Vous êtes sur la page 1sur 225

10917746.

xls - Préambule 1/225

Ce questionnaire sécurité est basé sur l'ISO 27002, cette norme définit un code de bonne pratique pour la gestion de la sécurité de
l'information.
Cette norme définit les mesures qu'il convient de mettre en place pour maitriser les risques pesant sur un système d'information.
La norme ISO 27002 étant de portée générale, le questionnaire a été complété en prenant en compte des documents de référence
spécifiques au secteur santé :
* l'ISO 27799, complément de l'ISO 27002 relatif à la santé
* le décret "confidentialité" pour la partie concernant l'obligation d'utilisation de la carte à puce pour l'accès aux informations de
santé et leur transmission par voie électronique,
* le décret "hébergement" pour la partie concernant les exigences opérationnelles, les exigences concernant la démarche
d'agrément n'ont pas été prises en compte dans le questionnaire. L'objectif est de mesurer si le projet a pris en compte ces
exigences opérationnelles en anticipation d'une démarche d'agrément, ou si d'autres mesures particulières ont été prises.

Le squelette de ce questionnaire est l'ISO 27002. Il respecte la répartition des mesures de sécurité sur les 11 thèmes de l'ISO
27002.
Le questionnaire exhaustif ISO 27002 étant très conséquent, seuls ont été retenus les sous-thèmes particulièrement significatifs
dans le contexte des projets concernés. Certaines problématiques communes à plusieurs sous-thèmes ont été regroupées.
Toutes les exigences critiques des référentiels cités précédemment ont été insérées dans les sous-thèmes du questionnaire, ces
exigences sont accessibles dans le questionnaire en démasquant les lignes marquées en colonne 1 par un « + » ou un « - ».

L'ISO 27002 est un guide de bonnes pratiques international, les termes utilisés sont par nature génériques. On précise ici la
définition de certains termes ramenés au contexte des projets.

Le terme "organisme" désigne dans notre cas toute la structure du projet et le système d'information lié au projet.

Le terme "bien" désigne l'ensemble du système mis en œuvre et les informations traitées

Le terme "tiers" désigne l'ensemble des utilisateurs finaux ainsi que les sous-traitants du projet.
10917746.xls - Questionnaire 2/225

Sous-
N° thème
Thème N° Sous thème N° article
Article Exigence Questions à poser Constat
thème

5 POLITIQUE DE SECURITE
Objectif : Apporter à la sécurité de l'information une orientation et
5.1 Politique de sécurité de l'information un soutien de la part de la direction, conformément aux exigences
métier et aux lois et règlements en vigueur
1 5.1.1 Document de politique de sécurité de l'information
Mesure : Un document de politique de sécurité de l'information doit L'organisation et la gestion de la sécurité sont-elles formalisées
être approuvé par la direction , puis publié et diffusé auprès de dans un document chapeau couvrant l'ensemble du domaine pour
l'ensemble des salariés et des tiers concernés. le projet ? (PSSI)
Une démarche de certification ISO 27001 a-t-elle été prévue pour
le projet?
Iso 27799 : Les organismes traitant des informations de santé, y
compris des informations personnelles de santé, doivent posséder
une politique formelle de la sécurité de l'information approuvée par
la direction, publiée, puis communiquée à l'ensemble des employés
ainsi qu'aux tiers concernés
6 ORGANISATION DE LA SECURITE DE L'INFORMATION
Objectif : Gérer la sécurité de l'information au sein de l'organisme
6.1 Organisation interne
2 6.1.1 Engagement de la direction vis-à-vis de la sécurité de l’information
Mesure : La direction soutient activement la politique de sécurité au Quelle a été votre approche du management de la sécurité dans le
sein de l’organisme au moyen de directives claires, d’un cadre de votre projet ?
engagement franc, d’attribution de fonctions explicites et d’une Avez-vous appliqué une démarche méthodologique d'analyse et de
reconnaissance des responsabilités liées à la sécurité de gestion des risques SSI ?
l’information.

Iso 27799 : La direction d'un organisme de santé est responsable


de la sécurité des informations personnelles de santé et des autres
données protégées en lien avec la santé émises par l'organisme.
Une coordination efficace constitue également un élément essentiel
à la préservation de la sécurité des informations. Ces deux notions
requièrent une infrastructure robuste et explicite en matière de
gestion de la sécurité de l'information.
Il est d'une importance cruciale qu'elle soit conçue et structurée afin
de faciliter l'accès des sujets de soins pour faciliter les comptes
rendus au sein de la structure de l'organisme et pour garantir les
délais de délivrance de ces informations.

Iso 27799 : Les organismes traitant des informations personnelles


de santé doivent :
a - clairement définir et affecter les responsabilités relatives à la
sécurité de l'information,
b - avoir en place un forum de gestion de la sécurité de
l'information (ISMF) pour garantir l'existence d'une direction claire et
d'un soutien visible de la direction en termes d'initiatives inhérentes
à la sécurité concernant les informations personnelles de santé.

Iso 27799 : Au minimum, au moins un individu doit être


responsable de la sécurité des informations de santé au sein de
l'organisme.
3 6.1.2 Coordination de la sécurité de l'information
Mesure : Les activités relatives à la sécurité de l'information doivent L'organisation de la sécurité est-elle formalisée dans un document?
être coordonnées par des intervenants ayant des fonctions et des
rôles appropriés représentatifs des différentes parties de Les rôles et actions des différents acteurs de la SSI ont-ils été
l'organisme. définis et ont-ils fait l'objet d'une communication? (RSSI, MOA,
MOE, ...)
4 6.1.5 Engagements de confidentialité
Mesure : Les exigences en matière de confidentialité et de non Une politique de confidentialité a-t-elle été élaborée dans le cadre
divulgation de l'information sont elles clairement définies et de ce projet?
régulièrement révisées . Si oui, quels sont les sujets abordés (accords de confidentialité)?
10917746.xls - Questionnaire 3/225

Iso 27799 : les organismes traitant des informations personnelles


de santé doivent établir un accord de confidentialité qui précise la
nature confidentielle de cette information. L'accord doit être
applicable à tout le personnel ayant accès aux informations de
santé.
Il convient que l'accord de confidentialité comprenne une référence
aux sanctions encourues en cas d'identification d'une défaillance
dans la politique de sécurité de l'information.

Décret hébergement : Une présentation de la politique de


confidentialité et de sécurité, prévue au 2° de l’article R. 1111-9,
doit être fournie à l’appui de la demande d’agrément conformément
au 6o de l’article R. 1111-12. Elle comporte notamment les
précisions suivantes :
1 - En matière de respect des droits des personnes concernées
par les données hébergées
2 - En matière de sécurité de l’accès aux informations
3 - En matière de pérennité des données hébergées
4 - En matière d’organisation et de procédures de contrôle interne
en vue d’assurer la sécurité des traitements et des données
5 6.1.6 Relations avec les autorités
Mesure : Des relations appropriées doivent être mises en place Le projet a-t-il fait l'objet d'une déclaration CNIL?
avec les autorités compétentes.
6 6.1.8 Revue indépendante de la sécurité de l'information
Mesure : Des réexamens réguliers et indépendants de l'approche Des révisions périodiques de la mise en œuvre de la gestion de la
retenue par l'organisme pour gérer et mettre en œuvre sa sécurité sécurité sont-elles prévues?
doivent être effectués; de tels réexamens sont également Ou bien, des révisions ponctuelles sur événement important sont-
nécessaires lorsque des changements importants sont intervenus elles prévues (évolution fonctionnelle majeure) ?
dans la mise en œuvre de la sécurité.
Objectif : Assurer la sécurité de l'information et des moyens de
6.2 Tierces parties traitement de l'information appartenant à l'organisme et consultés,
traités, communiqués ou géré par des tiers
7 6.2.1 Identification des risques provenant des tiers
Mesure : Les risques pesant sur l'information et les moyens de L'implication de tiers (utilisateurs et sous-traitants) peut apporter
traitement de l'organisme qui découlent d'activités impliquant des des risques au projet. Ces risques ont-ils été analysés?
tiers doivent être identifiés, et des mesures appropriées doivent être Si oui, quels sont les éléments mis en place par rapport à ces
mises en œuvre avant d'accorder des accès. risques, en particulier sur les conditions d'accès au système et aux
informations sensibles?
Iso 27799 : Les organismes traitant des informations de santé
doivent évaluer les risques associés à l'accès possible par des tiers
aux systèmes et aux données qu'ils contiennent, puis mettre en
place des contrôles de sécurité proportionnels au niveau de risque
identifié et aux technologies employées.
Iso 27799 : Les droits des sujets de soins doivent être protégés,
même lorsqu'un tiers ayant un accès potentiel aux informations
personnelles de santé se situe dans une juridiction différente de
celle contrôlant le sujet de soins ou l'organisme de santé.
8 6.2.3 La sécurité dans les accords conclus avec des tiers
Mesure : Les accords conclus avec des tiers qui portent sur Si le projet fait appel à de la sous-traitance, comment les aspects
l'accès, le traitement, la communication ou la gestion de liés à la sécurité sont-ils pris en compte dans les contrats,
l'information, ou des moyens de traitement de l'information de notamment avec les hébergeurs ?
l'organisme , ou qui portent sur l'ajout de produits ou de services Un médecin est-il prévu parmi le personnel en charge de l'activité
aux moyens de traitement de l'information, doivent couvrir d'hébergement ?
l'ensemble des exigences applicables en matière de sécurité. En cas de problème, le médecin est la seule personne ayant la
possibilité d'accéder aux données de santé.
Iso 27799 :
À chaque fois qu'un organisme a recours aux services d'un tiers, il
convient qu'un accord précisant les contrôles minimaux à effectuer
soit adopté
Décret Hébergement : Les informations concernant la santé des
patients sont soit conservées au sein des établissements de santé
qui les ont constituées, soit déposées par ces établissements
auprès d’un hébergeur agréé
10917746.xls - Questionnaire 4/225

