Logo ANAP
Ce site requiert l'activation de javascript pour être utilisé, merci de l'activer.
S'abonner

Méthode

 738 vues

Contexte et périmètre

Contexte et objectifs

Le socle commun du programme HOP’EN est constitué de 4 prérequis indispensables à une gestion sécurisée des soins dans un contexte de décloisonnement des prises en charge, dont la mise en place, par l’ensemble des établissements de santé est attendue d’ici la fin du programme :

  • Identités, mouvements (P1) ;

  • Sécurité (P2) ;

  • Confidentialité (P3) ;

  • Échanges et partages (P4).

Il comprend également 7 domaines fonctionnels pour lesquels le programme définit des exigences en matière d’usage du système d’information.

  • Les résultats d’imagerie, de biologie et d’anapath (D1) ;

  • Le dossier patient informatisé et interopérable et le DMP (D2) ;

  • La prescription électronique alimentant le plan de soins (D3) ;

  • La programmation des ressources et l’agenda du patient (D4) ;

  • Le pilotage médico-économique (D5) ;

  • La communication et les échanges avec les partenaires (D6) ;

  • La mise à disposition de services en ligne aux usagers et aux patients (D7).

Le système d’information vient soutenir la mise en œuvre de la stratégie de l’établissement et couvre un large périmètre englobant notamment l’administratif, le soin, le système d’information hospitalier, le biomédical et tout l’environnement nécessaire au bon fonctionnement de la structure (gestion des bâtiments, contrôle d’accès…) ainsi que les systèmes d’information administratifs.

Une augmentation des incidents de sécurité liés aux systèmes d’information est constatée à l’échelle nationale et internationale et le secteur hospitalier y est particulièrement vulnérable. Des atteintes à la disponibilité, l’intégrité et la confidentialité des informations sont observées et peuvent avoir des impacts sur la prise en charge des patients, l’organisation des services ainsi qu’en termes financiers et de notoriété, engageant parfois la responsabilité de la structure et/ou de son représentant.

Pour accompagner les établissements dans la mise en œuvre d’une politique de sécurité des systèmes d’information, les ministères sociaux ont proposé la mise en œuvre d’un plan d’action SSI dans l’INSTRUCTION N° SG/DSSIS/2016/309 du 14 octobre 2016 relative à la mise en œuvre du plan d’action sur la sécurité des systèmes d’information dans les établissements et services concernés.

La présente fiche doit guider les établissements pour élaborer leur politique de sécurité et leur plan d’action SSI associé.

Indicateur concerné

La fiche concerne principalement l’indicateur ci-dessous :

  • Indicateur P2.4 - Présence d’une politique de sécurité et plan d’action SSI réalisé, existence d’un responsable sécurité

Méthode proposée

Objectifs de la politique et du plan d’action SSI

  • Une PSSI est un document porté par la direction de l’établissement et qui regroupe les objectifs stratégiques de la structure en termes de sécurité des systèmes d’information (SSI) ainsi que les règles et mesures organisationnelles, fonctionnelles et techniques à mettre en œuvre pour y parvenir. Dans son guide d’élaboration de politique de SSI, l’ANSSI indique que :

    • « Une Politique de Sécurité des Systèmes d’Information reflète la vision stratégique de la direction de l’organisme (PME, PMI, industrie, administration...) en matière de sécurité des systèmes d’information (SSI) et de gestion de risques SSI. Elle décrit en effet les éléments stratégiques (enjeux, référentiels, principaux besoins de sécurité et menaces) et les règles de sécurité applicables à la protection du système d’information de l’organisme. […] La PSSI vise à informer la maîtrise d’ouvrage et la maîtrise d’œuvre des enjeux tout en l’éclairant sur ses choix en termes de gestion des risques et à susciter la confiance des utilisateurs et partenaires envers le système d’information. ».

