Vous êtes sur la page 1sur 16

VERSION

V0.3

Guide Pratique
Rgles de sauvegarde
des Systmes dInformation
de Sant (SIS)
Politique Gnrale de Scurit des Systmes
dInformation de Sant (PGSSI-S) - Juillet 2014

MINISTRE
DES AFFAIRES SOCIALES
ET DE LA SANT

Le prsent document a t labor dans le cadre dun processus collaboratif avec les principaux
acteurs du secteur (institutionnels, utilisateurs et industriels) et le grand public.
La Dlgation la Stratgie des Systmes dInformation de Sant (DSSIS) et lAgence des
Systmes dInformation Partags de Sant (ASIP Sant) remercient lensemble des personnes
et organisations qui ont apport leur contribution son laboration et sa relecture.

ASIP Sant/DSSIS : Guide Pratique - Rgles de sauvegarde des Systmes dInformation de Sant (SIS) Juillet 2014 V0.3

sommaire

1. Introduction......................................................................................................... 5
1.1. Objet du document
1.2. Champ dapplication du document
1.3. Enjeux relatifs la sauvegarde des Systmes dinformation de sant
(SIS)
2. Fondements du guide......................................................................................... 8
3. Principes essentiels de sauvegarde ............................................................ 8
3.1. Principes de scurit de la sauvegarde
3.2. Externalisation de la sauvegarde
4. Utilisation du guide..........................................................................................10
5. Rgles de scurit applicables la sauvegarde.................................10
6. Annexes.................................................................................................................15
6.1. Annexe 1: Glossaire
6.2. Annexe 2: Documents de rfrence

ASIP Sant/DSSIS : Guide Pratique - Rgles de sauvegarde des Systmes dInformation de Sant (SIS) Juillet 2014 V0.3

ASIP Sant/DSSIS : Guide Pratique - Rgles de sauvegarde des Systmes dInformation de Sant (SIS) Juillet 2014 V0.3

1. Introduction
1.1. Objet du document
Le prsent document dfinit les rgles en matire de sauvegarde des Systmes dInformation de
Sant (SIS).
Lobjectif est de garantir la prennit des donnes en rendant possible la rcupration des informations indispensables au fonctionnement oprationnel des SIS la suite dun incident ou dun
sinistre et de rpondre aux demandes de restauration de donnes.
Ce document fait partie des guides pratiques spcifiques de la Politique Gnrale de Scurit des
Systmes dInformation de Sant (PGSSI-S).

Documents chapeaux

Figure 1: Organisation des documents dans le Corpus documentaire de la PGSSI-S

Guides pratiques
organisationnels

Organisation
de la scurit

Documents corps

Principes
fondateurs
de la PGSSI-S

Cadre
juridique
de la sant

Mmento
et PSI
contextuels

Rfrentiels techniques

Identification
des patients

Authentification
des patients

Identification
des acteurs
de sant

Imputabilit

Authentification
des acteurs
de sant

Bibliographie
des bonnes
pratiques
SSI

Guides pratiques
spcifiques

Guides juridiques

Guide pratique
pour les
dispositifs
connects

Guide pour
le recueil du
consentement

Primtre
de lquipe
de soin

Rgles
pour les
interventions
distance

Rgimes
daccs aux
donnes

Rgimes
dhabilitation

...

...

Ce document sadresse:
aux responsables de structure;
aux personnes agissant sous leur responsabilit, en particulier celles impliques dans:
la direction et lexploitation du SIS;
les prestations dexploitation et de maintenance des moyens de sauvegardes;
la mise en uvre de la scurit des SIS;
la gestion de la continuit dactivit de la structure.
Pour des raisons de facilit de lecture, dans la suite du document, le terme responsable du SIS
est utilis pour identifier une personne implique dans la mise en uvre des rgles que celle-ci soit
la personne responsable de la structure ou une personne agissant sous sa responsabilit. Le rle du
responsable du SIS est distinguer de celui de responsable de traitement tel que dfini dans la loi
Informatique et Libert n78-17 du 6janvier 1978 modifie, bien que ces rles puissent tre
tenus par une mme personne.