Décret Hébergement : L'hébergeur des données de santé doit se


soumettre à une demande d'agrément.
Décret Hébergement : L'hébergeur doit identifier les personnes
en charge de l’activité d’hébergement, dont un médecin, en
précisant le lien
contractuel qui les lie à l’hébergeur.
Décret Hébergement : Les modèles de contrats devant être joints
à la demande d’agrément contiennent obligatoirement au moins les
9 clauses (description, modalités, contrat, etc.) définis à l'article R-
1111-13
Décret Hébergement : L’agrément est délivré aux hébergeurs de
données de santé à caractère personnel pour une durée de trois
ans.

La demande de renouvellement doit être déposée au plus tard six


mois avant le terme de la période d’agrément.

Décret Hébergement : En cas de divulgation non autorisée de


données de santé à caractère personnel ou de manquements
graves de l’hébergeur à ses obligations mettant notamment en
cause l’intégrité, la sécurité et la pérennité des données hébergées,
le ministre chargé de la santé peut, à titre conservatoire, dans
l’attente qu’il soit statué définitivement sur le projet de retrait
d’agrément, prononcer la suspension de l’activité d’hébergement.

Décret Hébergement : Le directeur de l’établissement veille à ce


que toutes dispositions soient prises pour assurer la garde et la
confidentialité des informations ainsi conservées ou hébergées.
Décret Hébergement : Le dossier médical est conservé pendant
une durée de vingt ans à compter de la date du dernier séjour de
son titulaire dans l’établissement ou de la dernière consultation
externe en son sein
Décret Hébergement : A l’issue du délai de conservation
mentionné à l’alinéa précédent et après, le cas échéant, restitution
à l’établissement de santé des données ayant fait l’objet d’un
hébergement en application de l’article L. 1111-8, le dossier
médical peut être éliminé. La décision d’élimination est prise par le
directeur de l’établissement après avis du médecin responsable de
l’information médicale
7 GESTION DES BIENS
Objectifs : Mettre en place et maintenir une protection appropriée
7.1 Responsabilité associée aux biens
des biens de l’organisme
9 7.1.3 Utilisation correcte des biens
Mesure : Des règles permettant l'utilisation correcte de l'information Existe-t-il un inventaire des biens du projet?
et des biens associés aux moyens de traitement de l'information Existe-t-il une classification des biens par rapport à leurs critères
doivent être identifiées, documentées et mises en œuvre. de sensibilité (en termes de disponibilité, d'intégrité et de
confidentialité)?
Y a-t-il eu une campagne de diffusion ou de sensibilisation des
Iso 27799 : Il convient que utilisateurs pour l'utilisation correcte des biens?
Décret Confidentialité : Lales organismessur
conservation manipulant des
support informatique
informations
Iso 27799
des informations de
: Le santé
matériel
Il convient aient
que
médicales des
médical
les règles
organismes
mentionnées pour
qui enregistre préserver
traitant
aux trois des la
ou consigne des
informations
premiers alinéas
prédominance
données
l’articlepeut
personnelles
de dede
exiger
L. 1110-4 ces biens
des
santépar (par exemple
considérations
: tout professionnel, la prédominance
particulières d'une
en termes de
tout établissements et
base
sécurité de liées
a - réseau
tout données
rendent à santé
compte
de de des
médicaments)
l'environnement
ou toutbiens dans
des
autre etlequel
l'intégrité
informations
organisme elles de
de ces
opèrent
santé
intervenant biens (par
et aux
(c'est-à-
dans le
exemple
émissions
dire l'intégrité
établissent un fonctionnelle
électromagnétiques
inventaire de du
qui matériel
surviennent
ces biens),
système de santé est soumise au respect de référentiels définis parmédical
lors dequi enregistre
leur
oub -consigne
fonctionnement.
arrêtés désignent des
du ministreunIldonnées).
convient
gardien
chargépour qu'un
de lacestelbiens
santé,matériel
pris soitaux
relatifs
après identifié de
avisinformations
de la
manière
de santé,unique.
Commission nationale de l’informatique et des libertés. Ces
c - possèdent
référentiels des règles
s’imposent identifiées,
également à ladocumentées
transmission de et mises
ces en Objectif : Garantir un niveau de protection approprié aux
7.2 Classification des informations informations
œuvre en vuepar
informations devoie
la bonne utilisation
électronique de ces
entre biens.
professionnels.
10 7.2.2 Marquage et manipulation
« Les de l'information
référentiels déterminent les fonctions de sécurité nécessaires
à la conservation
Mesure : Un ensemble ou à laapproprié
transmission des informations
de procédures pour lemédicales
marquage Le niveau de classification des supports d'informations est-il
en
et lacause et fixant de
manipulation le niveau de sécurité
l'information requis
doit être pour et
élaboré cesmisfonctions.
en œuvre indiqué de manière visible sur chacun des supports?
conformément au plan de classification adopté par l'organisme.
10917746.xls - Questionnaire 5/225

Iso 27799 : Toutes les informations de santé ne sont pas


confidentielles et tous les systèmes d'information de santé ne
donnent pas aux utilisateurs l'accès aux informations personnelles
de santé. Les utilisateurs des systèmes d'informations de santé
doivent savoir lorsque les données qu'ils sont sur le point de
consulter contiennent des informations personnelles de santé.
Iso 27799 : Il convient que les copies en sortie soient étiquetées
comme confidentielles lorsqu'elles contiennent des informations de
santé.
Iso 27799 :pour des raisons pratiques il
serait parfois nécessaire d'identifier les dossiers de santé des sujets
de soins exposés à un risque élevé
d'accès non autorisé. Parmi ces individus se trouvent les employés
de l'organisme lui-même, les VIP...
ISO 27799 : il est important de prendre en compte l'attention
particulière qui doit être portée aux sujets de soins ne souhaitant
pas que leurs informations personnelles de santé soient
accessibles aux employés médicaux lorsque ceux-ci sont
également des voisins, des collègues
ou des proches. Ces problèmes constituent souvent une grande
partie des plaintes de la part de personnes craignant pour la
confidentialité de leurs informations personnelles de santé.
Souvent, les membres du personnel ne souhaitent pas être en
contact, s'ils n'en n'ont pas besoin, avec les informations
concernant leurs amis, leurs proches ou leurs voisins.
Iso 27799 : Il convient que toutes les informations personnelles de
santé soient unanimement classées confidentielles
Il convient que les organismes manipulant des informations
personnelles de santé classent ces données comme confidentielles
et ce, unanimement.
Iso 27799 : La classification en termes de disponibilité, intégrité et
importance doit également être appliquée aux processus, au
matériel informatique, logiciel, lieux et personnel
Iso 27799 : Il convient que tous les systèmes d'informations
personnelles de santé traitant des informations personnelles de
santé informent l'ensemble des utilisateurs de la confidentialité des
informations personnelles de santé accessibles depuis le système
(lors de son démarrage ou lors de la connexion au système)

8 SECURITE LIEE AUX RESSOURCES HUMAINES


Objectifs :
- Garantir que les salariés, contractants et utilisateurs tiers
connaissent leurs responsabilités et qu’ils conviennent pour les
8.1 Avant le recrutement fonctions qui leur sont attribuées
- Réduire le risque de vol, de fraude ou de mauvais usage des
équipements.
11 8.1.2 Sélection
Mesure : Des vérifications des informations concernant tous les Des critères spécifiques par rapport à la sensibilité des missions
candidats (postulants, contractants ou utilisateurs tiers) doivent être ont-ils été pris en compte lors du recrutement d'une personne pour
réalisées conformément aux lois, aux règlements et à l'étique. Elles le projet?
doivent être proportionnelles aux exigences métier, à la Sont-ils spécifiés dans les fiches de postes?
classification des informations accessibles et aux risques identifiés. (l'ISO 27799 précise que des vérifications des casiers judiciaires
sont possibles)
ISO 27799 : Il convient que tous les organismes dont les employés,
les sous-traitants ou les bénévoles en contact (ou en futur contact)
avec des informations personnelles de santé, vérifient, au
minimum, l'identité, l'adresse actuelle et les emplois précédents de
ces employés, sous-traitants
et bénévoles lorsque ceux-ci postulent
ISO 27799 : Dès que possible, il convient que des vérifications du
casier judiciaire soient entreprises.
12 8.3.3 Retrait des droits d'accès
10917746.xls - Questionnaire 6/225

Mesure : Les droits d'accès de l'ensemble des salarié, contractants Avez-vous formalisé des procédures de retrait des droits d'accès
et utilisateurs tiers à l'information et aux moyens de traitement de des utilisateurs ainsi que des sous-traitants?
l'information doivent être supprimés à la fin de leur période (Ces procédures doivent être applicables aux sous-traitants s'ils
d'emploi, ou modifiés en cas de modification du contrat ou de gèrent les droits d'accès).
l'accord. Le personnel temporaire a-t-il des droits différents des droits des
autres utilisateurs?
La révocation des droits est-elle prise en compte dès la création
des comptes? (exemple : la date de fin de contrat est prise en
compte dès l'attribution des droits et le compte est supprimé à
cette date)
Les comptes sont-ils valables pendant une durée limitée? (pour
une personne en poste fixe, le compte doit-il être actualisé tous les
2 ans par exemple?)

