Logo ANAP
Ce site requiert l'activation de javascript pour être utilisé, merci de l'activer.

Espace de discussion

Sécurité : comment mettre en place un SMSI sur plusieurs établissements ?

Documents

150423-SISCA_SSI-v1.0_1490285525.pptx Déposé par Didier ALAIN le 23/03/2017 à 17:12

Messages

Par Sylvie Ducharne le 26/01/2017 à 17:03
Sujet autour de la sécurité, comment mettre en place un SMSI sur un ensemble d'établissement­
Par Sylvie Ducharne le 26/01/2017 à 17:16
A-t-on l'obligation de nommer une référent SSI dans chaque établissement comme relais du RSSI du territoire ?­
Par Didier ALAIN le 30/01/2017 à 15:44 Animateur de groupes
Sylvie,

Mes deux centimes sur le référent SSI :

D'un point de vue "normatif", le référent SSI au sein d'une entité juridique reste une obligation du point de vue des pré-requis du Programme Hôpital Numérique. Sur le fond, il ne me semble pas idiot de maintenir ce principe de référent SSI de proximité, qui s'appuie sur un Responsable SSI spécialisé au niveau du GHT. Mais qu'en pensez-vous ?

Mes deux centimes sur le SMSI (système de management de la sécurité du SI) :

Comme tout bon système de management, l'étape 1 est l'état des lieux. Il s'agirait donc de faire un état des lieux de la SSI sur chaque site, puis de les consolider. Y a-t-il par ici des témoignages, des outils ?­
Par Sylvie Ducharne le 30/01/2017 à 15:59
Bonjour Didier,

Je vous remercie pour votre éclairage. J'abonde dans votre sens sur le sujet fait de s'appuyer sur des relais de proximité dans chaque établissement.

Concernant les outils (concrets) de suivis de la mise en oeuvre de la SMSI, je suis preneuse.

De mon côté je me base sur la ISO 27002 et 27799 (pour l'audit et les preuves à fournir), et un fichier excel pour le suivi.

Le fichier a vite ses limites et cela nécessite pas mal de ressaisie dans les différentes fiches de suivi.

Je suis un master 2 à la Sorbonne 2017/2018 (management des SI et des connaissances), mon mémoire portera sur la mise en place d'un SMSI sur le GHT ; toutes vos remarques, expériences bonnes et/ou mauvaises sont les bienvenues pour alimenter ma réflexion.

Je vous souhaite un agréable après midi



Sylvie­
Par Didier ALAIN le 02/02/2017 à 15:47 Animateur de groupes
Sylvie,



Il y a pas mal de spécialistes de la SSI dans le réseau et la communauté... Le tout est qu'ils tombent sur ce fil de discussion ! Au chapitre des outils, le problème est l'embarras du choix ! En fait, pour avoir des apports plus satisfaisants, il faudrait mieux cerner/cibler les questions.



Quelle étape souhaitez-vous outiller ? L'état des lieux ? L'évaluation des risques ? Les plans d'action et leur suivi ? La sensibilisation ?



Et s'il s'avérait que des collègues RSSI aient envie de partager, qu'ils s'expriment !­
Par Eric Bosdure le 13/02/2017 à 10:09
Bonjour Sylvie,

Je ne sais pas si le référent SSI est obligatoire sur chaque établissement, en revanche il serait bien utile ! Le RSSI du GHT ne peut pas porter la sécurité à lui seul, à bout de bras.

En ce qui concerne le SMSI sur l'ensemble des établissements, j'opterais pour plusieurs périmètres, je m'explique : pourquoi pas exploiter plusieurs "petits" SMSI ? Cela me parait plus pragmatique pour implanter les processus du SMSI, et notamment l'analyse de risques. A l'échelle d'un établissement elle est déjà complexe, alors j'imagine les difficultés au niveau du GHT.

Je pense proposer cette démarche pour le GHT : un SMSI "générique" au niveau du GHT pour un Politique de Sécurité "haut niveau" commune aux établissements du GHT. Puis des SMSI par domaine ou fonction pour des PSSI et actions plus adaptées aux niveaux de sécurité requis par les spécificités des différentes activités.

Au plaisir d'en discuter :)

Eric­
Par Sylvie Ducharne le 13/02/2017 à 10:40
Bonjour,



Merci pour vos réponses.



­Réponse à Didier : ­

Question outillage, je dirais tout !



