Politique de sécurité des systèmes d`information et décret de
Transcription
Politique de sécurité des systèmes d`information et décret de
Hôpital, patient, système d’information TH 721 - MAI-JUIN 2010 Politique de sécurité des systèmes d’information et décret de confidentialité YVES NORMAND, Responsable de la sécurité des systèmes d’informations, Syndicat interhospitalier de Bretagne, Rennes L a loi du 4 mars 2002 relative aux droits des malades et à la qualité du système de santé, et modifiant le code de la santé publique, a identifié le caractère sensible des données de santé, et précisé que la confidentialité de ces informations médicales devait être garantie tant au niveau de la conservation qu’au niveau des transmissions par voie électronique. En conséquence, le décret 2007-960 du 15 mai 2007 relatif à la confidentialité des informations médicales conservées sur support informatique ou transmises par voie électronique a défini les mesures de sécurité à considérer. Il a également mis en avant le caractère obligatoire de la carte de professionnel de santé (CPS) pour tout accès à des données de santé à caractère personnel. La loi HPST (Hôpital, patients, santé et territoires) a reprécisé le caractère obligatoire de l’usage de la CPS ou de tout autre dispositif homologué. La confidentialité des données de santé à caractère personnel est une exigence forte à respecter pour tout acteur du système de santé. Ces textes et particulièrement le décret de « confidentialité » sont à considérer comme des leviers, des opportunités pour mettre en œuvre une démarche de management de la sécurité des systèmes d’information (SSI) dans les établissements de santé. Des mots clés relatifs à une démarche de SSI peuvent être identifiés à la lecture du décret et de la loi HPST : • sécurisation physique des matériels et des locaux ; • sécurisation des sauvegardes ; • contrôle d’accès aux traitements ; contrôle des identifications, qualités professionnelles et habilitations des utilisateurs ; • traçabilité des accès et historique ; • chiffrement, éventuel, des données transmises ; • identification d’un responsable du traitement et déclaration auprès de la Commission nationale de l’informatique et des libertés ; • utilisation obligatoire de la carte de professionnel de santé ou de tout autre dispositif homologué pour tout acteur de santé accédant à des données de santé. Au sein d’un établissement de santé, un ensemble de projets de sécurité peut en découler, dont : • l’authentification et l’usage d’un support physique (carte CPS…) – s’assurer de l’identité et de la qualification professionnelle de la personne qui accède aux données de santé ; • la gestion des identités et les droits d’accès – gérer de manière unique et centralisée les identités numériques des utilisateurs du SI, leurs droits d’accès et leurs habilitations, au travers d’un référentiel unique, un annuaire d’établissement ; • la sécurisation des applications et des systèmes – maîtriser les contrôles d’accès, tracer les accès et maîtriser le niveau de sécurité des applications et des systèmes ; • la sécurisation des échanges et des accès distants – respecter la confidentialité des données de santé échangées entre l’établissement de santé et les acteurs externes ; • la sécurité physique – protéger les biens sensibles contre les malveillances et disposer d’un environnement d’exploitation maîtrisé. À ces projets techniques et organisationnels s’ajoutent d’autres projets nécessaires : • la sensibilisation à la sécurité des acteurs du système d’information – sensibiliser et former les acteurs concernés, selon leur métier, à la sécurité de l’information (obligation, responsabilité, comportement…) ; • la continuité d’activité – garantir la continuité de fonctionnement des services sensibles, essentiels, à travers un plan de continuité des activités (PCA). Enfin, pour assurer une cohérence d’ensemble et disposer d’une stratégie d’établissement relative à la sécurité du système d’information, une démarche de management de la sécurité est fondamentale. La politique de sécurité du système d’information (PSSI) en est un élément fondateur. Les pratiques métiers des professionnels de santé évoluent : informatisation du dossier patient, coopération et échange de données médicales entre un établissement de santé et d’autres sites, des laboratoires, des professionnels libéraux, mobilité des professionnels de santé et des patients… Les données concernant 3 Dossier Dossier 4 