Sécurité : comment mettre en place un SMSI sur plusieurs établissements ?

Documents

150423-SISCA_SSI-v1.0_1490285525.pptx Déposé par Didier ALAIN le 23/03/2017 à 17:12

Messages

Par Sylvie Ducharne le 26/01/2017 à 17:03
Sujet autour de la sécurité, comment mettre en place un SMSI sur un ensemble d'établissement­
Par Sylvie Ducharne le 26/01/2017 à 17:16
A-t-on l'obligation de nommer une référent SSI dans chaque établissement comme relais du RSSI du territoire ?­
Par Didier ALAIN le 30/01/2017 à 15:44 Animateur de groupes
Sylvie,

Mes deux centimes sur le référent SSI :

D'un point de vue "normatif", le référent SSI au sein d'une entité juridique reste une obligation du point de vue des pré-requis du Programme Hôpital Numérique. Sur le fond, il ne me semble pas idiot de maintenir ce principe de référent SSI de proximité, qui s'appuie sur un Responsable SSI spécialisé au niveau du GHT. Mais qu'en pensez-vous ?

Mes deux centimes sur le SMSI (système de management de la sécurité du SI) :

Comme tout bon système de management, l'étape 1 est l'état des lieux. Il s'agirait donc de faire un état des lieux de la SSI sur chaque site, puis de les consolider. Y a-t-il par ici des témoignages, des outils ?­
Par Sylvie Ducharne le 30/01/2017 à 15:59
Bonjour Didier,

Je vous remercie pour votre éclairage. J'abonde dans votre sens sur le sujet fait de s'appuyer sur des relais de proximité dans chaque établissement.

Concernant les outils (concrets) de suivis de la mise en oeuvre de la SMSI, je suis preneuse.

De mon côté je me base sur la ISO 27002 et 27799 (pour l'audit et les preuves à fournir), et un fichier excel pour le suivi.

Le fichier a vite ses limites et cela nécessite pas mal de ressaisie dans les différentes fiches de suivi.

Je suis un master 2 à la Sorbonne 2017/2018 (management des SI et des connaissances), mon mémoire portera sur la mise en place d'un SMSI sur le GHT ; toutes vos remarques, expériences bonnes et/ou mauvaises sont les bienvenues pour alimenter ma réflexion.

Je vous souhaite un agréable après midi



Sylvie­
Par Didier ALAIN le 02/02/2017 à 15:47 Animateur de groupes
Sylvie,

Il y a pas mal de spécialistes de la SSI dans le réseau et la communauté... Le tout est qu'ils tombent sur ce fil de discussion ! Au chapitre des outils, le problème est l'embarras du choix ! En fait, pour avoir des apports plus satisfaisants, il faudrait mieux cerner/cibler les questions.

Quelle étape souhaitez-vous outiller ? L'état des lieux ? L'évaluation des risques ? Les plans d'action et leur suivi ? La sensibilisation ?

Et s'il s'avérait que des collègues RSSI aient envie de partager, qu'ils s'expriment !­
Par Sylvie Ducharne le 13/02/2017 à 10:40
Bonjour,

Merci pour vos réponses.

­Réponse à Didier : ­
Question outillage, je dirais tout !
  • J'ai une grille ISO 27002 avec les ajouts spécifiques à la norme ISO 27799 pour l'audit/état des lieux.­
  • Pour le suivi, j'ai un fichier excel, mais ce n'est pas idéal. J'ai un collègue qui a exercer la même fonction dans le privé, la société avait développé un outils de suivi en interne.­
  • L'évaluation des risques : j'ai des grilles de suivi mais pas de notions sur le risques réels, courants, probables ... de la littérature ou retour d'expérience, j'ai de la doc su l'état de l'art mais bon parfois il y a un delta avec le terrain.­
  • Je suis abonnée à tout un tas de fils d'actu afin de me tenir informée, si vous avez des pistes ....­
  • La sensibilisation : j'ai des affiches, j'ai créé un ppt, mais je n'ai pas grand chose de plus. Un retour d'expérience sur des actions mises en place ailleurs qui marche, serait la bienvenue. Je pensais peut-être à mettre en place un genre de parcours "sécurité" comme les parcours avec la patient traceur ou un environnement avec des erreurs ... comme dans certains serial game. voir http://www.dailymotion.com/video/x2eppuf_la-protection-des-donnees-a-caractere-personnel-c-est-pas-une-blague_creation ­
Réponse à Eric :­
Je suis tout à fait d'accord avec votre approche.
Je souhaite mettre en place un "chapeau" commun qui tracera les grandes lignes : PGSSI, la charte utilisateurs, la charte prestataires, la gestion des mots de passe,des aspects génériques applicables de manière transverses et voir en local car chaque établissement gère des activités communes et différentes.
C"est l'aspect "humain" qui me semble le plus sensible. Il y a une grande réticence de la part des acteurs qui est sûrement du à une méconnaissance des dangers et aussi la possibilité ou pas de leur mettre des outils simples à disposition qui ne les ralentissent pas dans leur activité (ex : nous testons un lecteur de carte pour ouvrir et fermer les sessions Windows).
Un retour d'expérience de votre part me serait très agréable et m'aiderait à aller plus vite dans mes approche (ne pas réinventer la roue !)

