Master Gestion des Institutions et

Services de Santé
-
M2 GISS
UE « Accompagner la transition numérique en
santé »
-
Système d’information
Module Protection des données et sécurité (4h)
 Infos pratiques

• Cours en 4 temps
• Pauses
• A définir
 Contenu du cours et organisation

• Cadres légaux et règlementaires en lien avec les SI de santé et l’IT

• Bonnes pratiques SI d’un point de vue utilisateur
• Incident de sécurité : Les réflexes
• Intégrer la sécurité dans un projet SI
 Objectifs pédagogiques

• Cadres légaux et règlementaires en lien avec les systèmes

d’information (SI) de santé
• Fournir une base minimale de connaissances
• Comprendre les principaux textes en lien avec les SI de santé
• Bonnes pratiques SI d’un point de vue utilisateur
• S’acculturer aux bases de sécurité des systèmes d’information
• Maitriser les principales bonnes pratiques pour en diffuser l’usage
• Réflexes
• Fournir des clés majeures en cas d’incident de sécurité sur le SI
• Intégrer la sécurité SI dans un projet
• Apporter une méthode pour intégrer la sécurité dans un projet
• Fournir des éléments pivots sécurité au sein d’un projet
• Cadres légaux et règlementaires en lien avec les SI de santé et l’IT
• Bonnes pratiques SI d’un point de vue utilisateur
• Incident de sécurité : Les réflexes
• Intégrer la sécurité dans un projet SI
 Cadres légaux et règlementaires en lien avec les SI de santé et l’IT

• Agenda
• Socle juridique IT
• Exemples de sanctions
• Zooms sur des situations courantes
• Hébergement Données de Santé
• Référentiel Général de Sécurité
• Règlement Général pour la Protection des Données
 Socle juridique IT 1/3

• Sécurité des SI
• Code des postes et des télécommunications électroniques (CPCE, 1952-2004)
• Loi du 30 septembre 1986 relative à la liberté de communication
• Directive du 8 juin 2000 sur le commerce électronique
• Directive du 12 juillet 2002 « vie privée et communication électronique »
• Loi du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN)
• Directive du 25 novembre 2009 « paquet télécom »
• Ordonnance du 24 aout 2011
• Loi du 13/3/2000 et décret 30/03/2001 art. 3 et 6 (signature électronique)
• Loi GODFRAIN «condamne le délit informatique» Art. 323 (Pénal)
• Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016,
relatif à la protection des personnes physiques à l'égard du traitement des données à
caractère personnel
• Arrêté 4 juillet 2013 Télé services
• Référentiel Général de Sécurité (RGS) du 6 mai 2010
 Socle juridique IT 2/3

• Protection des logiciels et bases de données

• Code de la propriété intellectuelle :
• Articles L122-6, L113-9, L121-7, L332-4 pour les logiciels
• Articles L112-3, L341-1, L332-4 pour les bases de données
• Code civil : article 1382 (« piratage de logiciel »)
• Loi n°94-361 et n°94-102 du 10 mai 1994 « protection de la propriété littéraire et artistique
étendue aux logiciels»
• Décret n° 96-858 du 2 octobre 1996 relatif à l'intéressement de certains fonctionnaires et
agents de l’Etat…ayant participé à la création de logiciels…
• Signature électronique, chiffrement
• Loi n°2000-30 du 13 mars 2000 : droit de la preuve… relative à la signature électronique
• Décret n°2001-272 du 30 mars 2001 : certification DCSSI
• Référentiel Général de sécurité du 6 mai 2010
• Loi n°96-659 du 26 juillet 1996 « utilisation des moyens de chiffrement des données»
• Code civil article 1369-8 (nouveau) « pleine force probante à la lettre recommandée
électronique »
 Socle juridique IT 3/3

• Usurpation d’identité
• Code pénal
• Loi du 14 mars 2011 (LOPPSI)
• Internet
• Hadopi, code de la propriété intellectuelle
• Administrateurs
• Code pénal
• Hébergement de contenu
• Loi du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN)
• Cyber surveillance
• Code pénal
• Code du travail
• Atteinte aux Systèmes de traitement Automatisés de Données
• Code pénal
• Cryptographie
• Loi du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN)
Exemple de sanctions

Infraction Texte Sanction(s) *

DROIT DE LA PROPRIETE INTELLECTUELLE

Sanction civile : Dommages et intérêts

Contrefaçon de droits d’auteur (général) Articles L.335-2 et suivants du Code de la
propriété intellectuelle
3 ans d’emprisonnement + 300 000€

Sanction civile : Dommages et intérêts

Contrefaçon de droits d’auteur : mise à disposition
Article L.335-2-1 du Code de la propriété
de logiciels servant à effectuer des contrefaçons, tels
intellectuelle
que les logiciels « peer to peer »)
3 ans d’emprisonnement + 300 000€