ASIP Sant/DSSIS : Guide Pratique - Rgles de sauvegarde des Systmes dInformation de Sant (SIS) Juillet 2014 V0.3

1.2. Champ dapplication du document


Dans le cadre de ce guide pratique spcifique, tous les contextes de SIS au sens des Principes
fondateurs de la PGSSI-S sont concerns quels que soient les finalits du SIS (production de
soins, recherche clinique, ), le mode dexercice (PS en exercice libral, ES, ) et les tapes du
cycle de vie de la donne (conservation, change/partage, ).
Le cartouche ci-aprs prsente de manire synthtique le primtre dapplication du document.
Sant
Production
des soins

Fonctions
supports
la
production
de soins

Coordination
des soins

Veille
sanitaire

Etudes et
recherche

Dpistage et
prvention

Mdico
Social

Commentaire

Pour lensemble de ces primtres, le prsent guide dcrit les rgles applicables aux processus de
sauvegarde de donnes de sant ou relevant du secret professionnel. En tant que tel, il participe
aux plans de reprise dactivit (PRA) et aux plans de continuit dactivit (PCA) dont il constitue
la base des rgles oprationnelles concernant la prservation des donnes mtiers et techniques en
cas dincident ainsi que leur restauration.
Ce guide sappuie sur les dfinitions suivantes:
Sauvegarde: opration qui consiste dupliquer et conserver de manire scurise des systmes
informatiques et/ou des donnes contenues dans un systme informatique (ex. donnes mtier,
paramtrage et rglage du systme) afin dassurer leur disponibilit et leur rutilisabilit mme
en cas dincident ou derreur de manipulation portant atteinte leur intgrit. Le terme anglais
backup est aussi largement usit dans le milieu informatique pour dsigner une sauvegarde.
La sauvegarde est asynchrone: elle est distincte des techniques de rplication ou de clusterisation. Celles-ci permettent de raliser des copies en temps rel des plateformes de production, et
assurent une reprise dactivit en cas de dysfonctionnement de la plateforme nominale, dincident
dans le datacenter o elle est hberge ou dindisponibilit du rseau qui permet de latteindre.
Les techniques de rplication traitent en priorit la problmatique de lindisponibilit de la
plateforme nominale, alors que la sauvegarde rpond dans ce contexte particulier la problmatique de perte dintgrit. La sauvegarde participe galement la restauration dune plateforme
oprationnelle en cas de panne de la plateforme nominale sil ny a aucun systme redondant
disponible.
La sauvegarde se distingue de la synchronisation de donnes ralise des fins de fonctionnement en mode dconnect. Dans ce cas, la synchronisation est utilise pour permettre le
fonctionnement dun systme quand il est dconnect du rseau. On peut citer par exemple la
synchronisation des PC nomades, mais aussi des dispositifs tels quune station danesthsie.
En termes de finalit, la notion de sauvegarde doit tre diffrencie de la notion fonctionnelle
darchivage qui nentre pas dans le primtre de ce guide pratique.
Restauration: action consistant utiliser des sauvegardes pour remettre un systme dinformation qui a t altr dans un tat antrieur laltration.
Plan de sauvegarde: principes gnraux de sauvegarde et ensemble des procdures lies la
sauvegarde et la restauration pour un primtre identifi sur lequel ils doivent tre appliqus.
Limites du champ dapplication du guide:
Ce guide pratique ne traite pas des rgles applicables larchivage lectronique.

ASIP Sant/DSSIS : Guide Pratique - Rgles de sauvegarde des Systmes dInformation de Sant (SIS) Juillet 2014 V0.3

