Colloque sur la sécurité des systèmes d’information dans les établissements sanitaires et médico-sociaux - 7 octobre 2015
"La PGSSI-S" Frédérique POTHIER, DSSIS et Manuel
METZ, ASIP Santé - Diaporama
1. Ministère des affaires sociales, de la santé et des droits des femmes
La Politique générale de sécurité
des systèmes d’information de
santé (PGSSI-S)
• Colloque sur la sécurité des systèmes d’information dans les
établissements sanitaires et médico-sociaux - Paris - 7 octobre 2015
• Frédérique POTHIER (DSSIS, ministère des affaires sociales, de la
santé et des droits des femmes) et Manuel METZ (PUSC, ASIP Santé)
Délégation à la stratégie des systèmes d’information de santé (DSSIS)
santé (PGSSI-S)
2. 2Ministère des affaires sociales , de la santé et
des droits des femmes
Délégation à la stratégie des systèmes
d’information de santé
3. Enjeux de la PGSSI-S
Assurer la sécurité des patients, et pas seulement la
protection de la confidentialité des données et du secret
professionnel
Créer un espace de confiance permettant de susciter
3Ministère des affaires sociales , de la santé et
des droits des femmes
Délégation à la stratégie des systèmes
d’information de santé
Créer un espace de confiance permettant de susciter
l’adhésion (et l’usage des SI) des professionnels de santé,
des patients, du grand public
Favoriser la prise en compte de la SSI dans l’offre industrielle
de SI de santé
4. Objectifs de la PGSSI-S
Définir les niveaux d’exigence, les règles et les moyens
juridiques, organisationnels, techniques et humains
nécessaires pour garantir la sécurité de l’information dans
les secteurs sanitaire et médico-social
Au bénéfice des professionnels, des établissements et des
4Ministère des affaires sociales , de la santé et
des droits des femmes
Délégation à la stratégie des systèmes
d’information de santé
Au bénéfice des professionnels, des établissements et des
patients :
• Établissements et professionnels, quels que soient les modes
d’organisation et les lieux d’exercice
• Toutes les applications assurant le traitement de données de
santé directement ou indirectement nominatives, voire
anonymisées
• Domaine sanitaire et médico-social
5. Place de la PGSSI-S
Politique sectorielle applicable à tous les SI assurant le
traitement de données de santé des secteurs sanitaire et
médico-social
Complète les politiques de l’Etat avec lesquelles elle est en
5Ministère des affaires sociales , de la santé et
des droits des femmes
Délégation à la stratégie des systèmes
d’information de santé
cohérence :
• Référentiel général de sécurité (RGS)
• Tous les SI permettant des échanges d’informations entre administrations ou
avec les citoyens
• Politique de sécurité des SI de l’Etat (PSSIE)
• Tous les SI des administrations de l’Etat
• Politique ministérielle de sécurité des SI (PMSSI)
• Cadre général régissant la mise en œuvre de la sécurité des SI pour
l’ensemble du périmètre des ministères chargés des affaires sociales
6. Démarche de construction de la PGSSI-S (1/4)
Commande du SG des ministères sociaux en septembre 2011
Lancement des travaux et premier comité de pilotage en mars
2012 :
• MOA stratégique = DSSIS - MOA opérationnelle = ASIP Santé
Une démarche pragmatique, volontariste et collective :
• Une revue systématique du cadre juridique et technique, une prise en
6Ministère des affaires sociales , de la santé et
des droits des femmes
Délégation à la stratégie des systèmes
d’information de santé
• Une revue systématique du cadre juridique et technique, une prise en
compte de l’existant : PMSSI, PSSIE, RGS, recommandations de l’ANSSI…
• La prise en compte de la variété des contextes d’exercice professionnel
• Une action d’amélioration continue des pratiques, une progression par
paliers, des exigences réalistes
• Participation de tous les acteurs concernés : l’Etat et ses agences, la
CNIL, les professionnels des secteurs santé et médico-social, les usagers
du système de santé, les industriels, l’assurance maladie
7. Un comité de pilotage :
• Composition : directions d’administration centrale du ministère,
ANSSI, CNAMTS, CNIL, CNSA, HFDS
• Fonction :
– Pilotage du projet PGSSI-S
– Décision de mise en concertation publique des documents
– Validation de la prise en compte des commentaires issus de la concertation
Démarche de construction de la PGSSI-S (2/4)
7
– Validation de la prise en compte des commentaires issus de la concertation
Des groupes de travail thématiques :