Contrefaçon de marque Article L.716-1 du Code de la propriété

Sanction civile : Dommages et intérêts
intellectuelle

Sanction pénale : 3 ans d’emprisonnement

Article L.716-10 du Code de la propriété
+ 300 000€
intellectuelle
Exemple de sanctions DROIT DES NOUVELLES TECHNOLOGIES

Violation du secret des

Sanction civile : Dommages et
correspondances papier ou par voie
intérêts
de télécommunication de mauvaise
foi (ouvrir, supprimer, retarder, Article 226-15 du Code pénal
détourner des correspondances, en
1 an d’emprisonnement +
prendre connaissance, utiliser,
45 000€
divulguer ou intercepter)

Atteinte à la vie privée (en captant,

enregistrant, transmettant, Sanction civile : Dommages et
conservant, portant à la intérêts
connaissance du public une image
Article 226-1 du Code pénal
d'une personne se trouvant dans un
lieu privé ou une parole prononcées 1 an d’emprisonnement +
à titre privé ou confidentiel sans son 45 000€
consentement)

Usurpation d’identité en ligne d’un

Sanction civile : Dommages et
tiers ou usage d’une ou plusieurs
intérêts
données de toute nature permettant
de l’identifier en vue de troubler sa Article 226-4-1 du Code pénal
tranquillité ou celle d’autrui, ou de
1 an d’emprisonnement +
porter atteinte à son honneur ou à
15 000€
sa considération

Sanction civile : Dommages et

intérêts
Accès frauduleux à un système de
traitement automatisé de données Article 323-1 du Code pénal

2 ans d’emprisonnement + 60
000 €
Exemple de sanctions DROIT DES NOUVELLES TECHNOLOGIES
Suppression ou modification
frauduleuse de données ou
altération du fonctionnement d’un
système de traitement automatisé
Atteinte aux droits du producteur
d’une base de données
Contenus à connotation
pédopornographique :
− Diffusion, fixation,
enregistrement ou
transmission de l'image ou
représentation d'un mineur
− Diffusion de l'image ou de la
représentation du mineur à
destination d'un public non
déterminé, un réseau de
télécommunications
Contenus négationnistes ou incitatifs
à la haine raciale
Sanction civile : Dommages et
intérêts
Articles 323-2 et 323-3 du
Code pénal
3 ans d’emprisonnement + 100
000 €
Sanction civile : Dommages et
intérêts
Article L.343-4 du Code de la
propriété intellectuelle 3 ans d’emprisonnement +
300 000€
Sanction civile : Dommages et
intérêts
5 ans d’emprisonnement +
Article 227-23 du Code pénal 75 000 €
7 ans + 100 000€
Sanction civile : Dommages et
intérêts
Article 24 et 24 bis de la loi du
29 juillet 1881
5 ans + 45 000€
 Zooms juridiques Technologies de l’Information (IT)

• Communications électroniques
• Conservations des traces
• Atteintes aux traitements automatisés de données
• Cryptologie
• Signature électronique
• Archivage électronique
• Contrôle des salariés
• Charte informatique
• Administrateurs
• Recommandations « site Web »
• Hébergement de données de santé
• Référentiel Général de Sécurité
• Informatique et libertés, RGPD (Règlement Général pour la Protection des Données)
 Contrôle des salariés

• Aucun texte de portée générale n’impose à l’employeur de contrôler ses

salariés
• Mais le contrôle est un droit (y compris en télétravail)
• Pendant le temps de travail !
• Prérogatives de l’employeur : pouvoir de direction, pouvoir disciplinaire, obligation
générale de sécurité
• Ne dispense pas de respecter la loi !
• Code du travail :
• Nécessité de porter à la connaissance des salariés tout dispositif collectant des informations,
le comité d’entreprise est informé et consulté
• Informer (charte) par écrit et conserver une preuve
• Droit à la vie privée
• Code civil, art.9
• Code du travail : justification en lien avec la nature de la tâche et proportionné au but
recherché
 Contrôle des salariés

• Cas pratiques
• Messagerie
• Réputée professionnelle
• Mais sphère personnelle préservée …
• Mail « tagés » personnel (arrêté dit « nikon »)
• …Sauf si un juge le demande
• Tout mail non marqué personnel peut être lu par l’employeur mais ne peut être utilisé pour
le sanctionner si le mail s’avère relever de sa vie privée

• Navigation web
• Réputée professionnelle
• Surveillance possible mais formalités préalables (information, consultation CE, charte
informatique, …)
 Charte informatique

• Fixe les principes généraux et permanents relatifs aux usages du SI

et à la sécurité
• Interdits les mauvais usages
• Fixe les règles concernant l’usage des outils à titre privé
• Informe sur les moyens de contrôle
• Sensibilise les salariés aux exigences de sécurité
• Doit être annexée au règlement intérieur pour être opposable
• Prendre les avis des comité d’entreprise et délégués du personnel
• L’afficher
• Déposer la charte au greffe des prud’hommes
 Charte informatique

• Sommaire (exemple)
• Objet du document
• Domaine d’applicabilité
• Définitions
• Accès au Système d’information
• Utilisation du Système d’information
• Outils de contrôles mis en place
• Protection du système d’information
• Médias sociaux, Forums de discussion, Blogs, Sites internet
• Sécurité des données
• Données à caractère personnel de l’Utilisateur
• Non-respect de la charte
• Dérogations aux règles définies dans la présente Charte
• Information des Utilisateurs
 Administrateurs

• Code pénal art.226-13 !