  • Le plan d’action SSI vise à opérer une mise à niveau minimale de la sécurité des systèmes d’information dans tous les établissements de santé. Le plan d’action ne se substitue pas aux obligations de sécurité que doivent mettre en place les établissements, mais il propose un calendrier à 6, 12 et 18 mois de réalisation de mesures prioritaires en termes d’efficacité par rapport, notamment, au risque de piratage informatique. Le niveau 1 de priorité permet de diminuer le risque de manière significative, avec des mesures dont la mise en œuvre ne doit pas poser de difficulté majeure, pour des gains importants en matière de sécurité.

Plan d’action SSI et GHT

Le système d’information constitue une fonction mutualisée obligatoire du GHT. La loi du 26 janvier 2016 de modernisation de notre système de santé prévoit dans son article 107 que l’établissement support désigné par la convention constitutive assure, pour le compte des établissements parties au groupement :

« La stratégie, l’optimisation et la gestion commune d’un système d’information hospitalier convergent, en particulier la mise en place d’un dossier patient permettant une prise en charge coordonnée des patients au sein des établissements parties au groupement. Les informations concernant une personne prise en charge par un établissement public de santé partie à un groupement peuvent être partagées, dans les conditions prévues à l’article L. 1110-4. »

Dans ce cadre, la sécurité des systèmes d’information peut être assurée à l’échelle du GHT. Ce sont les directeurs d’établissement qui ont la responsabilité et la charge de la sécurité de leur structure : ils s’appuient pour cela sur un RSSI et un DPO qui sont des maillons importants de la gestion des risques liés au SI. En sus, la chaîne SSI peut être consolidée par un réseau interne de correspondants SSI dans les différentes unités de la structure ou du groupement.

Dans un GHT, il est envisageable de mutualiser la fonction SSI et de mettre en place des correspondants SSI dans chacun des principaux établissements. Quelle que soit l’organisation retenue, il est important que toutes les responsabilités en matière de SSI des différents acteurs soient clairement définies par la direction de la structure / du groupement grâce à des fiches de poste et des ordres de mission.

Acteurs impliqués dans l’élaboration et la mise en œuvre de la PSSI

  • La direction générale de l’établissement de santé

  • Les directions métiers utilisant le SI

  • Les directions supports (RH, juridique, services généraux…)

  • Le RSSI et le DPO

  • Les professionnels de l’établissement au sens large dans leur utilisation des SI

  • Les prestataires ayant accès ou utilisant le SI de l’établissement

Qu’il s’agisse de l’élaboration de la politique de sécurité ou de celle du plan d’action SSI, il est conseillé de nommer au sein de l’établissement un coordonnateur des travaux, afin qu’ils puissent centraliser l’information.

Méthode proposée

La méthode proposée pour élaborer la PSSI d’un établissement de santé comprend 4 étapes :

  • Étape 1 — Cadrage du contexte d’application de la PSSI

    • Validation du projet avec la direction de la structure

    • Définition de l’objet de la PSSI

    • Définition du champ d’application de la PSSI

    • Précision des enjeux de sécurité

    • Identification des textes applicables

  • Étape 2 – Recensement des différentes catégories de moyens du SI

    • État des lieux des moyens technique et logistique relatifs au SI

    • État des lieux de l’organisation de la structure

  • Étape 3 – Qualification des principaux risques auxquels est exposé le SI

    • Identification des principaux risques liés au SI

    • Définition de la stratégie de traitement des risques

  • Étape 4 — Choix des mesures de sécurité nécessaires

    • Validation des exigences de sécurité applicables

    • Déclinaison des exigences de sécurité en règle

Les actions SSI et GHT

Les fiches actions rédigées par l’ASIP Santé ou encore le guide d’hygiène informatique publié par l’ANSI propose des thématiques à adresser pour améliorer la sécurité des SI. À l’échelle d’un GHT, l’enjeu est de pouvoir dans la situation actuelle avec les SI existants mettre en place une politique de sécurité SI adaptée et de définir une trajectoire dans la cadre de la stratégie de convergence des SI des GHT. Ainsi certaines actions proposées peuvent être mises en place dès à présent, d’autres le seront dans la durée (par exemple : Segmenter le réseau et mettre en place un cloisonnement entre les zones peut être difficile à réaliser sur des infrastructures existantes).