ISO 27799 : Tous les organismes traitant des informations


personnelles de santé doivent, dès que possible, mettre un terme
aux privilèges d'accès des utilisateurs relatifs à ces informations et
ce, qu'il s'agisse du départ d'un employé en CDD ou en CDI, ou
encore d'un sous-traitant ou d'un bénévole étant arrivé aux termes
de ses activités contractuelles, de sous-traitance ou de bénévolat.

9 SECURITE PHYSIQUE ET ENVIRONNEMENTALE


Objectif : Empêcher tout accès physique non autorisé, tout
9.1 Zones sécurisées dommage ou intrusion dans les locaux et les informations de
l’organisme.
13 9.1.1 Périmètre de sécurité physique
Mesure : Les zones contenant des informations et des moyens de La plateforme matérielle du projet est-elle installée dans des locaux
traitement de l'information doivent être protégées par des sensibles?
périmètres de sécurité (obstacles tels que des murs, des portes Des mesures de protection (détection incendie, dégâts des eaux,
avec un contrôle d’accès par cartes, ou des bureaux de réception détecteur de fumée, etc.) ont-elles été mises en œuvre dans les
avec personnel d’accueil). locaux sensibles?
Les locaux sensibles sont-ils à accès restreint?
Si oui, comment se fait le contrôle d'accès?
ISO 27799 : Il convient que les organismes traitant des informations
personnelles de santé utilisent des périmètres de sécurité pour
protéger les zones contenant des équipements de traitement de
l'information constituant une aide aux applications médicales.
ISO 27799 : Il convient de protéger ces zones sécurisées par des
contrôles adéquats à l'entrée pour s'assurer que seul le personnel
habilité est admis.
ISO 27799 : Il convient que les mesures de sécurité physique
relatives à l'information soit associées aux mesures de sécurité
physique et de sûreté relatives aux sujets de soins. Les organismes
de santé ont le devoir d'assurer la protection de ces deux aspects
Objectif : Empêcher la perte, l’endommagement, le vol ou la
9.2 Sécurité du matériel compromission des biens et l’interruption des activités de
l’organisme.
14 9.2.1 Choix de l'emplacement et protection du matériel
Mesure : Le matériel doit être situé et protégé de manière à réduire Les matériels sensibles de la plateforme du projet ont-ils été
les risques de menaces et de dangers environnementaux et les stockés en fonctions des risques potentiels de menaces
possibilités d'accès non autorisé. extérieures et environnementales (vandalisme au rez de chaussée,
crue centennale, etc.)
ISO 27799 : Il convient que les organismes traitant des informations
personnelles de santé placent tout poste de travail permettant
l'accès aux informations personnelles de santé d'une façon qui
empêche les regards non-attentionnés ou l'accès aux sujets de
soins et au public.
ISO 27799 : Il convient que les organismes de santé et
particulièrement les hôpitaux s'assurent que le choix de
l'emplacement et les lignes directrices en matière de protection du
matériel informatique réduisent le plus possible les expositions à de
telles émissions.
10917746.xls - Questionnaire 7/225

ISO 27799 : Le matériel médical qui enregistre ou consigne des


données peut également exiger des considérations spéciales en
termes de sécurité qui sont en relation avec l'environnement dans
lequel elles opèrent et avec les émissions électromagnétiques qui
surviennent lors de leur fonctionnement
15 9.2.2 Services généraux
Mesure : Le matériel doit être protégé des coupures de courant et Le niveau de disponibilité du système demande-t-il à bénéficier
d'autres perturbations dues à une défaillance des services d'un secours électrique?
généraux. Si oui, comment est-il mis en place?
16 9.2.4 Maintenance du matériel
Mesure : Le matériel doit être entretenu correctement pour garantir Avez-vous pris en compte une gestion de la maintenance pour les
sa disponibilité permanente et son intégrité. matériels du projet?
17 9.2.5 Sécurité du matériel hors de locaux
Mesure : La sécurité doit être appliquée au matériel utilisé hors des Le projet prend-il en compte des postes de travail nomades ou des
locaux de l'organisme en tenant compte des différents risques PDA?
associés au travail hors site. Si oui, une étude a-t-elle été faite pour garantir un niveau de
confidentialité optimum (durcissement de la configuration, système
d'authentification robuste, etc.)?
ISO 27799 : les organismes traitant des informations personnelles
de santé doivent garantir que toute utilisation du matériel médical
enregistrant ou consignant des données a été autorisée en dehors
des locaux adéquats
ISO 27799 : Il convient que cela comprenne des équipements
utilisés par des travailleurs à distance, même lorsque cette
utilisation est perpétuelle
18 9.2.6 Mise au rebut ou recyclage sécurisé(e) du matériel
Mesure : Tout le matériel contenant des supports de stockage doit Existe-t-il une procédure de gestion des supports d'informations?
être vérifié pour s'assurer que toute donné sensible a bien été Si oui, intègre-t-elle la mise au rebut des supports de stockage
supprimée et que tout logiciel sous licence a bien été désinstallé ou (avec procédure d'effacement définitif des données sensibles)?
écrasé de façon sécurisée, avant sa mise au rebut.

ISO 27799 : Les organismes traitant des applications contenant des


informations de santé doivent écraser de façon sécurisée ou bien
détruire tous les supports contenant des logiciels d'application
d'informations de santé ou d'informations personnelles de santé
quand l'utilisation du support n'est plus nécessaire.

10 GESTION DE L'EXPLOITATION ET DES TELECOMMUNICATIONS


Objectif : Assurer l’exploitation correcte et sécurisée des moyens
10.1 Procédures et responsabilités liées à l'exploitation
de traitement de l’information
19 10.1.1 Procédures d'exploitation documentées
Mesure : Les procédures d'exploitation doivent être documentées, Avez-vous formalisé les procédures d'exploitation de la plate
tenues à jour et disponibles pour tous les utilisateurs concernés forme?

20 10.1.4 Séparation des équipements de développement, de test et d'exploitation


Mesure : Les équipements de développement, d'essai et Avez-vous prévu de mettre en place des plateformes différentes
d'exploitation doivent être séparés pour réduire les risque d'accès pour la recette, la pré-production et la production?
ou de changements non autorisés dans le système d'information en Si oui, ce cycle de vie du projet est-il mis en place?
exploitation.
ISO 27799 : Les organismes traitant des informations personnelles
de santé doivent séparer (physiquement ou virtuellement) les
environnements de développement et d'essai relatifs aux systèmes
d'information de santé traitant de telles opérations des
environnements d'exploitation abritant ces systèmes d'informations
de santé.
ISO 27799 : Les règles relatives à la migration des logiciels de l'état
de développement à l'état d'exploitation doivent être définies et
documentées par l'organisme abritant l(es) application(s)
concernée(s).
Objectif : Réduire le plus possible le risque de pannes du système.
10.3 Planification et acceptation du système
21 10.3.2 Acceptation du système
10917746.xls - Questionnaire 8/225

Mesure : Lors de la réception des matériels et logiciels, des tests sont-ils


- Les critères d'acceptation doivent être fixés pour les nouveaux effectués, notamment des tests spécifiques de sécurité ?
systèmes d'information, les nouvelles versions et les mises à
niveau, Toute modification de configuration ou de version fait-elle l'objet
- Des tests adaptés au système doivent être réalisés au moment du d'un plan de conduite de changement appliqué au système?
développement et préalablement à leur acceptation