• ...révélation d’une information à caractère secret par des personnes
dépositaires, soit par état, soit par profession … 1 an d’emprisonnement et
15 000€ d’amende
• S’applique aux professions règlementées mais également aux
salariés
• Informatique et libertés (RGPD) : les administrateurs ne sont pas des
destinataires
• Formaliser une charte spécifique et la rendre opposable
individuellement (signature)
 Recommandations « site Web »

• CGU (Conditions générales d’utilisation)

• Conformité RGPD
• Gestion des cookies
• Mentions légales
• Mentions Informatiques et Libertés
• Et techniquement …
• Pas de protocoles obsolètes
• Pas interface d’administration directement accessible
 Hébergement de données de santé

Héberger des données de santé en toute sécurité

Les données personnelles de santé sont des données sensibles.

Leur accès est encadré par la loi pour protéger les droits des personnes.
L’hébergement de ces données doit en conséquence être réalisé dans des conditions de sécurité adaptées à leur criticité.

La règlementation définit les modalités et les conditions attendues.

"Toute personne physique ou morale qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de
diagnostic, de soins ou de suivi médico-social pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil de ces
données ou pour le compte du patient lui-même, doit être agréée ou certifiée à cet effet."

L.1111-8 du code de la santé publique, modifié par la loi n° 2016-41 du 26 janvier 2016
Les hébergeurs de données de santé sur support numérique (en dehors des services d’archivage électronique) doivent être certifiés.
Cette certification remplace l’agrément aujourd’hui délivré par le ministère de la Santé dans les conditions définies par le décret n°2006-6 du 4
janvier 2006.

Le décret 2018-137 du 26 février 2018 définit la procédure de certification et organise la transition entre l’agrément et la certification. L’arrêté
portant approbation des référentiels d'accréditation et de certification publié le 29 juin 2018 permet l’ouverture du schéma d'accréditation HDS.
Les hébergeurs pourront déposer une demande de certificat HDS auprès de tout organisme de certification ayant réalisé les démarches
d’accréditation auprès du COFRAC.
 Hébergement de données de santé

• Synthèse

• Cadre complexe pour la recherche

• Données de production de soin
• Ou pas
 Référentiel Général de Sécurité (RGS)

• Cadre légal
• Loi 2004-1343 du 9/12/2004 art.3 sur la sécurité des informations échangées
par voie électronique
• Ordonnance 2005-1516 du 8/12/2005 relatives aux échanges entres usagers
et autorités administratives et entre autorités administratives
• Décret RGS 2010-112 du 2/2/2010
• RGS V1 du 6 mai 2010
• RGS V2 du 13 juin 2014
• Mise en conformité des SIs concernés
• Concerne les SI orientés télé services
• Entre usagers/autorités administratives ou entre autorités administratives
 Référentiel Général de Sécurité (RGS)

• 5 étapes
• Réalisation d’une analyse de risques
• Définition d’objectifs de sécurité
• Choix et mise en œuvre des mesures appropriées
• Homologation de sécurité du système d’information
• Recommandation sur le site de l’ANSSI (guide d’homologation)
• Suivi opérationnel de la sécurité
• Règles SI spécifiques
• Cryptographie > certificats RGS (personnes et serveurs) validés par l’état
• Horodatage
• Accusé de réception
• Produits er prestataires de services de confiance
 Informatique et libertés,
RGPD (Règlement Général pour la Protection des Données)

• Cadre
• Directive Union Européenne
• Pas de transposition en droit national, s’applique directement
• Remplace la loi informatique et libertés
• Deux cadres :
• Union Européenne (RGPD - DIRECTIVE EUROPEENE 2016_679)
• Déclinaison nationale
• Autorité nationale : la CNIL
 Informatique et libertés,
RGPD (Règlement Général pour la Protection des Données)

• Domaine d’application
et territorialité
 Informatique et libertés,
RGPD (Règlement Général pour la Protection des Données) :

• Définitions
• Données à caractère personnel
• Toute information relative a une personne physique identifiée ou qui peut être identifiées
directement ou indirectement
• Traitement de données à caractère personnel
• Toute opération ou sous ensemble d’opération portant sur de telles données
• Finalité
• Objectif principal de l'utilisation de données personnelles
• Personne concernée
• Personne à laquelle se rapporte la traitement
• Destinataire (des données)
• Personne habilitée à recevoir communication des données
• Responsable de traitement
• Celui qui définit la finalité et les moyens
• Sous traitant
• Agit sur ordre du responsable de traitement, traite des données pour le compte du responsable
de traitement
 Informatique et libertés,
RGPD (Règlement Général pour la Protection des Données)