­
  • J'ai une grille ISO 27002 avec les ajouts spécifiques à la norme ISO 27799 pour l'audit/état des lieux.­


  • ­
  • Pour le suivi, j'ai un fichier excel, mais ce n'est pas idéal. J'ai un collègue qui a exercer la même fonction dans le privé, la société avait développé un outils de suivi en interne.­


  • ­
  • L'évaluation des risques : j'ai des grilles de suivi mais pas de notions sur le risques réels, courants, probables ... de la littérature ou retour d'expérience, j'ai de la doc su l'état de l'art mais bon parfois il y a un delta avec le terrain.­


  • ­
  • Je suis abonnée à tout un tas de fils d'actu afin de me tenir informée, si vous avez des pistes ....­


  • ­
  • La sensibilisation : j'ai des affiches, j'ai créé un ppt, mais je n'ai pas grand chose de plus. Un retour d'expérience sur des actions mises en place ailleurs qui marche, serait la bienvenue. Je pensais peut-être à mettre en place un genre de parcours "sécurité" comme les parcours avec la patient traceur ou un environnement avec des erreurs ... comme dans certains serial game. voir http://www.dailymotion.com/video/x2eppuf_la-protection-des-donnees-a-caractere-personnel-c-est-pas-une-blague_creation ­






  • ­Réponse à Eric :­

    Je suis tout à fait d'accord avec votre approche.

    Je souhaite mettre en place un "chapeau" commun qui tracera les grandes lignes : PGSSI, la charte utilisateurs, la charte prestataires, la gestion des mots de passe,des aspects génériques applicables de manière transverses et voir en local car chaque établissement gère des activités communes et différentes.



    C"est l'aspect "humain" qui me semble le plus sensible. Il y a une grande réticence de la part des acteurs qui est sûrement du à une méconnaissance des dangers et aussi la possibilité ou pas de leur mettre des outils simples à disposition qui ne les ralentissent pas dans leur activité (ex : nous testons un lecteur de carte pour ouvrir et fermer les sessions Windows).



    Un retour d'expérience de votre part me serait très agréable et m'aiderait à aller plus vite dans mes approche (ne pas réinventer la roue !)



    Je vous souhaite une agréable journée.



    Sylvie­
    Par Eric Bosdure le 17/02/2017 à 09:48
    Bonjour Sylvie,

    En effet l'aspect humain est de loin le plus sensible : il est vulnérable et de plus, s'il ne comprend pas ou n'accepte pas les mesures, il va les contourner ! Co-élaborer les solutions de sécurité avec les métiers permet de les inclure aux réflexions, de générer une prise de conscience, et d'adapter les mesures pour qu'elles ne deviennent pas une contrainte. Ce n'est pas aisé, car le temps manque dans nos établissements. La question que nous pourrions nous poser est : "la sécurité est-elle une priorité ?"



    Bonne journée

    Eric­
    Par Didier ALAIN le 23/03/2017 à 17:12 Animateur de groupes
    Eric, Sylvie,



    Je rebondis un peu tard sur le dernier post d'Eric "la sécurité est-elle une priorité ?". Lister les arguments affirmatifs sur cette question est une bonne piste pour faire avancer le sujet ! Quels sont les vôtres ?



    J'en profite pour vous joindre un visuel "d'évangélisation" sur le sujet de la SSI, orienté décideur. Dites-moi ce que vous en pensez !­
    150423-SISCA_SSI-v1.0_1490285525.pptx Déposé par Didier ALAIN le 23/03/2017 à 17:12
    Par Eric Bosdure le 02/05/2017 à 20:19
    S'il faut encore le démontrer, évoquons les incidents de l'actualité. Notamment les hôpitaux aux US et UK qui arrêtent (au moins en partie) leurs activités suite à une attaque de ronçongiciel. Des fuites et vols de données de santé se produisent. La "déformation" d'information dans les SI provoque des conséquences graves en termes de décision (le diagnostic par exemple). Avec la transformation numérique, les objets connectés agissent désormais directement sur le monde réel et potentiellement sur le patient. La compromission de tels "objets" laisse présager de nouveaux scénarios de malveillance. On a déjà eu la preuve que la configuration de pacemakers a pu être modifiée frauduleusement. Pour les usagers, la confiance dans le système de santé passera d'ici peu par la confiance dans le numérique. C'est un enjeu d'ordre stratégique. La priorité est d'assurer le minimum, c'est à dire se protéger des attaques non ciblées, adopter une démarche d'amélioration et construire un plan de secours métier et informatique.­
    Par Didier ALAIN le 03/05/2017 à 10:02 Animateur de groupes
    Merci Eric pour ces informations ! Aurais-tu des sources directes sur les exemples que tu cites (ex. des liens ou des références biblio) ?