ISO 27799 : Les organismes traitant des informations personnelles


de santé doivent établir des critères d'acceptation pour les
nouveaux systèmes d'information prévus, les mises à jour à venir et
les nouvelles versions à installer
ISO 27799 : Ils doivent réaliser des essais convenables du système
avant l'acceptation.
ISO 27799 : Il convient que l'étendue et la rigueur de ces essais
soit adaptée au niveau correspondant aux risques identifiés de la
modification.
10.4 Protection contre les codes malveillants et mobiles Objectif : Protéger l’intégrité des logiciels et de l’information.
22 10.4.1 Mesures contre les codes malveillants
Mesure : Des mesures de détection, de prévention et de Existe-t-il au sein du projet des mesures de détection, de
récupération ainsi que des procédures appropriées de prévention et de récupération afin de se protéger des codes
sensibilisation des utilisateurs doivent être mise en œuvre afin de malveillants?
se protéger des codes malveillants.
ISO 27799 : Les organismes traitant des informations personnelles
de données doivent mettre en place des contrôles adéquats de
prévention, de détection et de réponse afin de se protéger des
logiciels malicieux
ISO 27799 : Ils doivent mettre en place des formations adéquates
de sensibilisation des utilisateurs.
Objectif : Maintenir l’intégrité et la disponibilité des informations et
10.5 Sauvegardes
des moyens de traitement de l’information.
23 10.5.1 Sauvegarde des informations
Mesure : Des copies de sauvegarde des informations et logiciels Les données sont-elles sauvegardées de manière à garantir leur
doivent être réalisées et soumises régulièrement à essai niveau de confidentialité ?
conformément à la politique de sauvegarde convenue Les données sauvegardées et les supports de sauvegarde
bénéficient-ils des mêmes moyens de protection que les données
courantes (en intégrité et confidentialité particulièrement) ?
ISO 27799 : Afin de protéger leur confidentialité, il convient que les
informations personnelles de santé soient sauvegardées sous un
format chiffré.
ISO 27799 : Les organismes traitant des informations personnelles
de santé doivent sauvegarder les informations personnelles de
santé et les stocker dans un environnement physique sécurisé pour
garantir leur disponibilité future.
Objectif : Assurer la protection des informations sur les réseaux et
10.6 Gestion de la sécurité des réseaux
la protection de l’infrastructure sur laquelle ils s’appuient.
24 10.6.2 Sécurité des services réseau
Mesure : Pour tous les services réseau, les fonctions réseau, les Un niveau de disponibilité des moyens de télécommunication a-t-il
niveaux de service et les exigences de gestion doivent être êté déterminé dans le cadre de ce projet?
identifiés et intégrés dans tout accord sur les services réseau, qu'ils
soient fournis en interne ou en externe
ISO 27799 : Il convient que les organismes traitant des informations
personnelles de santé prennent en compte avec précaution les
conséquences que la perte de la disponibilité du service réseau
aurait sur la pratique clinique
Objectif : Empêcher la divulgation, la modification, le retrait ou la
10.7 Manipulation des supports destruction non autorisé(e) de biens et l’interruption des activités
de l’organisme.
25 10.7.1 Gestions des supports amovibles
Mesure : Des procédures doivent être mises en place pour la Des exigences de sécurité ont-elles été définies pour la gestion des
gestion des supports amovibles supports amovibles (comment réagir en cas de perte, de vol, etc.)?
ISO 27799 : Il convient que les organismes traitant des informations Si oui, ont-elles fait l'objet d'une communication?
personnelles de santé garantissent que toutes les informations
personnelles de santé stockées sur des supports amovibles sont :
a - chiffrées lorsque leur support est en transit,
b - protégées du vol lorsque leur support est en transit.
10917746.xls - Questionnaire 9/225

Objectif : Maintenir la sécurité des informations et des logiciels


10.8 Echanges des informations
échangés au sein de l’organisme et avec une entité extérieure
26 10.8.1 Politiques et procédures d'échange des informations
Mesure : Des politiques, procédures et mesures d'échange Existe-t-il des échanges avec l'extérieur de la plate forme autre que
formelles doivent être mises en place pour protéger les échanges les échanges avec les PS ?
d'informations transitant par tous types d’équipements de Si oui, sont-ils protégés et comment?
télécommunication.
ISO 27799 : Les organismes doivent garantir que la sécurité de
tels échanges d'informations est le sujet de l'audit de la politique de
développement et de conformité
ISO 27799 : La sécurité des échanges d'informations peut être
assistée de manière très efficace par l'utilisation d'accords sur les
échanges d'informations qui stipulent le minimum requis en matière
de mise en place d'un ensemble de contrôles.
Doctrine de sécurité : Tous les échanges qu'ils soient réalisés à
partir d'un logiciel de professionnel de santé (LPS) ou à partir de
l'ordinateur personnel du patient seront sécurisés en terme
d'intégrité et de confidentialité (mécanisme de construction d'un
canal sécurisé SSL/TLS)

27 10.8.3 Supports physiques en transit


Mesure : Les supports contenant des informations doivent être Les supports en transit contenant des données de santé sont-ils
protégés contre les accès non autorisés, le mauvais usage ou protégés? Si oui, par quels moyens (chiffrement par CPS, par
l'altération lors du transport hors des limites physiques de certificats numériques, ...)?
l'organisme.
28 10.8.4 Messagerie électronique
Mesure : Les informations transitant par la messagerie électronique Un service de messagerie est-il utilisé dans le cadre de ce projet?
doivent être protégées de manière adéquate. La confidentialité des mails stockés sur les serveurs de messagerie
est-elle garantie, comment ?
Comment la confidentialité des mails stockés sur les postes de
travail fixes et nomades est-elle assurée?
La carte CPS est-elle utilisée pour assurer la confidentialité et la
non répudiation des messages ?
Si non, quelle est la solution mise en place?
Comment assurez-vous la confidentialité des pièces jointes? Sont-
elles stockées sur les serveurs ou bien les utilisateurs les
suppriment-ils systématiquement des serveurs?
Un antivirus est-il déployé spécifiquement pour le serveur de
messagerie?
ISO 27799 : Il est important de remarquer que la sécurité des
courriers électroniques et des messages instantanés contenant des
informations personnelles de santé peut impliquer des modes
opératoires pour le personnel médical qui ne peuvent pas être
imposées aux sujets de soins et au public.
ISO 27799 : Il convient que les organismes transmettant des
informations personnelles de santé par messagerie électronique
prennent des mesures pour garantir leur confidentialité et leur
intégrité
ISO 27799 et décret Confidentialité: Il convient que les
organismes transmettant des informations personnelles de santé
par messagerie électronique prennent des mesures pour garantir
leur confidentialité et leur intégrité
ISO 27799 et décret Confidentialité: Il convient que les
organismes transmettant des informations personnelles de santé
par messagerie électronique prennent des mesures pour garantir
leur confidentialité et leur intégrité
ISO 27799 : Il convient que les courriers électroniques contenant
des informations personnelles de santé soient chiffrés pour le
transit. Une approche de cette directive implique l'utilisation de
certificats électroniques.
10.10 Surveillance Objectif : Détecter les traitements non autorisés de l’information.
29 10.10.1 Rapport d'audit
10917746.xls - Questionnaire 10/225

Mesure : Les rapports d'audit, qui enregistrent les activités des Une politique de traçabilité a-t-elle été élaborée au sein du projet?
utilisateurs, les exceptions et les événements liés à la sécurité Si oui, fait-elle une différence entre les traces techniques et les
doivent être produits et conservés pendant une période traces métier?
préalablement définie afin de faciliter les investigations ultérieures
et la surveillance du contrôle d'accès. Une étude a-t-elle été menée afin de déterminer quelles étaient les
traces à conserver?
Quelles sont les mesures de protection mises en place pour
protéger les traces en intégrité?
Quelles sont les mesures de protection mises en place pour
protéger les traces en confidentialité?
Quelle est la durée prévue pour la conservation des traces?
Quels sont les moyens mis en place afin de s'assurer de la non
répudiation d'une action?
ISO 27799 : Il convient que les systèmes d'information de santé
traitant des informations personnelles de santé créent un compte
rendu d'audit sécurisé à chaque fois qu'un utilisateur accède, crée,
met à jour ou archive des informations personnelles de santé par le
biais du système.
ISO 27799 : Il convient que le journal d'audit identifie de manière
univoque l'utilisateur, le sujet des données (soit le sujet de soins),
qu'il identifie la fonction exercée par l'utilisateur (création d'un
compte rendu, accès et mise à jour entre autres) et qu'il identifie
l'heure et la date auxquelles la fonction a été effectuée.
ISO 27799 : Lorsque les informations personnelles de santé sont
mises à jour, il convient qu'un compte rendu de l'ancien contenu
des données et le compte rendu de l'audit associé (soit l'identité de
la personne ayant entré les données et la date) soit effectué.
ISO 27799 : Il convient que les systèmes de messagerie utilisés
pour transmettre des messages contenant des informations
personnelles de santé gardent un journal des transmissions de
messages (il convient qu'un tel journal contienne l'heure, la date,
l'origine et la destination du message, mais pas son contenu).
ISO 27799 : Il convient que l'organisme évalue et détermine avec
précaution la période de conservation de ces journaux d'audit, avec
une référence particulière aux normes professionnelles cliniques et
aux obligations légales, dans le but de permettre la réalisation
d'enquêtes lorsque nécessaire et de fournir des preuves de
mauvais usage si nécessaire.

Doctrine technique : A tout document de santé déposé dans un


DMP doit être associé une signature électronique du document par
son « auteur ». La validité de cette signature est contrôlée avant
l'intégration du document dans le DMP. Elle garantit l'imputabilité du
document dans le temps.
30 10.10.2 Surveillance de l'exploitation du système
Mesure : Existe-t-il des outils de centralisation et de journalisation des
- Des procédures permettant de surveiller l'utilisation des moyens fichiers de journalisation?
de traitement de l'information doivent être établies. Si oui, existe-t-il un outil d'analyse de ces fichiers de journalisation?
- Les résultats des activités de surveillance doivent être réexaminés
périodiquement. Une étude a-t-elle été menée afin de déterminer quels fichiers de
journalisation sont analysés?
Y a-t-il des mesures mises en place pour assurer l'intégrité de ces
logs?
Toutes les activités des exploitants du système sont-elles tracées?