• Définitions
• Registre
• Liste de tous les traitement de l’organisme
• DPO
• « Data Protection Officer » > Délégué à la protection des données
• Obligatoire pour une administration
• Base juridique
• Base sur laquelle repose le traitement
• L’analyse d’impact relative à la vie privée (PIA/EIVP)
• Analyse de risque sous l’angle vie privée vu d’une personne concernée par le traitement
• Obligation de sécurité
• De la responsabilité du responsable de traitement
 Informatique et libertés,
RGPD (Règlement Général pour la Protection des Données)

• Les principes applicables aux traitements de données à caractère

personnel
 Informatique et libertés,
RGPD (Règlement Général pour la Protection des Données)

• Sanctions
 Informatique et libertés,
RGPD (Règlement Général pour la Protection des Données)

• L’analyse d’impact relative à la protection des données (AIPD)

• Aussi PIA (Private Impact Assessment) ou EIVP (Evaluation d’Impact sur la Vie
Privée)
• L’AIPD est un outil important pour la responsabilisation des organismes
• construire des traitements de données respectueux de la vie privée
• Démontrer leur conformité au RGPD
• Se décompose en trois parties :
• Une description détaillée du traitement mis en œuvre, comprenant tant les aspects
techniques qu’opérationnels
• L’évaluation, de nature plus juridique, de la nécessité et de la proportionnalité
concernant les principes et droits fondamentaux (finalité, données et durées de
conservation, information et droits des personnes, etc.) non négociables, qui sont
fixés par la loi et doivent être respectés, quels que soient les risques ;
• L’étude, de nature plus technique, des risques sur la sécurité des
données (confidentialité, intégrité et disponibilité) ainsi que leurs impacts potentiels
sur la vie privée, qui permet de déterminer les mesures techniques et
organisationnelles nécessaires pour protéger les données.
 Informatique et libertés,
RGPD (Règlement Général pour la Protection des Données)

• AIPD Synthèse
Méthode d’évaluation des risques:
Suivi du guide de la CNIL: Gérer les risques sur les libertés
et la vie privée. Edition 2012.

Dans le domaine information et liberté, seuls les risques

que les traitements font peser sur la vie privée des
personnes concernées sont considérés.

Si une personne non autorisée accédait aux données à caractère personnel, quel serait
l’importance des dommages correspondant à l’ensemble des impacts potentiels ?
 Informatique et libertés,
RGPD (Règlement Général pour la Protection des Données)

• Elle est obligatoire pour les traitements susceptibles d’engendrer des

risques élevés : AIPD cadre RGPD

Le traitement concerne t-il un des domaines suivants (cadre RGPD) ?

Si oui, veuillez préciser le(s) cas concerné(s) :
oui non Traitements de données sensibles
oui non Surveillance systématique ou profilage des individus
oui non Traitement de données automatisé ou non à grande échelle
oui non Données de personnes concernées vulnérables
oui non Fichiers de données ayant été jumelé ou combinés
oui non Évaluation ou notation (incluant profiling et prévision)
oui non Prise de décision automatisée produisant des effets juridiques à l'égard d'une personne physique
oui non Utilisation innovante ou application de solutions technologiques ou organisationnelles
oui non Transfert de données avec des pays en dehors de l’Union Européenne
oui non Traitement empêchant l'exercice d'un droit
 Informatique et libertés,
RGPD (Règlement Général pour la Protection des Données)

• Elle est obligatoire pour les traitements susceptibles d’engendrer des

risques élevés : AIPD cadre CNIL (déclinaison de l’autorité nationale)
Le traitement concerne t-il un des domaines suivants (cadre CNIL) ?
Si oui, veuillez préciser le(s) cas concerné(s) :
Traitements liés à la prise en charge en santé : DPI, algorythmes, vigilances, gestion de risques, télémedecine,
oui non gestion labo et pharmacie, …
oui non Traitement ou recherche sur des données génétiques
oui non Etablissement de profils de personnes à des fin de gestion de ressources humaines
oui non Surveillance constante de l'activité de salariés
oui non Gestion des alertes et signalements en matière sociale, sanitaire ou professionnelle
oui non Profilage de personnes pouvant aboutir à l'exclusion/suspension d'un contrat
oui non Traitement mutualisé de manquements contractuels pouvant aboutir a l'exclusion/suspension d'un contrat
oui non Profilage faisant appel à des données externes
oui non Traitement de données biométriques de personnes vulnérables
oui non Instruction des demandes de logement sociaux
oui non Traitement en lien avec l'accompagnement social ou médico-social
oui non Constitution d'un entrepôt de données de santé ou d'un registre
oui non Traitement de données de géolocalisation à large échelle (Application mobile, base de données, billetique, …)
 Informatique et libertés,
RGPD (Règlement Général pour la Protection des Données)

• AIPD
• Outil de la CNIL:
• https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil
• Démo
• Exemple projet (confidentiel, non diffusable)
• Cadres légaux et règlementaires en lien avec les SI de santé et l’IT
• Bonnes pratiques SI d’un point de vue utilisateur
• Incident de sécurité : Les réflexes
• Intégrer la sécurité dans un projet SI
 Bonnes pratiques SI d’un point de vue utilisateur

• Agenda
• Internet
• Rançongiciel
• Mot de passe
• Usages professionnels, usages personnels
• Hameçonnage
 Internet

• Le sujet : Rien à cacher ?