1.3. Enjeux relatifs la sauvegarde des Systmes dinformation


de sant (SIS)
La sauvegarde et la capacit de restauration des informations dun SIS constituent un vritable
enjeu pour garantir la continuit des activits et la disponibilit des donnes associes.
La sauvegarde:
est une composante majeure du processus de continuit et de reprise dactivit du SIS la suite
dun incident ou dun sinistre (vol, dgt des eaux, incendie, );
permet la restauration dun tat antrieur du SIS aprs une suppression accidentelle de donnes
(par exemple suite une erreur de saisie dun utilisateur ou dun exploitant), une altration de
donnes ou programmes informatiques (par exemple suite une infection virale, une panne
dun composant du systme de stockage, ou encore un incident environnemental dans un
datacenter).
Garantir la confidentialit des donnes de sauvegarde, et plus encore lorsquil sagit de donnes
de sant caractre personnel, est galement ncessaire.
Cette confidentialit doit tre assure tant en gestion locale quen cas dexternalisation de tout ou
partie du service de sauvegarde (par exemple sauvegardes externalises chez un hbergeur de
donnes, stockage des supports de sauvegardes hors des datacenters, ).
Les prestations dexternalisation des donnes de sauvegarde de donnes de sant caractre
personnel doivent sinscrire dans le cadre lgal de lhbergement de donnes de sant (cf. rfrences
n3 et 4)1.
Le choix des solutions de sauvegardes prsente galement:
des enjeux oprationnels dexploitation du SIS:
les capacits de stockage ncessaires la sauvegarde peuvent varier selon les modes de sauvegardes retenus (par exemple: sauvegarde totale ou partielle, sauvegarde diffrentielle entre
deux sauvegardes afin de limiter la quantit de donnes sauvegardes chaque fois),
les contraintes oprationnelles sur les applications peuvent tre diffrentes selon que la sauvegarde est ralise chaud (applications en fonctionnement pendant le droulement de la
sauvegarde) ou froid (applications arrtes lors du droulement de la sauvegarde),
les dlais acceptables de restauration pour des donnes forte volumtrie peuvent justifier des
techniques spcifiques de sauvegarde;
des enjeux financiers:
le cot de la sauvegarde est fortement dpendant du niveau de service attendu: frquence des
sauvegardes, dure de rtention,
Il est donc important de choisir les solutions de sauvegardes adaptes et de dfinir des processus
associs. Ceci afin de rpondre aux enjeux de scurit mais galement financiers dans un souci
defficience conomique en cohrence avec le besoin oprationnel des acteurs de sant.

1. Larticle L 1111-8 alina 1 du code de la sant publique dispose que Les professionnels de sant ou les tablissements de sant ou la
personne concerne peuvent dposer des donnes de sant caractre personnel, recueillies ou produites l'occasion des activits de
prvention, de diagnostic ou de soins, auprs de personnes physiques ou morales agres cet effet. Cet hbergement de donnes, quel
qu'en soit le support, papier ou informatique, ne peut avoir lieu qu'avec le consentement exprs de la personne concerne. Les conditions
dobtention de cet agrment, le droulement de la procdure, ainsi que le contenu du dossier de demande dagrment sont prcises par le
dcret 2006-6 du 4 janvier 2006 relatif lhbergement de donnes de sant caractre personnel.

ASIP Sant/DSSIS : Guide Pratique - Rgles de sauvegarde des Systmes dInformation de Sant (SIS) Juillet 2014 V0.3

2. Fondements du guide
Le prsent guide propose des dispositions permettant daccompagner la mise en place dun plan de
sauvegarde. Ces dispositions visent une meilleure maitrise des risques SSI pesant sur la prennit
et lintgrit des donnes.
Elles sont issues des bonnes pratiques en matire de SSI ainsi que des documents de rfrence:
les recommandations de la fiche technique sur la sauvegarde (rfrence n1) de lANSSI: Fiche
technique relative la sauvegarde2;
les bonnes pratiques en matire de sauvegarde identifies dans:
la norme ISO/CEI 27002 - Code de bonnes pratiques pour la gestion de la scurit de l'information (rfrence n2),
la norme ISO 22301 Scurit socitale -- Systmes de management de la continuit d'activit Exigences (rfrence n5),
les bonnes pratiques relatives aux sauvegardes de donnes caractre personnel publies par
la CNIL: Guide Mesures pour traiter les risques sur les liberts et la vie prive3,
le guide pour raliser un plan de continuit dactivit (rfrence n6);
les formalits scuritaires, impactant le domaine de la sauvegarde, relatives lhbergement de
donnes de sant caractre personnel:
dcret n2006-6 du 4 janvier 2006 - conditions d'agrment des hbergeurs de donnes de sant
caractre personnel (rfrence n3)4,
rfrentiel de constitution des dossiers de demande d'agrment des hbergeurs de donnes de
sant caractre personnel (ASIP, rfrence n4)5.

3. Principes essentiels de sauvegarde


3.1. Principes de scurit de la sauvegarde
Les principes de scurit de la sauvegarde sont regroups en 4thmatiques:
identification du besoin;
formalisation des procdures;
adoption de pratiques conformes ltat de lart;
restauration et contrle.

3.1.1. Identification du besoin de sauvegarde et de restauration


Afin de dfinir les processus et dispositifs de sauvegarde adapts, il est indispensable de mener une
analyse pralable des besoins de sauvegarde incluant notamment:
la dfinition du primtre mtier concern;
le niveau de service attendu pour la sauvegarde et la restauration (dlai maximum de restauration
des donnes, perte admissible de donnes non sauvegardes entre deux sauvegardes, dure de
conservation des sauvegardes, intgrit des sauvegardes, confidentialit des sauvegardes).
Cette analyse du besoin permet de choisir la solution la plus adapte en termes defficacit et de
cot.