ISO 27799 : Il convient que les équipements relatifs au rapport


d'audit du système d'informations de santé soient toujours
fonctionnels pendant que le système d'information de santé en
cours d'audit est disponible à l'utilisation.
10917746.xls - Questionnaire 11/225

ISO 27799 : Il convient que les systèmes contenant des


informations personnelles de santé soient pourvus d'installations
permettant l'analyse des journaux et des traces d'audit qui :
a - permettent l'identification de tous les utilisateurs système qui
ont accédé ou modifié le(s) dossier(s) d'un sujet de soins donné sur
une période de temps donnée,
b - permettent l'identification de tous les sujets de soins dont les
dossiers ont été visités ou modifiés par un utilisateur système
donné sur une période de temps donnée.
31 10.10.6 Synchronisation des horloges
Mesure : Les horloges des différents systèmes de traitement de S'il y a plusieurs serveurs au sein de l'architecture du projet, sont-
l'information d'un organisme ou d'un domaine de sécurité doivent ils tous synchronisés sur la même base de temps? (tous les
être synchronisées à l'aide d'une source de temps précise et serveurs doivent être à la même heure pour des contraintes de
préalablement définie. cohérence et d'exploitation)
ISO 27799 : Les systèmes d'informations de santé liés à des
activités de soins partagés pour lesquelles le facteur temps est
essentiel doivent fournir des services de synchronisation du temps
afin d'aider à la recherche et à la reconstitution de l'emploi du
temps de certaines activités si besoin est.
11 CONTRÔLE D'ACCES
11.1 Exigences métier relatives au contrôle d'accès Objectif : Maîtriser l’accès à l’information.
32 11.1.1 Politique de contrôle d'accès
Mesure : Une politique de contrôle d'accès doit être établie, Avez-vous élaboré une politique de contrôle d'accès?
documentée et réexaminée sur la base des exigences d’exploitation
et de sécurité.
ISO 27799 : il est important de remarquer que, dans le but de ne
pas retarder ni entraver la délivrance des soins médicaux, il existe
des exigences plus fortes que d'habitude permettant en cas
d'urgence, après autorisation, de passer outre les règles
«normales» de contrôle d'accès,
grâce à une politique et à un processus clairs.

ISO 27799 + Décret confidentialité:


Les organismes de santé sont encouragés à considérer la mise en
place d'une solution de gestion de l'identité et de l'accès fédérée
car elle constituerait une aide potentielle supplémentaire et des
coûts d'administration moindres à la politique de contrôle d'accès.
Cette solution permettra en plus de bénéficier de processus d'accès
à la sécurité renforcée tels que des accès fondés sur des cartes à
puces et une capacité de connexion unique.

ISO 27799 + Décret Confidentialité : Les organismes traitant des


informations personnelles de santé doivent posséder une politique
de contrôle d'accès régissant l'accès à ces données.
Il convient que la politique de contrôle d'accès de l'organisme soit
établie sur la base de rôles prédéfinis de la part d'autorités
associées qui conviendraient à ce rôle tout en se limitant à ces
fonctions.
La politique de contrôle d'accès doit refléter les exigences
professionnelles, éthiques, légales et relatives au sujet de soins
Il convient qu'elle tienne compte des activités effectuées par les
professionnels de la santé ainsi que du flux de travail des tâches
qui leur incombent.
Décret Confidentialité : En cas d’accès par des professionnels de
santé aux informations médicales à caractère personnel
conservées sur support informatique ou de leur transmission par
voie électronique, l’utilisation de la carte de professionnel de santé
mentionnée au dernier alinéa de l’article L. 161-33 du code de la
sécurité sociale est obligatoire
Doctrine technique : L'identifiant de santé doit donc être pris en
compte par les professionnels de santé pour l'ensemble des
dossiers médicaux (professionnels, partagés, médical personnel).

Objectif : Maîtriser l’accès utilisateur par le biais d’autorisations et


11.2 Gestion de l'accès utilisateur
empêcher les accès non autorisés aux systèmes d’information.
10917746.xls - Questionnaire 12/225

33 11.2.1 Enregistrement des utilisateurs


Mesure : Une procédure formelle d'enregistrement de Avez-vous mis en place une procédure d'enregistrement d'un
désinscription des utilisateurs, destinée à accorder et à supprimer nouvel utilisateur (PS, patient)?
l’accès à tous les systèmes et services d’information doit être
définie. Tous les nouveaux utilisateurs sont-ils créés avec un profil par
défaut ?
Comment sont gérés les profils au sein du projet?
Comment les utilisateurs ( patients et PS) ont-ils créé leur comptes
au sein du système?
ISO 27799 : L'accès aux systèmes relatifs aux informations
personnelles de santé traitant d'informations personnelles de
santés doit être soumis à un processus officiel d'enregistrement de
l'utilisateur.
ISO 27799 + décret confidentialité: Les modes opératoires
d'enregistrement de l'utilisateur doivent garantir que le niveau
d'authentification exigé en matière d'identité déclarée par
l'utilisateur est cohérent avec les niveaux d'accès obtenu ensuite
par ce même utilisateur.
ISO 27799 : Les détails de l'enregistrement de l'utilisateur doivent
être révisés régulièrement afin de garantir leur contenu et leur
exactitude mais aussi dans le but de vérifier que l'utilisateur a
toujours réellement besoin de cet accès.
Décret Confidentialité : Le responsable du traitement est chargé
de veiller au respect du référentiel. Il lui appartient notamment de
mettre en œuvre les procédés assurant l’identification et la
vérification de la qualité des professionnels de santé dans les
conditions garantissant la cohérence entre les données
l’identification gérées localement et celles recensées par le
groupement d’intérêt public

ISO 27799 : il convient qu'un intérêt particulier soit porté aux


contrôles techniques permettant l'authentification sécurisée d'un
sujet de soins lorsqu'il accède à ses propres informations (grâce à
ces systèmes d'information de santé qui permettent ces accès).
Il convient également de souligner la facilité d'utilisation de ces
mesures, tout particulièrement pour les sujets de soins handicapés
et les dispositions d'accès pour des décideurs de substitution.
34 11.2.2 Gestion des privilèges
Mesure : L'attribution et l'utilisation des privilèges doivent être Avez-vous identifié le besoin de mettre en œuvre un mode "brise
restreints et contrôlés glace"?
Si oui, quels sont les moyens mis en œuvre pour gérer les
autorisations dans des modes de type "brise glace" ?
Ces opérations en mode "brise glace" font-elles l'objet d'un fichier
de journalisation spécifique ?
Comment la légitimité d'accès au système est-elle vérifiée lors de
la création d'un compte ?
Quels sont les moyens mis en œuvre pour autoriser les accès aux
dossiers patients par les PS?
Le patient a-t-il fait l'objet d'une communication sur la stratégie
d'accès à ses données?
ISO 27799 : il convient que les systèmes d'information de santé
traitant d'informations personnelles de santé soient pourvus d'un
contrôle d'accès spécifique selon le rôle (RBAC, rôle-based access
ISO 27799 : Plusieurs des stratégies de contrôle d'accès abordées
control) capable d'attribuer un ou plusieurs rôles à chaque
ci-dessous sont considérées comme pouvant aider de manière
utilisateur et chaque rôle à une ou plusieurs fonctions du système.
significative à assurer la confidentialité et l'intégrité des informations
personnelles
ISO 27799 : Un de utilisateur
santé. Celles-ci sont : d'informations de santé
d'un système
a - un contrôle
contenant d'accès en fonction
des informations du rôle
personnelles dedéfinit
santé par
doit les titres
avoir accès
professionnels et les intitulés
à ses services en endossant un seulde fonction des utilisateurs
et unique établis lors
rôle (les utilisateurs
de
qui l'enregistrement
ont été enregistrésen vue
avecde restreindre
plusieurs lesdoivent
rôles privilèges d'accès
présenter undes
utilisateurs
seul rôle lorsaux
deprivilèges requis pour
chaque session l'accomplissement
d'accès à un système d'un ou de
plusieurs rôles de
d'informations bien définis,
santé).
b - un contrôle d'accès spécifique au groupe de travail qui repose
sur l'affectation des utilisateurs à des groupes de travail (tels que
des équipes cliniques) en vue d'établir les dossiers auxquels ils
peuvent accéder, et
c - un contrôle d'accès discrétionnaire permettant aux utilisateurs
des systèmes d'information de santé qui ont une relation légitime
avec les informations personnelles de santé d'un sujet de soins (par
exemple un médecin de famille) d'accorder l'accès à d'autres
10917746.xls - Questionnaire 13/225

Décret Confidentialité : Le responsable du traitement est chargé


de veiller au respect du référentiel. Il lui appartient notamment de
gérer la liste nominative des professionnels habilités à accéder aux
informations médicales relevant de ce traitement et la tenir à la
disposition des personnes concernées par ces informations