• https://www.youtube.com/watch?v=djbwzEIv7gE

• https://www.youtube.com/watch?v=_kbVBOQ0J5w

• Analyse
• Hameçonnage
• Logiciels malveillants
• Escroqueries
• Vigilance sur les pièces jointes
• Site de confiance
• L’utilisateur et le cliquer trop vite !
 Internet

• Bonnes pratiques
 Rançongiciel

• Le sujet : ?
 Rançongiciel

• Analyse

• Bonnes
pratiques
 Mot de passe

• Le sujet : vous avez dit complexe ?

• https://www.youtube.com/watch?v=lRqT3PtxA0Q

• Analyse
• https://howsecureismypassword.net/
• (Ne pas utiliser ce lien avec de vrais mots de passe …)

• Bonnes pratiques
 Mot de passe

• A l’aide !
• Méthode phonétique
• Par exemple la phrase « J’ai acheté huit cd pour cent euros cet après midi » deviendra ght8CD%E7am

• Méthode des premières lettres

• Par exemple, la citation « un tiens vaut mieux que deux tu l’auras » donnera 1tvmQ2tl’A

• Méthode de la phrase
• Lepr&nomdemonfr&reestpierre
• Méthode des mots clés
• Garonne_Cormoran_Aviron
 Mot de passe

• « Serious game »
• Alice1987/04/15
• Xh3M|sn&
• K@nstitutionne1
• Qj'M@f&rK0
• Bob:O62278O734
• CygW1n@mel.chu31.fr
• H?cU@f1bv%ccl
 Mot de passe

• « Serious game »
• Alice1987/04/15
• Xh3M|sn&
• K@nstitutionne1
• Qj'M@f&rK0
• Bob:O62278O734
• CygW1n@mel.chu31.fr
• H?cU@f1bv%ccl
 Usages professionnels, usages personnels

• Le sujet
• https://sharepoint.chu-
toulouse.fr/sites/DSIO/SSI/Perimetre_CHU/Acces_restreint/Sensibilisation-
Formation/Cybermalveillance_gouv_fr

• Analyse
• Erreur de destinataires
• Erreur de pièce jointe
• Fuite de base de mots de passe et piratage de comptes
• Divulgation ou compromission d’informations
• Les dangers de la redirection d’emails
 Usages professionnels, usages personnels

• Bonnes pratiques
• Utilisez des mots de passe différents pour tous les services professionnels et personnels auxquels
vous accédez
• Ne mélangez pas votre messagerie professionnelle et personnelle
• Ayez une utilisation responsable d’internet au travail
• N’utilisez pas de services de stockage en ligne personnel à des fins professionnelles
• Faites les mises à jour de sécurité de vos équipements pour ce qui relève de votre responsabilité
• Utilisez une solution de sécurité contre les virus et autres attaques
• N’installez les applications que depuis les sites ou magasins officiels
• Méfiez vous des supports USB
• Évitez les réseaux Wi-Fi publics ou inconnus
 Hameçonnage

• Le sujet
• https://www.youtube.com/watch?v=OmH1oL0O
p6k

• Analyse
• Tromper l’internaute en se faisant passer pour
un tiers de confiance et l’inciter à communiquer
des données personnels ou professionnels
• Mail, SMS, appel téléphonique, document
 Hameçonnage

• Bonnes pratiques
• Cadres légaux et règlementaires en lien avec les SI de santé et l’IT
• Bonnes pratiques SI
• Incident de sécurité : Les réflexes
• Intégrer la sécurité dans un projet SI
 Incident de sécurité : Les réflexes

• Agenda
• Incident de sécurité ?
• Qualification de l’incident
• Réflexes techniques
• Réflexes stratégiques et organisationnels
 Incident de sécurité

• La sécurité de l’information, ce sont 4 critères

• Disponibilité
• Intégrité
• Confidentialité
• Preuve (traçabilité)
• Un incident ?
• Toute atteinte à l’un de ces 4 critères
• Nécessiter d’apprécier l’impact
• Qualification !
 Qualification : exemple

Niveaux de Seuil de gravité

gravité/ Niveau G1 Niveau G2 Niveau G3 Niveau G4 Niveau G5
Axes d’incidence Minime Modérée Elevée Très élevée Catastrophique
ou d’impact