Hôpital, patient, système d’information les patients doivent pouvoir être accessibles en des lieux différents. La perception d’exigence de disponibilité des applications métiers et des données par les professionnels de santé s’est déplacée de la journée à la minute. La Haute Autorité de santé (HAS) pose également des exigences de sécurité dans son schéma de certification des établissements de santé. Ces évolutions et exigences s’inscrivent dans une meilleure prise en charge du patient et une garantie de la continuité des missions de soins. L’information médicale a une portée et une valeur de plus en plus importante dans le système d’information d’un établissement de santé. La PSSI est une « réglementation particulière » de l’établissement décrivant la façon de gérer, de protéger et de diffuser des informations et des ressources sensibles. Elle est signée par le directeur d’établissement et montre l’importance accordée à la sécurité du système d’information. La PSSI permet de disposer d’un cadre de référence et de cohérence pour l’ensemble des activités et des acteurs de l’établissement. Il s’agit notamment de : • mettre en évidence des objectifs de sécurité, des obligations, les biens sensibles et des engagements de l’établissement ; • exprimer les responsabilités, les principes et règles de sécurité à respecter. Une approche globale est nécessaire afin d’obtenir une sécurisation cohérente et homogène en maîtrisant les coûts par rapport aux enjeux. La définition d’une organisation interne, d’une méthodologie et d’outils pour l’élaboration et le suivi de l’application de la politique de sécurité sont également nécessaires. De la PSSI découleront des plans d’actions périodiques, annuels, issus du compromis entre des besoins, des risques identifiés et des coûts associés (achats de matériels, licences, ressources humaines…). Il s’agira pour un établissement d’agir sur le coût des actions de sécurité préventives plutôt que correctives. Une PSSI doit permettre de répondre aux enjeux d’un établissement de santé, parmi lesquels : • la protection des données de santé à caractère personnel, en confidentialité et en intégrité ; • la disponibilité constante de l’outil informatique ; • le développement de la coopération entre professionnels de santé en instaurant un climat de confiance et une interopérabilité entre systèmes d’information ; • la contribution à la stratégie et à l’image de marque de l’établissement ; • la mise en conformité avec la réglementation et TH 721 - MAI-JUIN 2010 l’état de l’art ; • La protection du patrimoine du système d’information de l’établissement ; • la lutte contre les malveillances informatiques ; • la maîtrise des risques. La PSSI, à travers une approche globale, aborde les thèmes suivants de la sécurité du système d’information : • sécurité physique ; • sécurité des réseaux ; • sécurité des matériels informatiques et de télécommunication ; • sécurité logique ; • sécurité liée aux aspects humains ; • sécurité liée aux aspects juridiques et assurantiels ; • sécurité organisationnelle. La norme ISO 27002 est un référentiel incontournable sur ces différents thèmes, ainsi que les normes ISO 2700x, et les référentiels de l’Agence nationale de la sécurité des systèmes d’information (Anssi). La mise en place et le suivi d’une PSSI impliquent, pour un établissement, de nommer un responsable de la sécurité des systèmes d’information (RSSI), et d’établir un comité de pilotage du projet de la sécurité du SI. Ce dernier réunira notamment, le directeur, le DIM [directeur de l’information médicale], le RSSI, le DSI [directeur du système d’information ?], le RSI [responsable du système d’information ?], le président de la commission médicale d’établissement. Il est primordial d’obtenir l’implication du directeur d’établissement dans ce projet sécurité. L’efficacité des mesures de sécurité reste dépendante des personnes. La formation et la sensibilisation des utilisateurs du SI sont nécessaires et permanentes. De même, l’établissement se doit de disposer d’une charte des bons usages du système d’information, précisant notamment les droits et devoirs des utilisateurs et les sanctions possibles. L’un des objectifs de la charte est de fournir une information claire sur la sécurité à l’ensemble à tous les utilisateurs du SI. Pour un établissement, un objectif permanent à considérer sera la prise en compte de la sécurité du système d’information dans les processus métiers, et de communiquer sur sa