audibilite des si et securite

Auditabilité des SI et Sécurité
Principes et cas pratique
Géraldine GICQUEL
[email protected]
Rémi TILLY
[email protected]
SOMMAIRE
1
Les leviers d’amélioration de la SSI
2
Les enjeux de la démarche
3
Les sujets abordés
4
Les facteurs clés du succès de la démarche
Journée E-santé - La Villette – 17 décembre 2014
Les leviers d’amélioration de la SSI
Certification
HAS
Hôpital
Numérique
Amélioration
de la SSI
PGSSI-S,
PSSI-E
Normes ISO 27001,
ISO 20000, ISO 9001
Accréditation des
Laboratoires, COFRAC
CNIL
Certification des
comptes
Journée E-santé - La Villette – 17 décembre 2014
Les leviers d’amélioration de la SSI
PSSI-E
CC-Aud
F1
P3
HN
P2.1
HN
P2.2
Eval
SI
SDSI
HAS
5.a
PRA
HAS
2.e
Journée E-santé - La Villette – 17 décembre 2014
HN
P3.1
PSSI-E
PSSI
Gestion
Risques
HAS
5.b
P2
HAS
5.c
CC-Aud
Etap.1
Gestion
docume
ntaire
Les leviers d’amélioration de la SSI
Capitalisation entre les démarches (exemples)
Certification HAS
Critère 5b (sécurité du système
d'information) Eclairage du E1EA1: La sécurité des données et
organisée (définition des
responsabilités, formalisation et
diffusion des procédures, etc.)
Hôpital Numérique
Auditabilité du SI
P3.1: Existence d'une politique de
sécurité formalisée pour les applications
au cœur du processus de soins et fondée
sur une analyse des risques au sein de
l'établissement ; existence d’une fonction
de référent sécurité
ETAPE 1 - Préparer la prise de
connaissance du SI – Chapitre 1
Organisation de la fonction SI
dans l’EPS : « L’organisation de
la DSI, les responsabilités des
différents acteurs (..) »
Journée E-santé - La Villette – 17 décembre 2014
Les enjeux de la démarche d’auditabilité du SI
Impact des incidents de sécurité sur la qualité de l’offre de soin
• Disponibilité
• Intégrité
Qualité et Continuité des soins
• Confidentialité
Secret professionnel
• Traçabilité
Responsabilité
Journée E-santé - La Villette – 17 décembre 2014
Les Fiches Pratiques (exemple)
Fiche 7 - Matrice de séparation des tâches
Catégorie
Contrôles généraux informatiques
Thème
Matrice de séparation des tâches
Domaine
Configuration des droits d'accès
Objectif
Les principes de séparation des tâches sont respectés pour les applications du périmètre (voir guide partie 2.3.1).
Exemple de bonnes pratiques
Une matrice de séparation des fonctions est définie et validée par la direction générale et est appliquée au niveau informatique.
Documentation à préparer
Matrice de séparation des tâches validée par le management
Eléments à préparer
Formalisation
La politique de sécurité traite des points relatifs à la séparation des tâches.
Mise en oeuvre
Une matrice de séparation des tâches existe et est validée.
La matrice a été appliquée dans les systèmes (construction des profils, etc.).
Les profils d'autorisation dans les applications correspondent à la matrice de séparation des tâches.
Journée E-santé - La Villette – 17 décembre 2014
LES SUJETS ABORDÉS
1
Gouvernance
2
Accès Logique au SI
3
Accès Physique au SI
4
Gestion du Changement
5
Développement et Acquisition
6
Exploitation et Sauvegarde
7
Gestion des incidents
Journée E-santé - La Villette – 17 décembre 2014
Gouvernance – Exigences
• Stratégie du SIH : Schéma Directeur, Projets
• Organisation de la DSI
• Cartographie applicative et interfaces
• Gestion des contrats
Journée E-santé - La Villette – 17 décembre 2014
CC-Aud
F1
SDSI
Gouvernance – Application
• Essentiellement de la formalisation
• Documents modèle disponible dans boîte à outil HN, dans guide
auditabilité du SI de la DGOS
Journée E-santé - La Villette – 17 décembre 2014
Gouvernance – Application
Journée E-santé - La Villette – 17 décembre 2014
Gouvernance – Application
Journée E-santé - La Villette – 17 décembre 2014
Gouvernance – Application
• Essentiellement de la formalisation
• Au CHIPS, 3jrs de consultant expert sécurité, 10jrs ingénieur en
interne pour réaliser l ’analyse de risques, la PSSI, le PRA/PCA et le
plan d’actions SSI
Journée E-santé - La Villette – 17 décembre 2014
Gouvernance – Application
Journée E-santé - La Villette – 17 décembre 2014
Gouvernance – Application
Journée E-santé - La Villette – 17 décembre 2014
Accès logique au SI – Exigences
• Revue des comptes Utilisateur
• Compte générique
• Politique des mots de passe
• Compte Administrateur
• Attribution des droits en fonction des rôles
• Séparation des tâches
• Processus de gestion des utilisateurs
Journée E-santé - La Villette – 17 décembre 2014
Accès logique au SI – Application
• Gestion des génériques accédant au Dossier Patient
Informatisé
• Livret accès aux ressources SI : sécurisation du mot de
passe
• Entrée/sortie personnel : utilisation d’un logiciel
connecté au logiciel RH
Extrait logigramme
Journée E-santé - La Villette – 17 décembre 2014
Accès logique au SI – Application
Journée E-santé - La Villette – 17 décembre 2014
Accès logique au SI – Application
• Gestion des génériques accédant au Dossier Patient
Informatisé
• Livret accès aux ressources SI : sécurisation du mot de
passe
• Entrée/sortie personnel : utilisation d’un logiciel
connecté au logiciel RH
• Revue à organiser en routine
Journée E-santé - La Villette – 17 décembre 2014
Accès physique au SI – Exigences
• Accès sécurisé
• Gestion des personnes habilitées
• Équipement de sécurité
• Remontées d’alerte
Journée E-santé - La Villette – 17 décembre 2014
Accès physique au SI – Application
• Travaux réalisés à la salle de Saint Germain
Clé élec.