• Composition : institutionnels, ordres et associations de
professionnels de santé, RSSI d'établissement de soin,
organisations représentatives d'industriels du secteur
• Fonction :
– Contribution à l’élaboration des documents
– Validation des versions à proposer au COPIL pour mise en concertation
Ministère des affaires sociales , de la santé et
des droits des femmes
Délégation à la stratégie des systèmes
d’information de santé
8. Un comité de concertation :
• Composition : représentants des professionnels et des
établissements de santé, des patients, des industriels du secteur
• Fonction :
– Lieu d’échange sur la démarche et sur les éléments constitutifs de la PGSSI-S
Démarche de construction de la PGSSI-S (3/4)
8
– Alimentation en participants des GT
– Participation à la diffusion et à la promotion des documents validés
Une mise en concertation publique sur le site de l’ASIP Santé
http://esante.gouv.fr/pgssi-s/espace-concertation
Ministère des affaires sociales , de la santé et
des droits des femmes
Délégation à la stratégie des systèmes
d’information de santé
9. Démarche de construction de la PGSSI-S (4/4)
Une publication sur le site de l’ASIP Santé
http://esante.gouv.fr/pgssi-s/presentation
Ministère des affaires sociales , de la santé et
des droits des femmes
Délégation à la stratégie des systèmes
d’information de santé
9
10. Le corpus documentaire à ce jour
Principes
fondateurs de
la PGSSI-S
Identification Authentification
Guide
pratique pour
Bibliographie
Documents
chapeau
Mémento de
sécurité
Guide
pratique pour
Guides
organisationnels
Référentiels techniques Guides pratiques
Guides
juridiques
Ministère des affaires sociales , de la santé et
des droits des femmes
Délégation à la stratégie des systèmes
d’information de santé
des acteurs
de santé
Authentification
des acteurs de
santé
Imputabilité
pratique pour
les dispositifs
connectés
…
Documentscorps
Identification
des patients
Authentification
des patients
sécurité
informatique
en exercice
libéral
pratique pour
la mise en
place d’un
accès Wifi
Règles pour
les
interventions
à distance
Guide
pratique pour
la destruction
de données
Règles de
sauvegarde
des SI de
santé
Règles pour
la mise en
place d’un
accès tiers
Plan de
continuité
informatique
Publié
En
concer-
tation
Guide
d’élaboration
et de mise en
œuvre de
PSSI
En
projet 10
Gestion des
événements
sécurité
Mécanismes
de protection
de l’intégrité
des données
stockées
Gestion des
habilitations
d’accès
11. Les travaux en cours et à venir (1/2)
Mettre en œuvre l’article 25 du projet de loi de modernisation
de notre système de santé :
• Après l’article L. 1110-4 du code de la santé publique, il est inséré un
article L. 1110-4-1 ainsi rédigé :
« Art. L. 1110-4-1. - Afin de garantir la qualité et la confidentialité des
données de santé à caractère personnel et leur protection, les
professionnels de santé, les établissements et services de santé, les
11Ministère des affaires sociales , de la santé et
des droits des femmes
Délégation à la stratégie des systèmes
d’information de santé
professionnels de santé, les établissements et services de santé, les
hébergeurs de données de santé à caractère personnel et tout autre
organisme participant à la prévention, aux soins ou au suivi médico-
social et social utilisent, pour leur traitement, leur conservation sur
support informatique et leur transmission par voie électronique, des
systèmes d’information conformes aux référentiels d’interopérabilité
et de sécurité élaborés par le groupement d’intérêt public mentionné à
l’article L. 1111-24. Ces référentiels sont approuvés par arrêté du
ministre chargé de la santé, pris après avis de la Commission nationale
de l’informatique et des libertés. »
12. Mettre en œuvre le nouvel article 27 quater du projet de loi de
modernisation de notre système de santé :
• Après l’article L. 1111-8-1 du code de la santé publique, il est inséré
un article L. 1111-8-2 ainsi rédigé :
« Art. L. 1111-8-2. - Les établissements de santé, les organismes et
services exerçant des activités de prévention, de diagnostic ou de soins
Les travaux en cours et à venir (2/2)
services exerçant des activités de prévention, de diagnostic ou de soins
signalent sans délai à l’agence régionale de santé les incidents graves
de sécurité des systèmes d’information. Les incidents de sécurité jugés
significatifs sont, en outre, transmis sans délai par l’agence régionale
de santé aux autorités compétentes de l’État.