Atteinte à la Perturbations Perturbation limitées Perturbation Désorganisation des Atteinte grave à l’état de
momentanées et dans la délivrance des importante dans la soins ou atteinte limitée santé d’un patient
qualité des soins limitées de soins (retard) délivrance des soins à l’état de santé d’un (décès, invalidité)
l’organisation des soins (report) patient (ré intervention)

Pertes financières Pertes non significatives Pertes significatives Pertes significatives Pertes importantes Pertes insupportables
sur le plan financier à l’appréciation du à l’appréciation du à l’appréciation du à l’appréciation du
comité de pilotage comité de pilotage comité de pilotage comité de pilotage

Engagement de Plainte(s) de patients(s) Plainte(s) de patients(s) Plainte(s) de patients(s) Plainte(s) de patients(s) Plainte(s) de patients(s)
signalant un signalant un signalant un débouchant sur une débouchant sur la
responsabilité dysfonctionnement dysfonctionnement dysfonctionnement sanction disciplinaire à condamnation au civil ou
grave ne débouchant grave débouchant sur l’encontre d’un au pénal d’un
pas sur un recours un recours responsable responsable
d’établissement

Atteinte à l’image Divulgation limitée Altération significative Altération importante Altération très Altération définitive de
d’incidents de l’image de de l’image de importante de l’image l’image de
(patients, l’établissement l’établissement de l’établissement l’établissement
partenaires,
tutelles, …)
 Réflexes techniques

• Utiliser des protocoles sécurisés

• Antivirus mis à jours (serveurs et postes de travail)
• Mise à jours régulières des serveurs et postes de travail (MCS : maintient en condition de sécurité)
• Tenir a jour la documentation du SI (cartographie, configuration)
• Faire et tester ses sauvegardes
• Organiser des revues de droits et d’habilitations
• Mettre en place une politique de mot de passe
• Utiliser des comptes nominatifs, éviter (documenter) les comptes génériques
• S’assurer de la journalisation sur les secteurs a forts enjeux
• Identifier et connaitre sa chaine d’alerte
• Sans moyens spécifiques, pas de terminaux perso (BYOD)
• Inclure un volet sécurité a tous les projets
• Bloc d’accès Internet géré
• Faire des sensibilisation régulières
 Réflexes stratégiques et organisationnels

• Gestion de l’incident
• Chaine d’alerte et de ressources (annuaire, contacts et coordonnées)
• Lien FSSI (Fonctionnaire de Sécurité des SI du Ministère)
• Fiches reflexe (exemple : ne pas éteindre mais débrancher)
• Déclaration
• Portail déclaration ACSS
• Déclaration CNIL si violation des données personnelles
• « Assurance »
• Marché d’assistance SSI/prestataire qualifié (pas l’éditeur) !
• S’assurer ?
• Cadres légaux et règlementaires en lien avec les SI de santé et l’IT
• Bonnes pratiques SI d’un point de vue utilisateur
• Incident de sécurité : Les réflexes
• Intégrer la sécurité dans un projet SI
 La sécurité dans un projet SI

• Agenda
• La sécurité dans un projet : pourquoi faire ?
• Méthodologie : approche par les risques
• Méthodologie à minima
 La sécurité dans un projet SI : pourquoi faire ?

• Un projet doit comporter un dossier sécurité intégré à la vie du projet

• Tout projet impactant le domaine informationnel de l’établissement, la sécurité de
l’information doit être prise en compte de plusieurs points de vue :
• La sécurité de l'information dans le traitement envisagé (conception et développements)
• La sécurité de fonctionnement ou la protection de la continuité de l'activité de l’établissement
• La sécurité posera/préconisera des :
• choix ou orientations d'architecture,
• solutions techniques dans le cadre de cette architecture
• organisations (exemples : analyses de modes dégradés, modes de fonctionnement en
présence d'anomalies, …).
• Ces choix et orientions sont essentiels et doivent être effectués lors de la phase
de conception contribuant ainsi à la réussite du projet.
• Ils permettent également de prendre en compte l’environnement du projet dans le contexte de
l’établissement et de ses orientations.
Méthodologie : approche par les risques
Volet Objet de la fiche Commentaires
Volet 1 : Initialisation et suivi de la sécurité au sein du projet
Identifie le projet cible en production
Rappel du contexte du projet et identification des enjeux
Identification du contexte juridique et règlementaire Précise les éléments identifiés le cadre, le périmètre
applicable dans le cadre du projet d’application et les contraintes
Suivi des tâches relatives à la sécurité au sein projet
Volet 2 : Protection du système cible en production
Analyse de risques du système cible Identification et appréciation des risques
Identification et classification des composantes du système Examen des composantes du système selon les critères
cible de sécurité (Confidentialité, Intégrité, Disponibilité,
Preuve)
Moyens de sécurité à mettre en œuvre pour le système cible
Plan de mise en œuvre des solutions de sécurité du système
cible et suivi
Analyse de risques résiduels Ré estimation des risques après application du plan de
mise en œuvre des solutions de sécurité.
Volet 3 : Protection des informations et ressources du projet
Identification et classification des informations et des Examen des composantes du projet selon les critères
ressources du projet de sécurité (Confidentialité, Intégrité, Disponibilité,
Preuve)
Moyens de sécurité à mettre en œuvre pour la protection des
informations et des ressources du projet
Plan de mise en œuvre des solutions de sécurité pour la
protection des informations et des ressources du projet
 Méthodologie à minima > Pour qualifier !