2. http://www.securite-informatique.gouv.fr/gp_article95.html
3. http://www.cnil.fr/fileadmin/documents/Guides_pratiques/CNIL-Guide_securite_avance_Mesures.pdf#page27
4. http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=LEGITEXT000006053120
5. http://esante.gouv.fr/services/referentiels/securite/le-referentiel-de-constitution-des-dossiers-de-demande-d-agrement-des

ASIP Sant/DSSIS : Guide Pratique - Rgles de sauvegarde des Systmes dInformation de Sant (SIS) Juillet 2014 V0.3

3.1.2. Formalisation des procdures de sauvegarde et restauration


Cette tape consiste adopter une mthodologie permettant dlaborer le plan de sauvegarde en:
identifiant exhaustivement les composants logiciels systmes et applicatifs, et les donnes
sauvegarder;
formalisant les procdures de sauvegarde, de restauration et de gestion des supports de
sauvegarde.

3.1.3. Adoption de pratiques conformes ltat de lart


Le prsent document identifie les bonnes pratiques conformes ltat de lart.
Pour tenir compte de la diversit des SIS et identifier rapidement les rgles applicables, des lments
de contexte sont fournis (par exemple serveur, poste de travail).

3.1.4. Restauration et contrles


Il est essentiel davoir lassurance permanente que le dispositif de sauvegarde et restauration permet
de revenir un tat stable antrieur.
cette fin, le document identifie les rgles et les points de contrle qui permettent de sassurer
que les sauvegardes restent utilisables dans le temps, en particulier par des tests de restauration
rguliers.

3.2. Externalisation de la sauvegarde


Au vu de la complexit de la mise en uvre de dispositifs de sauvegardes efficaces par rapport aux
moyens dont dispose le responsable, le recours un prestataire peut tre une solution adapte.
Les avantages offerts par une telle solution sont nombreux:
expertise pour la formalisation des procdures de sauvegarde et de restauration;
garantie de cohrence et dexhaustivit du primtre sauvegard accrue;
conformit aux bonnes pratiques de sauvegardes et de restauration;
contractualisation des engagements;
cot du service optimis avec la possibilit de bnficier de services tendus comme la sauvegarde permanente sous forme de synchronisation de donnes.
Le recours une prestation de sauvegarde externalise doit tre ralis dans des conditions qui
permettent au responsable de rester matre des donnes sauvegardes et de leur protection. Le
prestataire doit sengager sur des contrats de service clairement identifis en particuliers en termes
de primtre dintervention, de dlai maximal de restauration, de frquence de sauvegarde, de
dure de conservation et de restitution des donnes.
Enfin, il convient de rappeler quen cas dexternalisation des sauvegardes de donnes de sant
caractre personnel, le responsable est tenu de faire appel un hbergeur de donnes de sant
caractre personnel agr cet effet, conformment aux dispositions du code de la sant publique
relatives lhbergement de donnes de sant caractre personnel.

ASIP Sant/DSSIS : Guide Pratique - Rgles de sauvegarde des Systmes dInformation de Sant (SIS) Juillet 2014 V0.3

4. Utilisation du guide
Les responsables identifis au chapitre 1.1 sont en charge:
destimer les risques de scurit et de prvoir les mesures permettant de les rduire;
de mettre en uvre les rgles prescrites ou de les faire appliquer par leurs sous-traitants;
destimer et de traiter les risques de scurit induits par la non-application des rgles qui ne sont
pas respectes, le cas chant.
Le traitement dun risque de scurit peut consister adopter une ou plusieurs des options suivantes
vis--vis de ce risque:
le rduire, par des mesures de protection ou de prvention;
laccepter tel quel notamment si le risque est jug mineur par le responsable du SIS;
lviter;
le transfrer vers un tiers dans le cadre dun contrat, tant prcis que cela nexonre pas le
responsable du SIS de toute responsabilit.
Le responsable dresse linventaire des dispositions de scurit qui sont applicables au SIS dont
il a la charge, au regard de lanalyse des risques ralise et en sappuyant sur la liste de rgles du
chapitre suivant. Il prend ensuite en compte les risques induits par les dispositions quil nest pas
en mesure de couvrir.