« Un décret définit les catégories d’incidents concernés et les
conditions dans lesquelles sont traités les incidents de sécurité des
systèmes d’information. »
12Ministère des affaires sociales , de la santé et
des droits des femmes
Délégation à la stratégie des systèmes
d’information de santé
13. Focus sur le guide d’élaboration d’une PSSI
Objectif du guide
• Le guide a pour objectif de permettre le développement d’une
Politique de Sécurité du Système d’Information (PSSI) par un
établissement de santé qui n’a pas d’approche sécurité du SI
formalisée
13Ministère des affaires sociales , de la santé et
des droits des femmes
Délégation à la stratégie des systèmes
d’information de santé
formalisée
• C’est un guide de rédaction de PSSI et de suivi de sa mise en œuvre
(vs. méthode d’analyse de risques):
• Pas d’analyse de risque spécifique : PSSI basée sur analyse de risque « modèle»
• Une PSSI « modèle » (canevas PSSI) à reprendre telle quelle ou à adapter
14. Focus sur le guide d’élaboration d’une PSSI
Contenu
• Afin de faciliter son utilisation, le guide est constitué de 3 documents
distincts et 3 documents annexes :
Document Cible Contenu
Guide PSSI Tout public impliqué dans la sécurisation du SI Guide de mise en place
Canevas PSSI Personnels en charge de la rédaction de la PSSI et Modèle directement utilisable
14Ministère des affaires sociales , de la santé et
des droits des femmes
Délégation à la stratégie des systèmes
d’information de santé
Canevas PSSI Personnels en charge de la rédaction de la PSSI et
personnels en charge de l’application des règles
Modèle directement utilisable
Plan d’action SSI Personnels en charge du suivi de l’application des règles Modèle directement utilisable
Annexe Cible Contenu
Modèle de charte sécurité
pour personnel IT
Personnels en charge de la rédaction
de la PSSI
Exemple adaptable
Modèle de charte d’usage Personnels en charge de la rédaction
de la PSSI
Exemple adaptable
Couverture PSSIE Personnels en charge de la conformité
à la PSSIE (si applicable)
Liste de règles du canevas permettant de
mettre en œuvre les objectifs de la PSSIE
15. Focus sur le guide d’élaboration d’une PSSI
Guide PSSI
• Le guide PSSI explique la logique d’élaboration d’une PSSI et la démarche
d’utilisation du canevas PSSI pour rédiger la PSSI d’une structure et du plan
d’action SSI pour suivre la mise en œuvre de la PSSI
Canevas PSSI
• Le canevas PSSI est un modèle de PSSI qui peut être directement repris
comme une PSSI de structure avec d’éventuelles mises à jour marginales
pour adaptation au contexte de l’établissement
15Ministère des affaires sociales , de la santé et
des droits des femmes
Délégation à la stratégie des systèmes
d’information de santé
pour adaptation au contexte de l’établissement
• Les règles contribuant à l’atteinte des prérequis hôpital numérique et/ou aux
objectifs de la PSSIE sont signalées avec identification des prérequis et des
objectifs concernés via des cartouches spécifiques
• Les référentiels et guides pratiques de la PGSSI-S qui permettent
d’approfondir les règles du canevas PSSI sont signalés tout au long du
canevas
Plan d’action SSI
• Le plan d’action PSSI est un outil permettant le suivi détaillé de la mise en
œuvre des règles identifiées dans le canevas. Il intègre le suivi des coûts
16. Autre exemple de document PGSSI-S
Règles pour les interventions à distance sur les systèmes
d’information de santé
• Règles de sécurité pouvant être utilisées directement dans les
documents contractuels encadrant les interventions
Règles relatives à la
sécurité de la prestation
fournie
Règles relatives à la sécurité de
l’environnement du fournisseur
Règles relatives à la sécurité
des échanges et des accès
16Ministère des affaires sociales , de la santé et
des droits des femmes
Délégation à la stratégie des systèmes
d’information de santé
Cahier des
charges
-
Exigences de
sécurité
Contrat
-
Clauses générales
& particulières de
sécurité
Plan d’assurance
sécurité
-
Dispositions de
sécurité du
fournisseur
Convention
de service
-
Modalités
pratiques de
réalisation
sécurisée de la
prestation
Dispositions techniques de
sécurité
-
Mécanismes de protection
des échanges et des accèsDocuments contractuels
fournie des échanges et des accès
Volet organisationnelDescriptionEngagement