valeur ajoutée, dans le respect de la réglementation et de l’état de l’art. ÂLa politique de sécurité du système d’information d’un établissement de santé traduit la reconnaissance officielle de l’importance accordée à celle-ci par la direction de l’établissement. Cette reconnaissance doit Hôpital, patient, système d’information TH 721 - MAI-JUIN 2010 se concrétiser par la mise en place d’un projet sécurité interne permanent, piloté par un RSSI, rattaché à la direction générale. L’établissement se doit, également, de disposer d’outils permettant de tracer et de garder les preuves des accès et des actions des utilisateurs sur le contenu des dossiers des patients informatisés. Seule une démarche méthodique et pérenne relative à la sécurité de l’information permettra de répondre efficacement aux exigences, fortes et justes, des professionnels de santé par rapport au système d’information, à savoir la disponibilité de l’outil informatique, la confidentialité et l’intégrité des données de santé. Faciliter l’interopérabilité entre les structures en Aquitaine PHILIPPE VIARD, responsable des systèmes d´information et d´organisation, centre hospitalier de Mont-de-Marsan (40) RÉGIS ROSE, responsable technique, Télésanté Aquitaine, Bordeaux PHILIPPE GALLAND, ENOVACOM, Marseille Auteur(s) = ? T élésanté Aquitaine est une structure régionale mise en place sur l’initiative de l’agence régionale d’hospitalisation d’Aquitaine afin de favoriser les échanges entre le monde de la ville et celui de l’hôpital, via l’utilisation des technologies de l’information et de la communication, dans l’intérêt du patient. À ce titre, depuis sa création, Télésanté Aquitaine déploie auprès du grand public et des professionnels de santé une plateforme régionale de services « e-santé » accessibles par internet. Échanges hôpital-ville Télésanté Aquitaine est positionnée depuis 2004 sur les problématiques de partage d’information et d’interopérabilité et intervient auprès des différents acteurs de santé aquitains : établissements, réseaux de soins, professionnels de santé. L’objectif du projet est de mettre les échanges électroniques au service des réseaux de professionnels. Pour l’atteindre, Télésanté Aquitaine a choisi de travailler selon trois axes : construire une dynamique de l’échange entre les professionnels de santé de la ville et de l’hôpital ; aborder le projet selon une approche de territoire en le centrant sur un bassin de santé ; relayer la démarche régionale d’appropriation des usages internet sécurisés pour améliorer la prise en charge des patients. L’idée maîtresse est d’utiliser les outils régionaux pour favoriser la dynamique locale. Depuis 2005, Télésanté Aquitaine facilite les échanges interpersonnels des professionnels de santé via la messagerie sécurisée régionale agréée GIP-CPS. Dès 2006, à Mont-de-Marsan, un travail sur la limitation de la iatrogénie médi- camenteuse par des échanges entre les pharmacies de ville et celle de l’hôpital par la messagerie sécurisée régionale est mis en œuvre avec le centre hospitalier. Dans une logique d’intégration progressive, en 2008, le CH améliore l’information des médecins libéraux grâce à l’utilisation de l’outil d’échanges (Enterprise Application Integration EAI ou intégration d’applications d’entreprise) régional et de la messagerie sécurisée par la diffusion automatisée des courriers de l’hôpital vers les boîtes aux lettres sécurisées des médecins libéraux (avis d’hospitalisation, de passage aux urgences, courriers de sortie…). Cette solution de dématérialisation des flux de l’hôpital vers la ville est totalement reproductible auprès d’autres établissements et est actuellement déployée auprès des centres hospitaliers d’Oloron et de Dax. Dans une logique d’intégration progressive et continue, en 2009 Télésanté Aquitaine travaille avec les éditeurs de logiciels de ville partenaires pour une intégration de la messagerie sécurisée directement dans le logiciel métier du professionnel. L’outil d’échanges (EAI) régional devient également une passerelle vers les dossiers patients partagés régionaux et le DMP (dossier médical personnel). Impacts organisationnels La mise en place de ces outils induit un certain nombre d’évolutions organisationnelles importantes. En effet, la diffusion de documents à l’extérieur de l’établissement peut avoir un impact sur l’organisation interne en termes à la fois de recueil du consentement du patient et de validation des documents avant 5 Dossier