5. Rgles de scurit applicables


la sauvegarde
Les rgles de scurit prsentes ci-aprs reprsentent les exigences prioritaires respecter dans
le cadre des sauvegardes.
Dans certains cas le responsable du SIS a recours un hbergeur de donnes de sant caractre
personnel pour lexcution de rgles inhrentes au service de sauvegarde. Les rgles dont lexcution peut tre confie un prestataire sont identifies dans tableau ci-aprs par la colonne recours
un prestataire.
N

Rgle

Recours
un
prestataire

Rgles dorganisation
[O1]

Seul le personnel ou les socits dsignes par le responsable du SIS


peuvent intervenir sur les processus de sauvegarde et de restauration
des applications et des donnes.

[O2]

Lorsque cela est permis selon la charte utilisateur inhrente


ltablissement ou justifi auprs de ltablissement de sant,
les utilisateurs du SIS sont autoriss effectuer, sous leur propre
responsabilit, des sauvegardes et restaurations des donnes de leur
poste de travail dans le respect du prsent guide, de la PSSI et de la
charte informatique de la structure mettant le SIS leur disposition.

Plan de sauvegarde
[P1]

10

Toute mise en production dun nouveau systme, dune nouvelle


application ou espace de donnes doit faire lobjet dune rflexion
pralable sur sa sauvegarde et dun ajout au plan de sauvegarde, valid
par le responsable du SIS.

ASIP Sant/DSSIS : Guide Pratique - Rgles de sauvegarde des Systmes dInformation de Sant (SIS) Juillet 2014 V0.3

N
[P2]

Rgle

Recours
un
prestataire

Le plan de sauvegarde doit identifier les besoins oprationnels mtiers


et dinfrastructure de sauvegarde et de restauration au minimum sur
lespoints suivants:
dfinition du primtre (systmes, applications, donnes techniques,
donnes de configuration, donnes mtiers, documentation)
sauvegarder;
dfinition du degr de confidentialit des sauvegardes;
dure maximale admissible de restauration des donnes (DMARD)
qui correspond au temps entre la demande de restauration et
larestauration effective des donnes6;
perte de donnes maximale admissible (PDMA) qui correspond au
laps de temps maximal et admissible entre deux sauvegardes (perte
desdonnes modifies pendant cette dure);
dure de conservation maximale des sauvegardes.
Remarque: la conservation des sauvegardes sur des longues priodes,
au-del de 2 ans, ncessite des prcautions pour permettre une
restauration en cas de besoin: rgnration des sauvegardes pour
saffranchir de lobsolescence des supports et du matriel de sauvegarde,
et le cas chant conservation de lenvironnement matriel et logiciel.

[P3]

Le plan de sauvegarde doit identifier, en conformit avec le primtre


de sauvegarde dfini ([P2]), lensemble des composants informatiques
du SIS inclure dans les processus de sauvegardes (ex. donnes, bases
de donnes, applications et systme dexploitation des serveurs,
desmatriels mdico-techniques, des quipements rseaux, serveurs,
baies de stockage, serveurs de fichiers et postes de travail). Le plan
de sauvegarde doit prendre en compte les liens entre les composants
afin dassurer la synchronisation et la cohrence des donnes lors
dessauvegardes et restaurations, en particulier lors des montes
de versions de logiciel loccasion desquelles il est important de
sauvegarder dela version prcdente du logiciel afin de sassurer du bon
accs aux donnes en cas de restauration. Cette prise en compte peut
notamment tre ralise par la sauvegarde de briques dinfrastructure
compltes ventuellement associe des plans de virtualisation du SI.

[P4]

Pour chaque composant informatique identifi, le plan de sauvegarde


dcrit les procdures de sauvegardes mettre en uvre:
type de sauvegarde: sauvegarde complte, sauvegarde partielle,
sauvegarde diffrentielle, sauvegarde incrmentale;
priodicit de la sauvegarde (journalire, hebdomadaire, mensuelle),
priodicit de rotation des sauvegardes (exemple pour un SIS:
sauvegarde diffrentielle en semaine, sauvegarde complte le
weekend, );
contraintes de sauvegarde: sauvegarde chaud, sauvegarde froid,
dfinition de la plage horaire de sauvegarde, ordonnancement
dessauvegardes notamment entre les composants ayant des liens
entre eux

[P5]

Le plan de sauvegarde doit identifier, pour chaque composant


informatique, les procdures et les pr-requis la restauration.
Les pr-requis incluent les points suivants:
environnement de restauration (rseau, matriel de sauvegarde,
serveur de restauration, ..);
caractristiques des composants informatiques du matriel cible de la
restauration;
configurations logicielles (systme dexploitation, applications, ).
Les procdures de restauration formalisent les points suivants:
diagnostic de la perte de donnes et dtermination des donnes
rcuprer en fonction des donnes perdues et des sauvegardes
disponibles;
mode de mise en uvre de la rcupration de donnes;
modalits dinformation des utilisateurs.