    Pour info, ­un fil de discussion sur la cybersécurité­ a été ouvert suite à une question posée lors de la Journée Nationale Numérique en Santé. C'est une question de béotien, donc intéressante pour le plus grand nombre.­
    Par Eric Bosdure le 03/05/2017 à 20:09
    Bonjour Didier,



    Voici les quelques liens que j'ai pu retrouvé :



    - vingt dossiers médicaux de personnalités dérobés

    http://www.leparisien.fr/le-port-marly-78560/le-port-marly-vingt-dossiers-medicaux-de-personnalites-derobes-a-la-clinique-17-03-2017-6770433.php#xtor=AD-1481423554



    - des dossiers médicaux en accès libre sur le web depuis au moins trois jours

    http://www.lavoixdunord.fr/archive/recup%3A%252Fregion%252Fbethune-des-dossiers-medicaux-en-acces-libre-sur-le-ia30b53934n3337964#utm_medium=redaction&utm_source=twitter&utm_campaign=page-fan-vdn



    - Des failles de sécurité informatiques repérées dans des implants cardiaques

    http://www.lemonde.fr/pixels/article/2017/01/10/des-failles-de-securite-informatiques-reperees-dans-des-implants-cardiaques_5060576_4408996.html



    - risque de piratage d'une pompe à insuline

    https://www.challenges.fr/finance-et-marche/j-j-signale-un-risque-de-piratage-d-une-pompe-a-insuline_431084



    - Une attaque informatique paralyse trois hôpitaux en Angleterre

    http://www.ticsante.com/story.php?story=3241



    - Le réseau informatique de cet établissement californien est paralysé durant une semaine.

    http://www.lefigaro.fr/secteur/high-tech/2016/02/16/32001-20160216ARTFIG00205-un-hopital-americain-paralyse-par-des-pirates-informatiques.php



    - "il s’introduit dans le système informatique de la société et modifie certaines des données informatiques de trois appareils d’imagerie par résonance magnétique"

    http://www.manip-info.com/actualites/profession/article/proces-du-technicien-qui-avait



    - Panne informatique au CHU de Toulouse : 3 heures de procédures dégradées

    http://www.ladepeche.fr/article/2016/09/02/2410723-panne-informatique-chu-toulouse-3-heures-procedures-degradees.html



    - Une nouvelle panne informatique ralentit le secteur de la santé

    http://ici.radio-canada.ca/nouvelle/793520/panne-informatique-rendez-vous-sante-cisss-at



    et voilà ;-)­
    Par Didier ALAIN le 04/05/2017 à 07:35 Animateur de groupes
    Génial ! Merci à toi.­
    Par Gilles ROBERT le 12/12/2017 à 17:58

    Bonjour J'arrive tard sur ce poste mais si cela peut aider.

    Je pense que le SMSI est tout de même dépendant de l'organisation du GHT.

    dans le notre nos trois établissements ont le même directeur général ce qui simplifie les choses.

    J'ai quand même du faire une PGSSI du GHT reprenant l'organisation de la SSI dans le territoire et ensuite trois PSSI distinctes pour les établissement car les systèmes étant hétérogènes, j'avais trois analyses de risques différentes avec trois PSSI légèrement différentes et biensur trois plans d'actions distincts,que je concatenent en un unique plan d'action SSI pour le présenter au DG du GHT.

    Tout cela en essayant au maximum d'harmoniser les pratiques et les documents, les PSSI par exemple sont à 95% identiques (faut bien que les professionnels inter établissement s'y retrouvent)

    les chartes sont elles aussi en train d'être harmonisées.

    bonne journée

    Par Didier ALAIN le 14/12/2017 à 17:30 Animateur de groupes

    Gilles,

    Il n'est jamais trop tard pour un post intéressant.

    Merci !

    Par Gilles ROBERT le 14/12/2017 à 17:34

    Bonjour Dieir,

    et merci pour ces iencouragements..;-°)

    Si la diffusion est assez limitée je peux fournir notre PGSSI qui reprend l'articulation du SMSI dans notre GHT.

    bonne journée

    Par Didier ALAIN le 14/12/2017 à 18:44 Animateur de groupes

    Gilles,

    Tu peux m'envoyer la PSSI par message privé (cliquer sur mon nom dans un des posts et choisir "envoyer un message" dans la fenêtre qui s'est ouverte) : je l'anonymiserai autant que possible puis te le ferai valider pour voir s'il est possible de le diffuser.

    Sinon, tu peux la partager dans le groupe d'entre aide auquel tu participes (être ou ne pas être hébergeur de données de santé) : les échanges y sont "privés", c'est-à-dire restreints aux membres du groupe.

    Haut de page