ISO 27799 : Il convient que les systèmes d'information de santé


associent les utilisateurs (y compris les professionnels de la santé
et le personnel de soutien clinique, entre autres) avec les dossiers
du sujet de soins en vue de permettre un futur accès fondé sur
cette association.
35 11.2.3 Gestion du mot de passe utilisateur
Mesure : L'attribution de mots de passe doit être réalisée dans le Une procédure d'attribution des mots de passe a-t-elle été
cadre d'un processus formel. envisagée? (transmission par courrier du mot de passe, par SMS,
...)
36 11.2.4 Réexamen des droits d'accès utilisateur
Mesure : La direction doit revoir les droits d’accès utilisateurs à La politique d'habilitation prend-elle en compte des révisions des
intervalles réguliers par le biais d’un processus formel. comptes? (vérifier que des comptes obsolètes ne soient pas
conservés)
Objectif : Empêcher les accès utilisateurs non habilités et la
11.3 Responsabilités utilisateurs compromission ou le vol d’informations et de moyens de traitement
de l’information.
37 11.3.1 Utilisation du mot de passe
Mesure : Il doit être demandé aux utilisateurs de respecter les Les bonnes pratiques d'utilisation de mots de passe ont-elles fait
bonnes pratiques de sécurité lors de la sélection et de l'utilisation l'objet d'une sensibilisation des utilisateurs?
de mots de passe.
38 11.3.2 Matériel utilisateur laissé sans surveillance
Mesure : Les utilisateurs doivent s'assurer que tout matériel laissé Les utilisateurs ont-ils été sensibilisés sur la protection des
sans surveillance doit être doté d'un dispositif de protection matériel sous leur responsabilité ? (poste de travail, protection de
approprié. la carte CPS, ne pas donner le code PIN, ...)
39 11.4.2 Authentification de l'utilisateur pour les connexions externes
Mesure : Des méthodes d'authentification appropriées doivent être Existe-t-il au sein de ce projet, des connexions depuis l'extérieur
utilisées pour contrôler l'accès des utilisateurs distants. (patient, PS, télétravail)?
Si oui, comment sont-elles établies et protégées?
Les PS peuvent-ils accéder à la plateforme depuis l'extérieur? Si
oui, des moyens ont-ils été mis en place pour l'authentification du
matériel du PS?
40 11.4.5 Cloisonnement des réseaux
Mesure : Les groupes de services d'information, d'utilisateurs et de Est-il prévu que des entités externes puissent accéder à des
systèmes d'information doivent être séparés sur le réseau réseaux partagés situés sur la plateforme du projet?
Le réseau sur lequel est implanté la plateforme du projet
bénéficient-ils de protection particulière?
Si oui, de quelles natures sont ces protections?
Y a-t-il un pare-feu entre le réseau interne et le réseau de la
plateforme?
10917746.xls - Questionnaire 14/225

Le projet fait-il intervenir un hébergeur externe?


Décret Hébergement :
Si oui, existe-t-il un contrat particulier pour l'hébergeur?
Toute personne physique ou morale souhaitant assurer
Le serveur d'hébergement est-il dédié aux données médicales?
l’hébergement de données de santé à caractère personnel,
Existe-t-il une politique de confidentialité avec l'hébergeur?
mentionné à l’article L. 1111-8, et bénéficier d’un agrément à ce
Connaît-il toutes les contraintes le liant à des données médicales?
titre doit remplir les conditions suivantes :
1 - Offrir toutes les garanties pour l’exercice de cette activité,
notamment par le recours à des personnels qualifiés en matière de
sécurité et d’archivage des données et par la mise en oeuvre de
solutions techniques, d’une organisation et de procédures de
contrôle assurant la sécurité, la protection, la conservation et la
restitution des données confiées, ainsi qu’un usage conforme à la
loi ;
2 - Définir et mettre en oeuvre une politique de confidentialité et de
sécurité, destinée notamment à assurer le respect des exigences
de confidentialité et de secret prévues par les articles L. 1110-4 et
L. 1111-7, la protection contre les accès non autorisés ainsi que la
pérennité des données, et dont la description doit être jointe au
dossier d’agrément dans les conditions fixées par l’article R. 1111-
14 ;
3 - Le cas échéant, identifier son représentant sur le territoire
national au sens de l’article 5 de la loi du 6 janvier 1978 ;
4 - Individualiser dans son organisation l’activité d’hébergement et
les moyens qui lui sont dédiés, ainsi que la gestion des stocks et
des flux de données ;
5 - Définir et mettre en place des dispositifs d’information sur
l’activité d’hébergement à destination des personnes à l’origine du
dépôt, notamment en cas de modification substantielle des
conditions de réalisation de cette activité ;
6 - Identifier les personnes en charge de l’activité d’hébergement,
dont un médecin, en précisant le lien contractuel qui les lie à
l’hébergeur
Objectif : Empêcher les accès non autorisés aux systèmes
11.5 Contrôle d'accès au système d'exploitation
d’exploitation.
41 11.5.1 Ouverture de sessions sécurisées
Mesure : L’accès aux systèmes d’exploitation doivent être soumis à Les accès au SI sont-ils soumis à des procédures sécurisées?
une procédure sécurisée d'ouverture de session. Les exploitants sont-ils authentifiés par des mécanismes
d'authentification forte ?

Quels sont les moyens mis en œuvre pour gérer les autorisations
d'accès au système ?
42 11.5.5 Déconnexion automatique des sessions inactives
Mesure : Les sessions inactives doivent être déconnectées après Est-il prévu que les sessions inactives aient une durée limitée?
une période d’inactivité définie.
Objectif : Empêcher les accès non autorisés aux informations
11.6 Contrôle d'accès aux applications et à l'information
stockées dans les applications.
43 11.6.1 Restriction d'accès à l'information
Mesure : L’accès aux informations et aux fonctions applicatives doit Les professionnels de santé utilisent-ils la CPS comme moyen
être restreint pour les utilisateurs et le personnel chargé de d'authentification?
l’assistance technique, conformément à la politique de contrôle Avez-vous mené une étude sur la gestion des identifiants au sein
d’accès. du projet? A partir de quoi sont-ils créés? Sont-ils facilement
prédictibles?
Est-il prévu que les patients puissent accéder à leur dossiers?
Si oui, quels sont les moyens mis en place pour que les patients
puissent accéder à leur dossier? (serveur web, client lourd, etc.)
Quels sont les principes d'identification et d'authentification des
patients ?
12 ACQUISITION, DEVELOPPEMENT ET MAINTENANCE DES SYSTEMES D'INFORMATION
Objectif : Empêcher toute erreur, perte, modification non autorisée
12.2 Bon fonctionnement des applications ou tout mauvais usage des informations dans les applications.

44 12.2.1 Validation des données d'entrée


10917746.xls - Questionnaire 15/225

Mesure : Les données entrées dans les applications doivent être Si des éléments sont rapatriés depuis l'extérieur, quelles sont les
validées afin de vérifier si elles sont correctes et appropriées. mesures permettant de garantir l'authenticité et de l'intégrité des
informations?
45 12.2.4 Validation des données de sortie
Mesure : Les données de sortie d’une application doivent être Quelles mesures permettraient à un utilisateur de vérifier
validées pour vérifier que le traitement des informations stockées l'authenticité et l'intégrité des informations mises à disposition?
est correct et adapté aux circonstances.
ISO 27799 : Les systèmes d'information de santé traitant des
informations personnelles de santé doivent fournir des informations
personnelles d'identification pour aider les professionnels de la
santé à confirmer que le dossier médical électronique correspond
bien au sujet de soins sous traitement.
ISO 27799 : Il convient que les systèmes d'information de santé
donnent la possibilité de vérifier que les impressions électroniques
sont complètes ((par exemple «page 3 de 5»)
Objectif : Protéger la confidentialité, l’authenticité ou l’intégrité de
12.3 Mesures cryptographiques
l’information par des moyens cryptographiques
46 12.3.1 Politique d'utilisation des mesures cryptographiques
Mesure : Une politique d’utilisation des mesures cryptographiques Avez-vous mené une réflexion sur les moyens cryptographiques à
doit être élaborée et mise en œuvre en vue de protéger mettre en œuvre? Existe-il une politique de gestion de clés
l’information (responsabilités, procédures)?
Objectif : Garantir la sécurité du logiciel et des informations
12.5 Sécurité en matière de développement et d'assistance technique
d’application.
47 12.5.1 Procédure de contrôle des modifications
Mesure : La mise en œuvre des modifications doit être contrôlée Lorsque des modification de code ou de configuration doivent avoir
par le biais de procédures formelles. lieu, des procédures formelles sont-elles appliquées afin d'en
contrôler le bon déroulement?
48 12.5.4 Fuite d'informations
Mesure : Toute possibilité de fuite d’informations doit être Avez-vous pris en compte les risques de vol / fuite d'information ?
empêchée. Si oui, quels sont les moyens mis en œuvre?
13 GESTION DES INCIDENTS LIES A LA SECURITE DE L'INFORMATION
Objectif : Garantir que le mode de notification des événements et
13.1 Signalement des événements et des failles liés à la sécurité de l'information failles liés à la sécurité de l’information permette la mise en œuvre
d’une action corrective, dans les meilleurs délais.
49 13.1.1 Signalement des événements liés à la sécurité de l'information
Mesure : Les événements liés à la sécurité de l’information doivent Existe-t-il une cellule de veille d'alerte de sécurité? Si oui, à qui les
être signalés, dans les meilleurs délais, par les voies hiérarchiques rapport de veille sont-ils destinés?
appropriées.
En cas d'incident de sécurité, des fiches d'incident sont-elles
créées? Si oui, à qui sont destinées ces fiches?
ISO 27799 : il convient que les organismes manipulant des
informations personnelles de santé établissent les responsabilités
et les procédures en termes de gestion des incidents en vue de :
a - garantir une réponse rapide, efficace et ordonnée aux incidents
de sécurité,
b - garantir l'existence d'une communication efficace hiérarchisée
en matière d'incidents de telle sorte que les plans de gestion des
crises et de continuité de l'activité peuvent être invoqués en des
circonstances appropriées et au bon moment,
c - regrouper et préserver les données relatives aux incidents tels
que les traces d'audit, les journaux d'audit et autres preuves.