6. Dans le cadre des plans de continuit et des plans de reprise dactivit, cette notion est intgre dans le dlai dindisponibilit maximale
attendu (DIMA) qui correspond au temps entre le dbut de lindisponibilit et la restauration effective, cest--dire la DMARD laquelle
sajoute la dure entre le dbut dune indisponibilit de donnes et sa dtection ainsi que le dlai entre la dtection de lindisponibilit et la
demande de restauration des donnes.

11

ASIP Sant/DSSIS : Guide Pratique - Rgles de sauvegarde des Systmes dInformation de Sant (SIS) Juillet 2014 V0.3

Rgle

[P6]

Le plan de sauvegarde doit prvoir des tests des dispositions mises


enuvre pour assurer la sauvegarde. En pratique, les rgles techniques
concernant les sauvegardes, leur frquence, leurs restaurations et
lascurit associe (rgles [T1] [T16] et rgles [R1] [R4]) sont tester
rgulirement.
Une frquence indicative dune campagne de test annuelle est
engnral recommande.

Recours
un
prestataire

Exigences techniques de sauvegarde


Exigences techniques de sauvegarde: rgles spcifiques aux serveurs
[T1]

Une sauvegarde complte doit tre effectue avant chaque


modification majeure dun composant matriel ou logiciel (systme
ou application) et avant chaque changement majeur de configuration.
Une sauvegarde complte doit tre galement effectue aprs
lamodification si elle nest pas dj prvue dans le plan de sauvegarde.

[T2]

Pour chaque serveur de production, lensemble du paramtrage


des systmes dexploitation et des applications (comptes et droits
utilisateurs, paramtres mtier, ) doit tre sauvegard selon les
besoins de disponibilit dfinis par les responsables de traitement une
frquence minimum dtermine en fonction des besoins et contraintes.

[T3]

titre indicatif, une sauvegarde quotidienne est recommande pour


cetype dlments.

[T4]

Pour chaque serveur de production, les diffrentes versions


desprogrammes (systmes, bases de donnes et applications)
doivent tre sauvegardes et les supports conservs, tant que les
donnes delapplication sont susceptibles dtre restaures. En effet,
sidesdonnes un peu anciennes sont restaures, il est possible quil soit
ncessaire de restaurer ces donnes dans un environnement ncessitant
des versions des logiciels et systmes antrieures aux versions actuelles
de production.

[T5]

Une vrification systmatique des sauvegardes est ralise en fin de


procdure. Pour les bases de donnes, une opration de restauration
blanc peut tre planifie en plus des tests prvus dans le cadre de la rgle
[R2].

[T6]

Lensemble des oprations de sauvegarde est journalis.


Les journaux sont conservs avec les supports de sauvegardes. Ces
derniers comportent au minimum les informations suivantes:
rfrences du dispositif de sauvegarde;
primtre ou composants concerns;
type de sauvegarde;
fichiers sauvegards;
date de la sauvegarde;
statut de la sauvegarde.

[T7]

Dans le cas dune utilisation monoposte, une sauvegarde complte doit


tre effectue avant chaque modification majeure dun composant
matriel ou logiciel (systme ou application) et avant chaque
changement majeur de configuration. Une sauvegarde complte doit
tre galement effectue aprs la modification si elle nest pas dj
prvue dans le plan de sauvegarde.

[T8]

Dans le cas dun exercice individuel ou si la charte utilisateur


deltablissement permet le stockage de donnes mtiers sur les postes
de travail, lensemble des donnes des applications mtier doit tre
sauvegard selon les besoins de disponibilit dfinis par les responsables
de traitement une frquence minimum dtermine en fonction
desbesoins et contraintes.
titre indicatif, une sauvegarde quotidienne est recommande pour
cetype dlments.

[T9]

Une vrification systmatique des sauvegardes est ralise en fin


deprocdure.