• Identifier le projet cible en production

• Qui va faire quoi ?
• Un simple schéma suffit !
• Identification du contexte juridique, règlementaire et contractuel applicable
dans le cadre du projet
• Cf. chapitre précédent
• HDS, RGPD, RGS, autres (CSP, cadres métiers, certifications, contrats, …)
• Analyse de risques du système cible
• Analyse des risques bruts
• Moyens de sécurité à mettre en œuvre pour le système cible
• Analyse de risques résiduels
• Protection des informations et ressources du projet
• Classification du projet
 Revue des thématiques du cours sur des exemples

On premise (exigences CCTP)/SaaS (exigences contractuelles) On premise Saas Saas Saas Saas Mixte On premise Mixte
Dématérialisation
THEMATIQUE/PROJET Bionettoyage Portail patient Rappel de RDV Site institutionnel Espace numérique IOT Progiciel
de documents
Contrôle des salariés
Charte informatique
Administrateurs
Conditions générales d'utilisation
Mentions Informatique et Liberté
Cookies
Mentions légales
Données a caractère personnel - RGPD
PIA (EIVP)
Hébergement données de santé
Référentiel Général de Sécurité
Contraintes mot de passe
Accès administrateur direct
Antivirus, antimalware
Maintien en condition de sécurité (MAJ)
Sauvegarde
Sauvegarde offline
Journalisation et fichiers logs
Tracabilité, preuve
Signature électronique
Audit, test de pénétration
Revue de code
 Revue des thématiques du cours sur des exemples : correction

• Correction Macroscopique ! !
On premise (exigences CCTP)/SaaS (exigences contractuelles) On premise Saas Saas Saas Saas Mixte On premise Mixte
Dématérialisation
THEMATIQUE/PROJET Bionettoyage Portail patient Rappel de RDV Site institutionnel Espace numérique IOT Progiciel
de documents
Contrôle des salariés X
Charte informatique X
Administrateurs X X X X X X
Conditions générales d'utilisation X si site X X
Mentions Informatique et Liberté X si site X X
Cookies X si site X X
Mentions légales X si site X X
Données a caractère personnel - RGPD X X X X X X
PIA (EIVP) X X O/X X X
Hébergement données de santé X X X X
selon
Référentiel Général de Sécurité X si site fonctionnalités X
Contraintes mot de passe X X X X X
Accès administrateur direct X X X X X X
Antivirus, antimalware X X X X X X
Maintien en condition de sécurité (MAJ) X X X X X X
Sauvegarde X X X X X
Sauvegarde offline X X X
Journalisation et fichiers logs X X X X X
Tracabilité, preuve X X X X X
Signature électronique O/X O/X
Audit, test de pénétration X X X X X
Revue de code Si App Si App Si App Si App Si App
 Etude de cas

• Selon TIMING
• Un projet au choix (Live )

• Identifier le projet cible en production

• Qui va faire quoi ?
• Un simple schéma suffit !
• Identification du contexte juridique, règlementaire et contractuel applicable dans le
cadre du projet
• Cf. chapitre précédent
• HDS, RGPD, RGS, autres (CSP, cadres métiers, certifications, contrats, …)
• Analyse de risques du système cible
• Analyse des risques bruts
• Moyens de sécurité à mettre en œuvre pour le système cible
• Analyse de risques résiduels
• Protection des informations et ressources du projet
• Classification du projet
Merci de votre attention
• ANNEXES
• Annexe 1 : atelier
• Annexe 2 : introduction au cours
• Annexe 1
• Atelier (1 slide)
 Propositions d’activités

• Qualification conformité
• exercice projet RSSI simule la MOA
• Faire une fiche de traitement
• Faire un PIA
• Cas projet
• Remplir une annexe cctp ?
• Faire une étude cas
 Etude de cas

• Déroulé pragmatique de la méthodologie sur un cas

• Le projet TBD
• Fiche FSP (étude de cas avec la fiche ou pas ?)
• Etude
• FSP complète
• A minima (qualification)
• Identifie le projet cible en production
• Schéma fonctionnel
• Annexe cctp
• Identification du contexte juridique, règlementaire et contractuel applicable dans le cadre du projet
• Cf. chapitre précédent
• HDS, RGPD, RGS, autres (CSP, cadres métiers, certifications, contrats, …)
• Analyse de risques du système cible
• Analyse des risques bruts
• Moyens de sécurité à mettre en œuvre pour le système cible
• Analyse de risques résiduels
• Protection des informations et ressources du projet
• Classification du projet
• Annexe 2
• Introduction au cours (12 slides)
 * Protection des données et sécurité

• Une prise de conscience NECESSAIRE !

