Académique Documents
Professionnel Documents
Culture Documents
Services de Santé
-
M2 GISS
UE « Accompagner la transition numérique en
santé »
-
Système d’information
Module Protection des données et sécurité (4h)
Infos pratiques
• Cours en 4 temps
• Pauses
• A définir
Contenu du cours et organisation
• Agenda
• Socle juridique IT
• Exemples de sanctions
• Zooms sur des situations courantes
• Hébergement Données de Santé
• Référentiel Général de Sécurité
• Règlement Général pour la Protection des Données
Socle juridique IT 1/3
• Sécurité des SI
• Code des postes et des télécommunications électroniques (CPCE, 1952-2004)
• Loi du 30 septembre 1986 relative à la liberté de communication
• Directive du 8 juin 2000 sur le commerce électronique
• Directive du 12 juillet 2002 « vie privée et communication électronique »
• Loi du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN)
• Directive du 25 novembre 2009 « paquet télécom »
• Ordonnance du 24 aout 2011
• Loi du 13/3/2000 et décret 30/03/2001 art. 3 et 6 (signature électronique)
• Loi GODFRAIN «condamne le délit informatique» Art. 323 (Pénal)
• Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016,
relatif à la protection des personnes physiques à l'égard du traitement des données à
caractère personnel
• Arrêté 4 juillet 2013 Télé services
• Référentiel Général de Sécurité (RGS) du 6 mai 2010
Socle juridique IT 2/3
• Usurpation d’identité
• Code pénal
• Loi du 14 mars 2011 (LOPPSI)
• Internet
• Hadopi, code de la propriété intellectuelle
• Administrateurs
• Code pénal
• Hébergement de contenu
• Loi du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN)
• Cyber surveillance
• Code pénal
• Code du travail
• Atteinte aux Systèmes de traitement Automatisés de Données
• Code pénal
• Cryptographie
• Loi du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN)
Exemple de sanctions
2 ans d’emprisonnement + 60
000 €
Exemple de sanctions DROIT DES NOUVELLES TECHNOLOGIES
Contenus à connotation
pédopornographique :
Sanction civile : Dommages et
intérêts
− Diffusion, fixation,
enregistrement ou
transmission de l'image ou 5 ans d’emprisonnement +
représentation d'un mineur Article 227-23 du Code pénal 75 000 €
− Diffusion de l'image ou de la
représentation du mineur à
destination d'un public non 7 ans + 100 000€
déterminé, un réseau de
télécommunications
5 ans + 45 000€
Zooms juridiques Technologies de l’Information (IT)
• Communications électroniques
• Conservations des traces
• Atteintes aux traitements automatisés de données
• Cryptologie
• Signature électronique
• Archivage électronique
• Contrôle des salariés
• Charte informatique
• Administrateurs
• Recommandations « site Web »
• Hébergement de données de santé
• Référentiel Général de Sécurité
• Informatique et libertés, RGPD (Règlement Général pour la Protection des Données)
Contrôle des salariés
• Cas pratiques
• Messagerie
• Réputée professionnelle
• Mais sphère personnelle préservée …
• Mail « tagés » personnel (arrêté dit « nikon »)
• …Sauf si un juge le demande
• Tout mail non marqué personnel peut être lu par l’employeur mais ne peut être utilisé pour
le sanctionner si le mail s’avère relever de sa vie privée
• Navigation web
• Réputée professionnelle
• Surveillance possible mais formalités préalables (information, consultation CE, charte
informatique, …)
Charte informatique
• Sommaire (exemple)
• Objet du document
• Domaine d’applicabilité
• Définitions
• Accès au Système d’information
• Utilisation du Système d’information
• Outils de contrôles mis en place
• Protection du système d’information
• Médias sociaux, Forums de discussion, Blogs, Sites internet
• Sécurité des données
• Données à caractère personnel de l’Utilisateur
• Non-respect de la charte
• Dérogations aux règles définies dans la présente Charte
• Information des Utilisateurs
Administrateurs
"Toute personne physique ou morale qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de
diagnostic, de soins ou de suivi médico-social pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil de ces
données ou pour le compte du patient lui-même, doit être agréée ou certifiée à cet effet."
L.1111-8 du code de la santé publique, modifié par la loi n° 2016-41 du 26 janvier 2016
Les hébergeurs de données de santé sur support numérique (en dehors des services d’archivage électronique) doivent être certifiés.
Cette certification remplace l’agrément aujourd’hui délivré par le ministère de la Santé dans les conditions définies par le décret n°2006-6 du 4
janvier 2006.
