et protection des informations
médicales privées.
17. Principes techniques
Comment ?
17
1. Identification et authentification (forte, unique)
2. Contrôle d’accès logique aux biens :
- L'accès des utilisateurs aux services pour lesquels ils sont autorisés ;
- La connexion au système d'information des ordinateurs isolés ou
extérieurs à l'organisme ;
- La séparation des réseaux dédiés à des domaines particuliers ;
- Le routage des communications sur les canaux autorisés.
18. Principes techniques
Comment ?
18
3. Définir :
- Technologie à utiliser (algorithme d’authentification, mot de passe joué qu'une
fois…) ;
- Protection des secrets (fichiers de mots de passe gérés par les systèmes ou les
applications)
- Conditions d’attribution d’un accès (engagement de l’utilisateur au respect des
règles élémentaires de protection de l’accès) ;
19. Principes techniques
Comment ?
19
- Exigences de robustesse des moyens d’accès et des mots de passe - règles de
construction - fréquence de changement des mots de passe - historique de
mots de passe non réutilisables.
- Durée de vie de l’attribution de l'accès ;
- Toute procédure d’authentification à des accès sensibles ou utilisant des médias
qui ne sont pas considérés comme de confiance (réseaux publics) doit assurer la
non divulgation des éléments d’authentification ;
20. Principes techniques
Comment ?
20
- Procédure en cas de tentatives de connexion infructueuses répétées ;
- Limitation des temps de connexion ;
- Procédure en cas de déclaration de perte d’un secret – lutter contre des
usurpations d’identité ;
- Procédure de suppression des accès en cas de départ de personnel ou de vol de
matériel.
21. Principes techniques
Comment ?
21
4. Protection des accès en maintenance : hauts privilèges
Des engagements de responsabilités spécifiques devront être inclus dans les
contrats de prestations de service.
5. Contrôle des listes d’accès
6. Verrouillage des sessions de travail
7. Administration des privilèges
8. Journalisation : gestion des traces.
22. Signaux compromettants
• Signaux électriques parasites interférant avec le matériel :
intentionnels ou non.
• Protection interdite en Europe.
• Moyens de le faire :
• Matériel TEMPEST
• Faradisation des locaux
• Protection des équipements
22