Exigences techniques de sauvegarde: rgles spcifiques aux postes de travail

12

ASIP Sant/DSSIS : Guide Pratique - Rgles de sauvegarde des Systmes dInformation de Sant (SIS) Juillet 2014 V0.3

Rgle

Recours
un
prestataire

Exigences techniques de sauvegarde: autres rgles


[T10] Les dispositifs de sauvegarde doivent faire lobjet dun contrat de
maintenance matrielle et logicielle adapt aux besoins de disponibilit
du SIS.

[T11] Chaque support amovible de sauvegarde doit tre identifi et tiquet


avec a minima son identifiant, sa date de mise en premire circulation et
sa date de premption.

[T12] Un jeu de supports correspondant une sauvegarde complte doit


rgulirement tre stock dans un espace protg contre les menaces
physiques et environnementales (vols, saccages, incendies, dgts
des eaux, perturbations magntiques, ) et physiquement loign
descomposants du SIS sauvegards.

Cet loignement physique doit garantir quun mme sinistre ne peut


affecter la fois les composants sauvegards et leur sauvegarde. Selon
le type de structure, le lieu de stockage loign de cette sauvegarde
pourra tre le domicile du responsable du traitement, un site secondaire
de lorganisme, un coffre de banque
titre indicatif, une sauvegarde hebdomadaire stocke de faon
distante est en gnral recommande.
[T13] Le niveau de protection des sauvegardes doit tre au moins identique
celui des lments sauvegards.
En particulier, laccs aux sauvegardes doit faire lobjet dun contrle
et dune restriction daccs aux seuls intervenants autoriss par
leresponsable de traitement que ce soit lors de leur manipulation,
au cours des sauvegardes-restaurations, sur les lieux de stockage
oupendant les oprations de transport.

cet effet, il est possible de mettre en uvre des solutions


dechiffrement des donnes afin de rduire les risques daccs
auxdonnes par des personnes non autorises notamment en cas
de perte de supports de stockage. Il est alors essentiel que les cls
ncessaires au dchiffrement des sauvegardes soient galement
sauvegardes etqueces sauvegardes soient protges et conserves
sparment parune personne autorise.
Le lecteur pourra se rfrer au Rfrentiel Gnral de Scurit (RGS)
quicomporte une annexe dcrivant les exigences relatives la fonction
de scurit confidentialit .
[T14] Tous les supports de sauvegarde doivent, avant leur rutilisation dans
un autre contexte ou leur mise au rebut, faire lobjet dune campagne
systmatique deffacement physique ou, dfaut, tre physiquement
dtruits.

[T15] Si la sauvegarde de donnes sensibles (donnes caractre personnel,


paramtrages dquipement parmi lesquels peuvent se trouver des mots
de passe) est ralise via le rseau, ces donnes ne doivent transiter
par le rseau que sous forme chiffre.

[T16] Quand les besoins mtiers le ncessitent, un mcanisme de contrle


dintgrit des donnes sauvegardes peut tre mis en place.
Si ce contrle dintgrit vise dtecter une ventuelle falsification
des donnes, il est recommand dutiliser la fonction de hachage
SHA-256 pour raliser une empreinte des donnes sauvegardes, voire
une signature lectronique. Ces empreintes devront tre protges
etconserves sparment des sauvegardes.

7. Lien du site de lANSSI : http://www.ssi.gouv.fr/fr/reglementation-ssi/referentiel-general-de-securite/liste-des-documents-constitutifsdu-rgs-v1-0.html

13

ASIP Sant/DSSIS : Guide Pratique - Rgles de sauvegarde des Systmes dInformation de Sant (SIS) Juillet 2014 V0.3

Rgle

Recours
un
prestataire

Restaurations et contrles
[R1]

Tous les supports de sauvegarde doivent faire l'objet d'une surveillance


priodique pour garantir leur efficacit physique, que ce soit
parchantillonnage et test de restauration blanc de sauvegardes
anciennes, ou par suivi des paramtres techniques de bas niveau (erreurs
de lecture, corriges ou non) loccasion doprations de restauration.
En cas d'incident li la qualit du support lors d'une opration
desauvegarde ou de restauration, comme en cas de suspicion de dfaut,
lesupport incrimin doit tre mis au rebut.

[R2]

Des tests de restauration sont mens de manire rgulire.


Unefrquence indicative dun test annuel est en gnral recommande.

[R3]

Chaque opration de restauration doit donner lieu une vrification


du bon fonctionnement du composant restaur et de la scurit.
Enparticulier la gestion des droits daccs aux lments restaurs
doit tre la mme que celle mise en uvre pour les lments initiaux
sauvegards.
Le rsultat de cette vrification est consign dans une fiche
derestauration qui comporte les informations suivantes:
oprateur de sauvegarde;
demandeur de la restauration;
fichiers restaurs;
date de la sauvegarde;
date de restauration;
statut des vrifications effectues.