Le décret 2018-137 du 26 février 2018 définit la procédure de certification et organise la transition entre l’agrément et la certification. L’arrêté
portant approbation des référentiels d'accréditation et de certification publié le 29 juin 2018 permet l’ouverture du schéma d'accréditation HDS.
Les hébergeurs pourront déposer une demande de certificat HDS auprès de tout organisme de certification ayant réalisé les démarches
d’accréditation auprès du COFRAC.
Hébergement de données de santé
• Synthèse
• Cadre légal
• Loi 2004-1343 du 9/12/2004 art.3 sur la sécurité des informations échangées
par voie électronique
• Ordonnance 2005-1516 du 8/12/2005 relatives aux échanges entres usagers
et autorités administratives et entre autorités administratives
• Décret RGS 2010-112 du 2/2/2010
• RGS V1 du 6 mai 2010
• RGS V2 du 13 juin 2014
• Mise en conformité des SIs concernés
• Concerne les SI orientés télé services
• Entre usagers/autorités administratives ou entre autorités administratives
Référentiel Général de Sécurité (RGS)
• 5 étapes
• Réalisation d’une analyse de risques
• Définition d’objectifs de sécurité
• Choix et mise en œuvre des mesures appropriées
• Homologation de sécurité du système d’information
• Recommandation sur le site de l’ANSSI (guide d’homologation)
• Suivi opérationnel de la sécurité
• Règles SI spécifiques
• Cryptographie > certificats RGS (personnes et serveurs) validés par l’état
• Horodatage
• Accusé de réception
• Produits er prestataires de services de confiance
Informatique et libertés,
RGPD (Règlement Général pour la Protection des Données)
• Cadre
• Directive Union Européenne
• Pas de transposition en droit national, s’applique directement
• Remplace la loi informatique et libertés
• Deux cadres :
• Union Européenne (RGPD - DIRECTIVE EUROPEENE 2016_679)
• Déclinaison nationale
• Autorité nationale : la CNIL
Informatique et libertés,
RGPD (Règlement Général pour la Protection des Données)
• Domaine d’application
et territorialité
Informatique et libertés,
RGPD (Règlement Général pour la Protection des Données) :
• Définitions
• Données à caractère personnel
• Toute information relative a une personne physique identifiée ou qui peut être identifiées
directement ou indirectement
• Traitement de données à caractère personnel
• Toute opération ou sous ensemble d’opération portant sur de telles données
• Finalité
• Objectif principal de l'utilisation de données personnelles
• Personne concernée
• Personne à laquelle se rapporte la traitement
• Destinataire (des données)
• Personne habilitée à recevoir communication des données
• Responsable de traitement
• Celui qui définit la finalité et les moyens
• Sous traitant
• Agit sur ordre du responsable de traitement, traite des données pour le compte du responsable
de traitement
Informatique et libertés,
RGPD (Règlement Général pour la Protection des Données)
• Définitions
• Registre
• Liste de tous les traitement de l’organisme
• DPO
• « Data Protection Officer » > Délégué à la protection des données
• Obligatoire pour une administration
• Base juridique
• Base sur laquelle repose le traitement
• L’analyse d’impact relative à la vie privée (PIA/EIVP)
• Analyse de risque sous l’angle vie privée vu d’une personne concernée par le traitement
• Obligation de sécurité
• De la responsabilité du responsable de traitement
Informatique et libertés,
RGPD (Règlement Général pour la Protection des Données)
• Sanctions
Informatique et libertés,
RGPD (Règlement Général pour la Protection des Données)
• AIPD Synthèse
Méthode d’évaluation des risques:
Suivi du guide de la CNIL: Gérer les risques sur les libertés
et la vie privée. Edition 2012.
Si une personne non autorisée accédait aux données à caractère personnel, quel serait
l’importance des dommages correspondant à l’ensemble des impacts potentiels ?
Informatique et libertés,
RGPD (Règlement Général pour la Protection des Données)
• AIPD
• Outil de la CNIL:
• https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil
• Démo
• Exemple projet (confidentiel, non diffusable)
• Cadres légaux et règlementaires en lien avec les SI de santé et l’IT
• Bonnes pratiques SI d’un point de vue utilisateur
• Incident de sécurité : Les réflexes
• Intégrer la sécurité dans un projet SI
Bonnes pratiques SI d’un point de vue utilisateur
• Agenda
• Internet
• Rançongiciel
• Mot de passe
• Usages professionnels, usages personnels
• Hameçonnage
Internet
• https://www.youtube.com/watch?v=_kbVBOQ0J5w
• Analyse
• Hameçonnage
• Logiciels malveillants
• Escroqueries
• Vigilance sur les pièces jointes
• Site de confiance
• L’utilisateur et le cliquer trop vite !