Une fois la PSSI élaborée et validée par la direction de l’établissement de santé, il convient de la mettre en application. Bien que toutes les règles de la PSSI soient applicables à l’établissement, elles ne sont pas toutes mises en œuvre simultanément et le plan d’action SSI vise à définir des règles de priorité et de cadencement de leur mise en place. La méthode retenue pour élaborer son plan d’action SSI repose sur 4 étapes également :

Étape 1 — Identification des personnes en charge de la mise en application de chaque règle de sécurité

Il s’agit d’identifier le / les responsables techniques qui seront en charge de la mise en œuvre de la règle de sécurité.

Étape 2 — Estimation de l’effort nécessaire à la mise en œuvre de chaque règle

Il s’agit de communiquer les règles de sécurité à l’ensemble des contacts identifiés à l’étape précédente pour qu’ils puissent :

  • Prendre connaissance des règles qui concernent leur périmètre de responsabilité,

  • Déterminer dans quelle mesure chaque règle est déjà mise en œuvre,

  • Déterminer l’effort nécessaire, en charge de travail et en coût pour la mise en œuvre de chaque règle sur l’ensemble du périmètre cible qui les concerne,

  • Retourner ces informations au coordonnateur de l’élaboration du plan d’action SSI.

Étape 3 — Définition des objectifs, échelonnés dans le temps, de déploiement des règles

Chaque établissement ou groupement d’établissements définit les règles de priorité qui lui sont propres en fonction de ses orientations stratégiques, de l’état des lieux de ses risques en matière SI et également des moyens disponibles et de l’effort nécessaire à la mise en œuvre de chaque règle.

Étape 4 — Validation par la direction de la PSSI et du plan d’action associé et mobilisation des moyens nécessaires à la mise en œuvre planifiée

La validation de la PSSI et du plan d’action SSI par la direction de l’établissement est essentielle à sa diffusion et à sa mise en œuvre au sein de l’établissement. Dans un second temps, les deux documents doivent faire l’objet d’une communication pédagogique plus large auprès des collaborateurs.

Bilan et mise à jour du plan d’action SSI

Il est recommandé de procéder à une revue ponctuelle des actions du plan d’action SSI avec les différents responsables afin d’identifier :

  • De dresser un état des lieux de l’avancement du plan ;

  • D’identifier les résultats et les difficultés rencontrées.

Le suivi régulier du plan d’action doit également permettre d’anticiper les ajustements du plan d’action qui peuvent notamment être liés à :

  • L’évolution des activités de la structure,

  • L’élargissement du périmètre auquel s’applique la PSSI,

  • L’évolution de la règlementation,

  • L’émergence de nouvelles menaces spécifiques ou non aux secteurs sanitaire et médico-social,

  • La survenue d’incidents révélant de nouveaux risques,

  • Des retours d’expérience sur la mise en œuvre des règles de sécurité, etc.

La méthode et les travaux à réaliser à chaque étape sont précisés dans le « guide d’élaboration et de mise en œuvre d’une PSSI » de la PGSSI-S référencé dans le chapitre « Pour aller plus loin ».  

Les outils pour la mise en œuvre

Pour réaliser sa politique et son plan d’action SSI, l’établissement / le GHT pourra notamment s’appuyer sur les documents suivants :

Cette réponse vous paraît-elle utile ?
Date de parution : 04/06/2019

Commentaires - Soyez le premier à déposer un commentaire

Pour ajouter un commentaire vous devez vous identifier

Vous êtes actuellement sur la page consacrée à Atteindre les prérequis HOP'EN (Méthode).

Vous êtes perdu ?

Haut de page

Vous êtes actuellement sur la page consacrée à Atteindre les prérequis HOP'EN (Méthode).

Vous êtes perdu ?