badge
Journée E-santé - La Villette – 17 décembre 2014
Gestion du changement – Exigences
• Formalisation des demandes de changements applicatifs
• Réalisation de tests pour les applications sensibles
• Accès aux environnements de production
• Gestion des changements Urgent
Journée E-santé - La Villette – 17 décembre 2014
Gestion du changement – Application
• Sur les applications critiques (RH,GEF,GAP,DPI, SIL,SIR)
• Référent métier
• base de test
• Réunion de go/no go avec le référent métier avant
changement de version
• Traçabilité des changements via GLPI en cours de mise en
place
Journée E-santé - La Villette – 17 décembre 2014
Développement et Acquisition – Exigences
• Prise en compte des besoins utilisateurs
• Développements/acquisitions testés, validés et documentés
• Processus de reprise des données
• Processus de mise en production
Journée E-santé - La Villette – 17 décembre 2014
Développement et Acquisition – Application
• Uniquement de l’acquisition
• Processus formalisé
• Formalisation du besoin par le métier
• Avis du Resp. du domaine
• Choix procédure en fonction montant
• Comité de choix du prestataire composé de représentants
du métier
Journée E-santé - La Villette – 17 décembre 2014
Exploitation et Sauvegarde – Exigences
• Liste des traitements d’exploitation
• Revue des traitements automatisés
• Plan de sauvegarde
• Gestion des bandes
• Procédure de restauration
• Tests de restauration
Journée E-santé - La Villette – 17 décembre 2014
Exploitation et Sauvegarde – Application
• Applications critiques hébergées au MIPIH, hébergeur agréé
pour l’hébergement des données de santé
• Supervision des traitements automatisés via outil VTOM
• Sauvegarde et gestion des bandes assignés au MIPIH
• Restaurations réalisées lors la mise à jour des
environnements de recette pour les tests de version majeure
Journée E-santé - La Villette – 17 décembre 2014
Gestion des Incidents – Exigences
• Procédure formalisée
• Dispositif d’escalade
• Rapport de traitement des incidents
• Outil de suivi
• Revue régulière
Journée E-santé - La Villette – 17 décembre 2014
Gestion des Incidents – Application
• Deux dispositifs :
• GLPI pour les demandes utilisateurs, mis en place en mars
2014, aujourd’hui autour de 800 demandes par mois
• Tableau de suivi des incidents majeurs d’exploitation
Journée E-santé - La Villette – 17 décembre 2014
Gestion des Incidents – Application
Date
début
description Type Impact
plus de
codage,
24/10/14 sidosmed
plus de
panne
10:00
down
sortie
aux urg
ped
Action
Prestataire Description
Action curative long
Statut
Date fin Durée
curative
impacté technique
terme
Correction
court terme
identification cause par
le SIB le 30/10/2014 :
Impossible
le traitement actes-ende coder le
retard fait planter
pmsi,
redémarrage
SIDOSMED
impossible par la hotline
24/10/14 00:30:00
SIB
suspension de ce
OK
de faire les SIB
traitement par le
sorties aux
MIPIH le 30/10/2014
urgences
livraison correction
pédiatriques
anomalie par le SIB
20/11
Journée E-santé - La Villette – 17 décembre 2014
Les facteurs clés du succès de la démarche
• La sécurité du SI n’est pas un projet informatique
• La mise en place d’objectifs atteignables
• L’identification des risques
• La production de documents Sécurité ciblés et compris de
l’ensemble des utilisateurs
Journée E-santé - La Villette – 17 décembre 2014
Journée E-santé - La Villette – 17 décembre 2014
Journée E-santé - La Villette – 17 décembre 2014
Journée E-santé - La Villette – 17 décembre 2014
Journée E-santé - La Villette – 17 décembre 2014

Download Report