Internet
• Bonnes pratiques
Rançongiciel
• Le sujet : ?
Rançongiciel
• Analyse
• Bonnes
pratiques
Mot de passe
• Analyse
• https://howsecureismypassword.net/
• (Ne pas utiliser ce lien avec de vrais mots de passe …)
• Bonnes pratiques
Mot de passe
• A l’aide !
• Méthode phonétique
• Par exemple la phrase « J’ai acheté huit cd pour cent euros cet après midi » deviendra ght8CD%E7am
• Méthode de la phrase
• Lepr&nomdemonfr&reestpierre
• Méthode des mots clés
• Garonne_Cormoran_Aviron
Mot de passe
• « Serious game »
• Alice1987/04/15
• Xh3M|sn&
• K@nstitutionne1
• Qj'M@f&rK0
• Bob:O62278O734
• CygW1n@mel.chu31.fr
• H?cU@f1bv%ccl
Mot de passe
• « Serious game »
• Alice1987/04/15
• Xh3M|sn&
• K@nstitutionne1
• Qj'M@f&rK0
• Bob:O62278O734
• CygW1n@mel.chu31.fr
• H?cU@f1bv%ccl
Usages professionnels, usages personnels
• Le sujet
• https://sharepoint.chu-
toulouse.fr/sites/DSIO/SSI/Perimetre_CHU/Acces_restreint/Sensibilisation-
Formation/Cybermalveillance_gouv_fr
• Analyse
• Erreur de destinataires
• Erreur de pièce jointe
• Fuite de base de mots de passe et piratage de comptes
• Divulgation ou compromission d’informations
• Les dangers de la redirection d’emails
Usages professionnels, usages personnels
• Bonnes pratiques
• Utilisez des mots de passe différents pour tous les services professionnels et personnels auxquels
vous accédez
• Ne mélangez pas votre messagerie professionnelle et personnelle
• Ayez une utilisation responsable d’internet au travail
• N’utilisez pas de services de stockage en ligne personnel à des fins professionnelles
• Faites les mises à jour de sécurité de vos équipements pour ce qui relève de votre responsabilité
• Utilisez une solution de sécurité contre les virus et autres attaques
• N’installez les applications que depuis les sites ou magasins officiels
• Méfiez vous des supports USB
• Évitez les réseaux Wi-Fi publics ou inconnus
Hameçonnage
• Le sujet
• https://www.youtube.com/watch?v=OmH1oL0O
p6k
• Analyse
• Tromper l’internaute en se faisant passer pour
un tiers de confiance et l’inciter à communiquer
des données personnels ou professionnels
• Mail, SMS, appel téléphonique, document
Hameçonnage
• Bonnes pratiques
• Cadres légaux et règlementaires en lien avec les SI de santé et l’IT
• Bonnes pratiques SI
• Incident de sécurité : Les réflexes
• Intégrer la sécurité dans un projet SI
Incident de sécurité : Les réflexes
• Agenda
• Incident de sécurité ?
• Qualification de l’incident
• Réflexes techniques
• Réflexes stratégiques et organisationnels
Incident de sécurité
Atteinte à la Perturbations Perturbation limitées Perturbation Désorganisation des Atteinte grave à l’état de
momentanées et dans la délivrance des importante dans la soins ou atteinte limitée santé d’un patient
qualité des soins limitées de soins (retard) délivrance des soins à l’état de santé d’un (décès, invalidité)
l’organisation des soins (report) patient (ré intervention)
Pertes financières Pertes non significatives Pertes significatives Pertes significatives Pertes importantes Pertes insupportables
sur le plan financier à l’appréciation du à l’appréciation du à l’appréciation du à l’appréciation du
comité de pilotage comité de pilotage comité de pilotage comité de pilotage
Engagement de Plainte(s) de patients(s) Plainte(s) de patients(s) Plainte(s) de patients(s) Plainte(s) de patients(s) Plainte(s) de patients(s)
signalant un signalant un signalant un débouchant sur une débouchant sur la
responsabilité dysfonctionnement dysfonctionnement dysfonctionnement sanction disciplinaire à condamnation au civil ou
grave ne débouchant grave débouchant sur l’encontre d’un au pénal d’un
pas sur un recours un recours responsable responsable
d’établissement
Atteinte à l’image Divulgation limitée Altération significative Altération importante Altération très Altération définitive de
d’incidents de l’image de de l’image de importante de l’image l’image de
(patients, l’établissement l’établissement de l’établissement l’établissement
partenaires,
tutelles, …)
Réflexes techniques
• Gestion de l’incident
• Chaine d’alerte et de ressources (annuaire, contacts et coordonnées)
• Lien FSSI (Fonctionnaire de Sécurité des SI du Ministère)
• Fiches reflexe (exemple : ne pas éteindre mais débrancher)
• Déclaration
• Portail déclaration ACSS
• Déclaration CNIL si violation des données personnelles
• « Assurance »
• Marché d’assistance SSI/prestataire qualifié (pas l’éditeur) !