• Contexte global
• Choc des cultures et sécurité
• Réalités autour de la donnée
• Réalités de la Cyber Sécurité
• Les géants du numérique
• Zoom santé et NTIC
• Contexte
• Illustrations
• Incidents de sécurité
• Quels Enjeux ?
• Thèmes du module « Protection des données et sécurité »
 * Contexte global : Transformation numérique

• Révolution certaine en marche

• Dans les usages, les comportements, les métiers, ...

• Nouvelles dimensions
• L’information est le nerf de la guerre, prédation informationnelle
• Réalités (commerciales) des « BigDATA » et de l‘ « IA »
• Temps et espaces : bulles informationnelles

• Transformation perçue (à tort) comme une « ouverture vers l'extérieur » pour le monde
professionnel … mais déjà à l'heure de la "Disruption numérique"
• Après les « GAFA », les nouveaux maîtres du monde … les « NATU » : Netflix, Airbnb, Tesla, et Uber
• Nouveau modèle (valeur créée par l’usage, basée sur la donnée),
• Transformation métiers pour les « Y »

• Des objets connectés …

• Cadre règlementaires (Directive NIS, RGPD, …)

 * Choc des cultures et sécurité

• Choc de 3 cultures à l'échelle de la planète

• Sécurité,
• Liberté,
• Intérêt général

• Des besoins qui évoluent dans les SIs de santé

• Du simple rempart …
• Au château fort de Vauban …
• A l'aéroport ultramoderne

• Dans une culture ... de confiance ?

 * Réalités autour de la donnée

• Le Visible et l'invisible
• Surface web, Deep web et Dark web
• > en 2020, estimation 4%/96%/?

• Un constat : Valeur de la données

• Ex : en santé (dossier : 70 USD)
 * Réalités de la Cybersécurité

• Raisonnablement, on ne parle que de « Niveau de protection »

• Ransomwares/Cryptolockers "markétés " mais pas que …

• "Audits intéressés", fraudes et escroqueries, vols de données, déni de service,
phishing, piratage,
• ... souvent un seul objectif : € $ !

• Problématiques majeures
• Vulnérabilités des applications,
• Mobilité,
• et ... l‘Utilisateur

• https://cybermap.kaspersky.com/
 * Les géants du numérique

• Positionnement business sur les données avec de formidables

moyens et outils
• Big Data
• IA
• et déjà des offres, y compris en santé !

• Outils gratuits
• « Utilitaires », logiciels, Cloud,
• ... et IOT (objets connecté)

• Quelle souveraineté sur les données …

• … de nos patients ?
 * Zoom santé et NTIC

• S'interroger sur les 2 enjeux majeurs que sont

• Intégrité des données
• Confiance des usagers

• S'interroger sur le "Temps Santé" et le "Temps numérique"

• S'interroger sur la culture native de la confidentialité en santé

• S'interroger sur la principale vulnérabilité : la diversité des

équipements
• Mobiles, bio médicaux, médicaux, etc ...,
• Chirurgien augmenté ou virtuel , implant cochléaire piloté, …
 * Zoom santé et NTIC : Le contexte santé

• Les frontières complexes du domaine de l‘Information

• La société, les communautés, les systèmes, la sécurité … de l’information
• Sphères publique/privée/professionnelle

• Les réalités métiers

• Des données/informations à caractère personnel et sensibles
• Informations médicales, sensibilité des données, « droit d’en connaître »
• Ouverture des systèmes d’information
• Accès à tout partout tout le temps,
• l’Hôpital étendue, la e-Santé, …
• Organisations complexes et pratiques au jour le jour du SI
• Contraintes/contournements techniques et fonctionnels
• La confusion des outils : non ce n’est pas comme à la maison !
• Domaine public
• Le regard du public, des patients !
* Zoom santé et NTIC: Illustrations
 * Zoom santé et NTIC : Des incidents de sécurité

• Audits « Anonymous » suite attentat Charlie Hebdo

• Attaques Crypto/ Rançongiciels

• Fuites d’information / CHU LEAKS

• Escroqueries
• Au président
• SMS/Lien/téléphone surtaxés
 * Zoom santé et NTIC : Quels enjeux ?

• Un des fondamentaux …
• Acculturation nécessaire des utilisateurs

• Approche par le risque et sa gestion

• ... dans chaque projet,
• ... idéalement dans chaque action

• Idéalement… transformer des contraintes en reflexes !

• …notamment pour les données à caractère personnel sensibles

 * Le module Protection et sécurité

• Objectif : Donner des clés générales mais indispensables !

• Cadres légaux et règlementaires

• IT, RGPD
• Bonnes pratiques
• « Back to basics »
• Réflexes
• SI, Incident, Assurance