Je vous souhaite une agréable journée.

Sylvie­
Par Didier ALAIN le 23/03/2017 à 17:12 Animateur de groupes
Eric, Sylvie,



Je rebondis un peu tard sur le dernier post d'Eric "la sécurité est-elle une priorité ?". Lister les arguments affirmatifs sur cette question est une bonne piste pour faire avancer le sujet ! Quels sont les vôtres ?



J'en profite pour vous joindre un visuel "d'évangélisation" sur le sujet de la SSI, orienté décideur. Dites-moi ce que vous en pensez !­
150423-SISCA_SSI-v1.0_1490285525.pptx Déposé par Didier ALAIN le 23/03/2017 à 17:12
Par Didier ALAIN le 03/05/2017 à 10:02 Animateur de groupes
Merci Eric pour ces informations ! Aurais-tu des sources directes sur les exemples que tu cites (ex. des liens ou des références biblio) ?



Pour info, ­un fil de discussion sur la cybersécurité­ a été ouvert suite à une question posée lors de la Journée Nationale Numérique en Santé. C'est une question de béotien, donc intéressante pour le plus grand nombre.­
Par Didier ALAIN le 04/05/2017 à 07:35 Animateur de groupes
Génial ! Merci à toi.­
Par Gilles ROBERT le 12/12/2017 à 17:58

Bonjour J'arrive tard sur ce poste mais si cela peut aider.

Je pense que le SMSI est tout de même dépendant de l'organisation du GHT.

dans le notre nos trois établissements ont le même directeur général ce qui simplifie les choses.

J'ai quand même du faire une PGSSI du GHT reprenant l'organisation de la SSI dans le territoire et ensuite trois PSSI distinctes pour les établissement car les systèmes étant hétérogènes, j'avais trois analyses de risques différentes avec trois PSSI légèrement différentes et biensur trois plans d'actions distincts,que je concatenent en un unique plan d'action SSI pour le présenter au DG du GHT.

Tout cela en essayant au maximum d'harmoniser les pratiques et les documents, les PSSI par exemple sont à 95% identiques (faut bien que les professionnels inter établissement s'y retrouvent)

les chartes sont elles aussi en train d'être harmonisées.

bonne journée

Par Didier ALAIN le 14/12/2017 à 17:30 Animateur de groupes

Gilles,

Il n'est jamais trop tard pour un post intéressant.

Merci !

Par Gilles ROBERT le 14/12/2017 à 17:34

Bonjour Dieir,

et merci pour ces iencouragements..;-°)

Si la diffusion est assez limitée je peux fournir notre PGSSI qui reprend l'articulation du SMSI dans notre GHT.

bonne journée

Par Didier ALAIN le 14/12/2017 à 18:44 Animateur de groupes

Gilles,

Tu peux m'envoyer la PSSI par message privé (cliquer sur mon nom dans un des posts et choisir "envoyer un message" dans la fenêtre qui s'est ouverte) : je l'anonymiserai autant que possible puis te le ferai valider pour voir s'il est possible de le diffuser.

Sinon, tu peux la partager dans le groupe d'entre aide auquel tu participes (être ou ne pas être hébergeur de données de santé) : les échanges y sont "privés", c'est-à-dire restreints aux membres du groupe.

Par Sylvie Ducharne le 21/12/2017 à 13:25

Bonjour Gilles,

Je suis fortement intéressée également par la PGSSI en message privé.

Je vous enverrai celle sur laquelle je travaille en ce moment dans le cade du GHT.

Je travaille en tiroir : tous les points sont évoqués et presque tous les points font l'objet d'un document annexe. La Direction acte ou non un point dans son établissement.

Avez-vous créé une cellule sécurité au sein du GHT et/ou par établissement ?

Merci

Sylvie