• S’assurer ?
• Cadres légaux et règlementaires en lien avec les SI de santé et l’IT
• Bonnes pratiques SI d’un point de vue utilisateur
• Incident de sécurité : Les réflexes
• Intégrer la sécurité dans un projet SI
La sécurité dans un projet SI
• Agenda
• La sécurité dans un projet : pourquoi faire ?
• Méthodologie : approche par les risques
• Méthodologie à minima
La sécurité dans un projet SI : pourquoi faire ?
On premise (exigences CCTP)/SaaS (exigences contractuelles) On premise Saas Saas Saas Saas Mixte On premise Mixte
Dématérialisation
THEMATIQUE/PROJET Bionettoyage Portail patient Rappel de RDV Site institutionnel Espace numérique IOT Progiciel
de documents
Contrôle des salariés
Charte informatique
Administrateurs
Conditions générales d'utilisation
Mentions Informatique et Liberté
Cookies
Mentions légales
Données a caractère personnel - RGPD
PIA (EIVP)
Hébergement données de santé
Référentiel Général de Sécurité
Contraintes mot de passe
Accès administrateur direct
Antivirus, antimalware
Maintien en condition de sécurité (MAJ)
Sauvegarde
Sauvegarde offline
Journalisation et fichiers logs
Tracabilité, preuve
Signature électronique
Audit, test de pénétration
Revue de code
Revue des thématiques du cours sur des exemples : correction
• Correction Macroscopique ! !
On premise (exigences CCTP)/SaaS (exigences contractuelles) On premise Saas Saas Saas Saas Mixte On premise Mixte
Dématérialisation
THEMATIQUE/PROJET Bionettoyage Portail patient Rappel de RDV Site institutionnel Espace numérique IOT Progiciel
de documents
Contrôle des salariés X
Charte informatique X
Administrateurs X X X X X X
Conditions générales d'utilisation X si site X X
Mentions Informatique et Liberté X si site X X
Cookies X si site X X
Mentions légales X si site X X
Données a caractère personnel - RGPD X X X X X X
PIA (EIVP) X X O/X X X
Hébergement données de santé X X X X
selon
Référentiel Général de Sécurité X si site fonctionnalités X
Contraintes mot de passe X X X X X
Accès administrateur direct X X X X X X
Antivirus, antimalware X X X X X X
Maintien en condition de sécurité (MAJ) X X X X X X
Sauvegarde X X X X X
Sauvegarde offline X X X
Journalisation et fichiers logs X X X X X
Tracabilité, preuve X X X X X
Signature électronique O/X O/X
Audit, test de pénétration X X X X X
Revue de code Si App Si App Si App Si App Si App
Etude de cas
• Selon TIMING
• Un projet au choix (Live )
• Qualification conformité
• exercice projet RSSI simule la MOA
• Faire une fiche de traitement
• Faire un PIA
• Cas projet
• Remplir une annexe cctp ?
• Faire une étude cas
Etude de cas
• Nouvelles dimensions
• L’information est le nerf de la guerre, prédation informationnelle
• Réalités (commerciales) des « BigDATA » et de l‘ « IA »
• Temps et espaces : bulles informationnelles
• Transformation perçue (à tort) comme une « ouverture vers l'extérieur » pour le monde
professionnel … mais déjà à l'heure de la "Disruption numérique"
• Après les « GAFA », les nouveaux maîtres du monde … les « NATU » : Netflix, Airbnb, Tesla, et Uber
• Nouveau modèle (valeur créée par l’usage, basée sur la donnée),
• Transformation métiers pour les « Y »
• Le Visible et l'invisible
• Surface web, Deep web et Dark web
• > en 2020, estimation 4%/96%/?
• Problématiques majeures
• Vulnérabilités des applications,
• Mobilité,
• et ... l‘Utilisateur
• https://cybermap.kaspersky.com/
* Les géants du numérique
• Outils gratuits
• « Utilitaires », logiciels, Cloud,
• ... et IOT (objets connecté)
• Escroqueries
• Au président
• SMS/Lien/téléphone surtaxés
* Zoom santé et NTIC : Quels enjeux ?
• Un des fondamentaux …
• Acculturation nécessaire des utilisateurs