[R4]

En routine, les exploitants doivent utiliser leur compte nominatif


pour effectuer des oprations de restauration ou de contrle
dessauvegardes.

Toutefois, il peut exister un compte administrateur du systme de


sauvegarde. Ce compte ne doit pas tre un compte par dfaut du
systme. Lidentifiant et le mot de passe durci associs ce compte
doivent tre consigns dans un coffre-fort (physique ou lectronique)
mots de passe. Il ne sera utilis quen cas de force majeure
(indisponibilit des exploitants usuels notamment).
Rgles relatives aux contrats dexternalisation
[E1]

Pr-requis la conclusion du contrat dexternalisation:


le prestataire doit tre agr pour lhbergement de donnes de sant
caractre personnel, pour ce type de service.

Le contrat dexternalisation doit contenir au minimum les clauses listes


larticle R 1111-13 du code de la sant publique.
Il convient galement de rappeler que:
lobjet du contrat doit tre prcis;
les rles et responsabilits des parties doivent tre clairement dfinis;
le fournisseur est tenu deffectuer toutes les activits lies ce type
dintervention au sein de lUnion Europenne ou conformment
aux rgles dfinies par la CNIL pour les interventions hors Union
Europenne8;
le fournisseur garantit la disponibilit, lintgrit, la confidentialit,
lauditabilit, la prennit des donnes notamment travers
descontrats de service formaliss en termes de dure maximale
derestauration, de frquence de sauvegarde et de dure de
conservation. Ce qui se traduira par des mesures techniques et
dorganisation interne;
des mesures de contrle et daudit ralises par le responsable du SIS
peuvent tre prvues dans le contrat.

8. http://www.cnil.fr/vos-obligations/transfert-de-donnees-hors-ue/

14

ASIP Sant/DSSIS : Guide Pratique - Rgles de sauvegarde des Systmes dInformation de Sant (SIS) Juillet 2014 V0.3

6. Annexes
6.1. Annexe 1: Glossaire
Sigle / Acronyme

Signification

ANSSI

Agence Nationale de la Scurit des Systmes dInformation

ASIP Sant

Agence des Systmes dInformation Partags de Sant

DIMA

Dure dIndisponibilit Maximale Admissible

DMARD

Dure Maximale Admissible de Restauration des Donnes

ES

Etablissements de sant

GT

Groupe de Travail

PGSSI-S

Politique Gnrale de Scurit des Systmes dInformation de Sant

PTS

Ple Technique et Scurit

SIS

Systme dInformation de Sant

PDMA

Perte de Donnes Maximale Admissible

6.2. Annexe 2: Documents de rfrence


Rfrence n1: Fiche technique relative la sauvegarde (ANSSI)
Rfrence n2: Norme ISO/CEI 27002 - Code de bonnes pratiques pour la gestion de la scurit
de l'information
Rfrence n3: Dcret n2006-6 du 4 janvier 2006 - conditions d'agrment des hbergeurs de
donnes de sant caractre personnel
Rfrence n4: Rfrentiel de constitution des dossiers de demande d'agrment des hbergeurs
de donnes de sant caractre personnel (ASIP)
Rfrence n5: Norme ISO 22301 Scurit socitale Systmes de management de la continuit d'activit Exigences
Rfrence n6: Guide pour raliser un plan de continuit dactivit (SGDSN)
Rfrence n7: Rfrentiel Gnral de Scurit (ANSSI)
Rfrence n8: Guide dhygine informatique (ANSSI)
Rfrence n9: Corpus documentaire de la PGSSI-S (rfrentiels et guides pratiques)
Rfrence n10: Guide des mesures pour traiter les risques sur les liberts et la vie prive
(CNIL).

15

ASIP Sant/DSSIS : Guide Pratique - Rgles de sauvegarde des Systmes dInformation de Sant (SIS) Juillet 2014 V0.3

Agence des systmes dinformation partags de sant


9, rue Georges Pitard - 75015 Paris
T. 01 58 45 32 50

esante.gouv.fr

RFRENTIELS / PGSSI-S - Guide Pratique - Rgles de sauvegarde des Systmes dInformation de Sant (SIS) Version V0.3 Juil. 2014

MINISTRE
DES AFFAIRES SOCIALES
ET DE LA SANT