Il convient que la politique soit révisée après l'apparition d'un


incident de sécurité important.
ISO 27799 : Il convient que les organismes informent les sujets de
soins à chaque fois que des informations personnelles de santé ont
été involontairement divulguées.
ISO 27799 : Il convient que les organismes informent les sujets de
soins à chaque absence de disponibilité des systèmes d'information
de santé ayant des répercussions sur l'efficacité des soins qui leur
ont été apportés.
10917746.xls - Questionnaire 16/225

ISO 27799 : il convient qu'une évaluation de la sécurité soit


effectuée soit sur la totalité des incidents, soit sur le plus
représentatif,
Mesure pour :évaluer
de Santé au mieux
Les incidents l'efficacité
relatifs des contrôles
à la sécurité de établis
et de l'appréciation
l'information du risque
comprennent qui a conduit
la divulgation à leur mise
involontaire ouen place.
corrompue
des informations personnelles de santé ou l'absence de
disponibilité des systèmes d'information de santé, dans des cas où
50 13.1.2 Signalement
cettedes faillesade
absence sécurité
des répercussions sur les soins apportés aux
Mesure
patients :ouTous les salariés,
sur des contractants
événements cliniques.et utilisateurs tiers des Est-il prévu que les utilisateurs du système fasse remonter les
systèmes et services d’information doivent noter et signaler toute informations sur les failles de sécurité?
faille de sécurité observée ou soupçonnée dans les systèmes ou
services
Objectif : Garantir la mise en place d’une politique cohérente et
13.2 Gestion des améliorations et incidents liés à la sécurité de l'information efficace pour la gestion des incidents liés à la sécurité de
l’information.
51 13.2.1 Responsabilités et procédures
Mesure : Des responsabilités et des procédures permettant de Avez-vous formalisé une procédure de gestion des incidents? Si
garantir une réponse rapide, efficace et pertinente en cas d’incident oui, a-t-elle fait l'objet d'un plan de sensibilisation auprès des
lié à la sécurité de l’information doivent être établies. acteurs?
14 GESTION DU PLAN DE CONTINUITE DE L'ACTIVITE
Objectif : Neutraliser les interruptions des activités de l’organisme,
protéger les processus métier cruciaux des effets causés par les
14.1 Aspects de la sécurité de l'information en matière de gestion de la continuité de l'activité principales défaillances des systèmes d’information ou par des
sinistres et garantir une reprise de ces processus dans les
meilleurs délais
52 14.1.1 Intégration de la sécurité de l'information dans le processus de gestion du PCA
Mesure : Un processus de continuité de l’activité dans l’ensemble La sensibilité du projet doit-elle prévoir un plan de reprise de
de l’organisme qui satisfait aux exigences en matière de sécurité de service/d'activité?
l’information requises pour la continuité de l’activité de l’organisme Si oui, un plan ou une procédure de continuité d'activité a-t-il été
doit être élaboré et géré. formalisé? Quelles sont les principales caractéristiques décrites
(les responsables à contacter, les matériels critiques, etc.)?
ISO 27799 : En réponses aux rigoureuses exigences de
disponibilité dans le secteur santé, un effort majeur doit être fourni
dans les dispositifs de récupération et de renouvellement, non
seulement en matière de technologie mais aussi de formation du
personnel médical.
Les organismes de santé doivent être sûrs que leurs plans de
gestion de la continuité des activités comprennent des plans de
gestion des crises de santé.
ISO 27799 : Les organismes de santé doivent également garantir
que les plans développés sont régulièrement mis à l'essai sur la
base d'un programme. Il convient que les essais inclus dans ce
programme soient imbriqués les uns dans les autres, effectuant des
essais sur les ordinateurs de bureau, mais aussi des essais
modulaires et des synthèses du temps probable de récupération et
finalement des répétitions complètes. Un tel programme est donc à
risque faible et procure une amélioration certaine du niveau général
de sensibilisation de la population utilisatrice.
15 CONFORMITE
Objectif : Eviter toute violation des obligations légales, statutaires,
15.1 Conformité avec les exigences légales réglementaires ou contractuelles et des exigences de sécurité.

53 15.1.1 Identification de la législation en vigueur


Mesure : Toutes les exigences légales, réglementaires et Quels sont les moyens mis en œuvre pour garantir que les
contractuelles en vigueur, ainsi que la procédure utilisée par obligations légales sont bien prises en compte au sein du projet?
l’organisme pour satisfaire à ces exigences doivent être
explicitement définies, documentées et mises à jour. Des moyens techniques sont-ils mis en œuvre pour répondre aux
obligations légales?
Avez-vous pensé à mettre en place une cellule de veille pour les
obligations légales?
54 15.1.5 Mesure préventive à l'égard du mauvais usage des moyens de traitement de l'information
10917746.xls - Questionnaire 17/225

Mesure : Les utilisateurs doivent être dissuadés de toute utilisation Un message de mise en garde indiquant un accès à des données
de moyens de traitement de l’information à des fins illégales. sensibles est-il montré à l'écran de l'ordinateur avant de se
connecter ? L'utilisateur doit-il accepter cette mise en garde avant
de se connecter ?
ISO 27799 : Si possible, il convient que le consentement des sujets
de soins vis-à-vis de leurs informations soit obtenu avant que toute
information personnelle de santé ne soit envoyée électroniquement,
faxée ou communiquée lors d'une conversation téléphonique ou
divulguée d'une quelconque façon à des personnes externes à
l'organisme de santé.

ISO 27799 :
Avant qu'une analyse génétique soit effectuée, la personne
concernée devrait être informée des objectifs de l'analyse et de
l'éventualité de découvertes inattendues. La personne soumise à
une analyse génétique devrait être informée des découvertes
inattendues si les conditions suivantes ont été remplies:
a. le droit interne n'interdit pas une telle information
b. la personne a fait la demande explicite de cette information
c. l'information n'est pas susceptible de porter une atteinte grave:
i. à la santé de la personne
ii. à un parent consanguin ou utérin de la personne, à un membre
de sa famille sociale, ou à une personne ayant un lien direct avec la
lignée génétique de la personne, à moins que le droit interne ne
prévoie d'autres garanties appropriées
d. Sous réserve de l'alinéa a, la personne devrait également être
informée si ces découvertes revêtent
pour elle une importance thérapeutique ou préventive directe.

Objectif : S’assurer de la conformité des systèmes avec les


15.2 Conformité avec les politiques et normes de sécurité et conformité technique
politiques et normes de sécurité de l’organisme.
55 15.2.1 Conformité avec les politiques et les normes de sécurité
Mesure : Les responsables doivent s’assurer de l’exécution L'hébergeur des données de santé est-il certifié ISO 27001 ?
correcte de l’ensemble des procédures de sécurité placées sous
leur responsabilité en vue de garantir leur conformité avec les L'hébergeur des données de santé est-il certifié ISO9001, CMMI
politiques et normes de sécurité. (quel niveau), ITIL ?
Un processus d'agrément de l'hébergeur a-t-il été initié ?
ISO 27799 : Une attention spéciale est portée à la conformité dans
le but de l'interopérabilité technique, étant donné que les systèmes
d'information de santé des grands organismes consistent en
général en plusieurs systèmes interopérables.
Décret Confidentialité : Le responsable du traitement est chargé
de veiller au respect du référentiel. Il lui appartient notamment de
porter à la connaissance de toute personne concernée par les
informations médicales relevant du traitement les principales
dispositions prises pour garantir la conformité au référentiel
correspondant.
Objectif : Optimiser l’efficacité et réduire le plus possible
15.3 Prises en compte de l'audit du système d'information l’interférence avec le/du processus d’audit du système
d’information.
56 15.3.2 Protection des outils d'audit du système d'information
Mesure : L’accès aux outils d’audit du système d’information doit Des contrôles (audits) réguliers du projet sont-ils mis en œuvre
être protégé afin d’empêcher tous mauvais usage ou (afin de vérifier que l'application répond bien aux exigences de la
compromission éventuels. MOA)?
Les rapports sont-ils à accès restreints? Quelles sont les actions
mises en œuvre suite à ces contrôles?
10917746.xls - Questionnaire 18/225
10917746.xls - Questionnaire 19/225
10917746.xls - Questionnaire 20/225
10917746.xls - Questionnaire 21/225
10917746.xls - Questionnaire 22/225
10917746.xls - Questionnaire 23/225
10917746.xls - Questionnaire 24/225
10917746.xls - Questionnaire 25/225
10917746.xls - Questionnaire 26/225
10917746.xls - Questionnaire 27/225
10917746.xls - Questionnaire 28/225
10917746.xls - Questionnaire 29/225
10917746.xls - Questionnaire 30/225
10917746.xls - Questionnaire 31/225
10917746.xls - Questionnaire 32/225
10917746.xls - Questionnaire 33/225
10917746.xls - Questionnaire 34/225
10917746.xls - Questionnaire 35/225
10917746.xls - Questionnaire 36/225
10917746.xls - Questionnaire 37/225
10917746.xls - Questionnaire 38/225
10917746.xls - Questionnaire 39/225
10917746.xls - Questionnaire 40/225
10917746.xls - Questionnaire 41/225
10917746.xls - Questionnaire 42/225
10917746.xls - Questionnaire 43/225
10917746.xls - Questionnaire 44/225
10917746.xls - Questionnaire 45/225
10917746.xls - Questionnaire 46/225
10917746.xls - Questionnaire 47/225
10917746.xls - Questionnaire 48/225
10917746.xls - Questionnaire 49/225
10917746.xls - Questionnaire 50/225
10917746.xls - Questionnaire 51/225
10917746.xls - Questionnaire 52/225
10917746.xls - Questionnaire 53/225
10917746.xls - Questionnaire 54/225
10917746.xls - Questionnaire 55/225
10917746.xls - Questionnaire 56/225
10917746.xls - Questionnaire 57/225
10917746.xls - Questionnaire 58/225
10917746.xls - Questionnaire 59/225
10917746.xls - Questionnaire 60/225
10917746.xls - Questionnaire 61/225
10917746.xls - Questionnaire 62/225
10917746.xls - Questionnaire 63/225
10917746.xls - Questionnaire 64/225
10917746.xls - Questionnaire 65/225
10917746.xls - Questionnaire 66/225
10917746.xls - Questionnaire 67/225
10917746.xls - Questionnaire 68/225
10917746.xls - Questionnaire 69/225
10917746.xls - Questionnaire 70/225
10917746.xls - Questionnaire 71/225
10917746.xls - Questionnaire 72/225
10917746.xls - Questionnaire 73/225
10917746.xls - Questionnaire 74/225
10917746.xls - Questionnaire 75/225
10917746.xls - Questionnaire 76/225
10917746.xls - Questionnaire 77/225
10917746.xls - Questionnaire 78/225
10917746.xls - Questionnaire 79/225
10917746.xls - Questionnaire 80/225
10917746.xls - Questionnaire 81/225
10917746.xls - Questionnaire 82/225
10917746.xls - Questionnaire 83/225
10917746.xls - Questionnaire 84/225
10917746.xls - Questionnaire 85/225
10917746.xls - Questionnaire 86/225
10917746.xls - Questionnaire 87/225
10917746.xls - Questionnaire 88/225
10917746.xls - Questionnaire 89/225
10917746.xls - Questionnaire 90/225
10917746.xls - Questionnaire 91/225
10917746.xls - Questionnaire 92/225
10917746.xls - Questionnaire 93/225
10917746.xls - Questionnaire 94/225
10917746.xls - Questionnaire 95/225
10917746.xls - Questionnaire 96/225
10917746.xls - Questionnaire 97/225
10917746.xls - Questionnaire 98/225
10917746.xls - Questionnaire 99/225
10917746.xls - Questionnaire 100/225
10917746.xls - Questionnaire 101/225
10917746.xls - Questionnaire 102/225
10917746.xls - Questionnaire 103/225
10917746.xls - Questionnaire 104/225
10917746.xls - Questionnaire 105/225
10917746.xls - Questionnaire 106/225
10917746.xls - Questionnaire 107/225
10917746.xls - Questionnaire 108/225
10917746.xls - Questionnaire 109/225
10917746.xls - Questionnaire 110/225
10917746.xls - Questionnaire 111/225
10917746.xls - Questionnaire 112/225
10917746.xls - Questionnaire 113/225
10917746.xls - Questionnaire 114/225
10917746.xls - Questionnaire 115/225
10917746.xls - Questionnaire 116/225
10917746.xls - Questionnaire 117/225
10917746.xls - Questionnaire 118/225
10917746.xls - Questionnaire 119/225
10917746.xls - Questionnaire 120/225
10917746.xls - Questionnaire 121/225
10917746.xls - Questionnaire 122/225
10917746.xls - Questionnaire 123/225
10917746.xls - Questionnaire 124/225
10917746.xls - Questionnaire 125/225
10917746.xls - Questionnaire 126/225
10917746.xls - Questionnaire 127/225
10917746.xls - Questionnaire 128/225
10917746.xls - Questionnaire 129/225
10917746.xls - Questionnaire 130/225
10917746.xls - Questionnaire 131/225
10917746.xls - Questionnaire 132/225
10917746.xls - Questionnaire 133/225
10917746.xls - Questionnaire 134/225
10917746.xls - Questionnaire 135/225
10917746.xls - Questionnaire 136/225
10917746.xls - Questionnaire 137/225
10917746.xls - Questionnaire 138/225
10917746.xls - Questionnaire 139/225
10917746.xls - Questionnaire 140/225
10917746.xls - Questionnaire 141/225
10917746.xls - Questionnaire 142/225
10917746.xls - Questionnaire 143/225
10917746.xls - Questionnaire 144/225
10917746.xls - Questionnaire 145/225
10917746.xls - Questionnaire 146/225
10917746.xls - Questionnaire 147/225
10917746.xls - Questionnaire 148/225
10917746.xls - Questionnaire 149/225
10917746.xls - Questionnaire 150/225
10917746.xls - Questionnaire 151/225
10917746.xls - Questionnaire 152/225
10917746.xls - Questionnaire 153/225
10917746.xls - Questionnaire 154/225
10917746.xls - Questionnaire 155/225
10917746.xls - Questionnaire 156/225
10917746.xls - Questionnaire 157/225
10917746.xls - Questionnaire 158/225
10917746.xls - Questionnaire 159/225
10917746.xls - Questionnaire 160/225
10917746.xls - Questionnaire 161/225
10917746.xls - Questionnaire 162/225
10917746.xls - Questionnaire 163/225
10917746.xls - Questionnaire 164/225
10917746.xls - Questionnaire 165/225
10917746.xls - Questionnaire 166/225
10917746.xls - Questionnaire 167/225
10917746.xls - Questionnaire 168/225
10917746.xls - Questionnaire 169/225
10917746.xls - Questionnaire 170/225
10917746.xls - Questionnaire 171/225
10917746.xls - Questionnaire 172/225
10917746.xls - Questionnaire 173/225
10917746.xls - Questionnaire 174/225
10917746.xls - Questionnaire 175/225
10917746.xls - Questionnaire 176/225
10917746.xls - Questionnaire 177/225
10917746.xls - Questionnaire 178/225
10917746.xls - Questionnaire 179/225
10917746.xls - Questionnaire 180/225
10917746.xls - Questionnaire 181/225
10917746.xls - Questionnaire 182/225
10917746.xls - Questionnaire 183/225
10917746.xls - Questionnaire 184/225
10917746.xls - Questionnaire 185/225
10917746.xls - Questionnaire 186/225
10917746.xls - Questionnaire 187/225
10917746.xls - Questionnaire 188/225
10917746.xls - Questionnaire 189/225
10917746.xls - Questionnaire 190/225
10917746.xls - Questionnaire 191/225
10917746.xls - Questionnaire 192/225
10917746.xls - Questionnaire 193/225
10917746.xls - Questionnaire 194/225
10917746.xls - Questionnaire 195/225
10917746.xls - Questionnaire 196/225
10917746.xls - Questionnaire 197/225
10917746.xls - Questionnaire 198/225
10917746.xls - Questionnaire 199/225
10917746.xls - Questionnaire 200/225
10917746.xls - Questionnaire 201/225
10917746.xls - Questionnaire 202/225
10917746.xls - Questionnaire 203/225
10917746.xls - Questionnaire 204/225
10917746.xls - Questionnaire 205/225
10917746.xls - Questionnaire 206/225
10917746.xls - Questionnaire 207/225
10917746.xls - Questionnaire 208/225
10917746.xls - Questionnaire 209/225
10917746.xls - Questionnaire 210/225
10917746.xls - Questionnaire 211/225
10917746.xls - Questionnaire 212/225
10917746.xls - Questionnaire 213/225
10917746.xls - Questionnaire 214/225
10917746.xls - Questionnaire 215/225
10917746.xls - Questionnaire 216/225
10917746.xls - Questionnaire 217/225
10917746.xls - Questionnaire 218/225
10917746.xls - Questionnaire 219/225
10917746.xls - Questionnaire 220/225
10917746.xls - Questionnaire 221/225
10917746.xls - Questionnaire 222/225
10917746.xls - Questionnaire 223/225
10917746.xls - Questionnaire 224/225
10917746.xls - Questionnaire 225/225