Préconisations européennes pour la sécurité des systèmes d'info hospi. (24)1 LES PRECONISATIONS EUROPEENNES POUR LA SECURITE DES SYSTEMES DINFORMATION

1Préconisations européennes pour la sécurité des systèmes d'info hospi. (24)

LES PRECONISATIONS EUROPEENNES POUR LA SECURITE

DES SYSTEMES D’INFORMATION HOSPITALIERS

Docteur François-André ALLAERT

Centre Européen de Normalisation

CEN TC 251 / WG III


INTRODUCTION

La sécurité des systèmes d ’informations requiert :

une analyse des risques auxquels ils sont exposés ;

d ’assurer la confidentialité, l ’intégrité, la

disponibilité et les procédures nécessaires aux audits.


LES RISQUES DES SYSTEMES D’INFORMATIONS MEDICALES NOMINATIVES

LES ACCIDENTS LES ERREURS LES MALVEILLANCES


LES ACCIDENTS

Les accidents peuvent correspondre à une destruction partielle ou totale, ou à une dysfonction des matériels, des logiciels et de l ’insuffisance de l ’environnement dans lequel fonctionne l ’information.


LES ERREURS

Les erreurs peuvent survenir lors de la saisie des informations, de leur transmission par le système d ’information, de la manipulation des fonctions d ’exploitations ou résulter d ’un défaut de conception.

Erreurs desaisie

Erreurs detransmission

Erreurs demanipulation

Erreurs deconception

Confusion dedossier

Confusion decode

Altération desimages

Modification de lasignification d’un

résultat chiffré

Oubli, absence desauvegarde

Mémoiresaturée,

capacités dumicroprocesseur

Piècesmécaniques,fatigue dupersonnel


LES MALVEILLANCES

Les malveillances, heureusement rares mais toujours

possibles, sont indissociables de la nature humaine.

Elles s ’expriment par le vol ou le sabotage du matériel,

les détournements ou le sabotage des biens immatériels.

- Vol du matériel

- Copie des information

- Destruction des fichiers

- Virus, bombes logiques

- Intrusions


La sécurité des systèmes d’informations médicaux hospitaliers

Confidentialité

Intégrité

Disponibilité des informations

Les procédures permettant leur audit régulier


La confidentialité des systèmes d’informations médicaux hospitaliers

La confidentialité est "la propriété qui assure que seuls les utilisateurs habilités, dans les conditions normalement prévues, ont accès au système".

Les solutions techniques seront inefficaces si elles ne s’accompagnent pas d’une sensibilisation des personnels.


L’intégrité des systèmes d’informations médicaux hospitaliers

L ’intégrité est "la propriété qui assure qu ’une information n ’est modifiée que par les utilisateurs habituels dans les conditions normalement prévues ".

Les sources d ’atteinte à l ’intégrité recouvrent celles décrites pour les atteintes à la confidentialité puisque l ’accès aux données ou aux logiciels en sont l ’étape préliminaire.

A ces éléments il faut ajouter le contrôle des écritures, des traitements et des transmissions des données.


La disponibilité des systèmes d’informations médicaux hospitaliers

La disponibilité est "l’aptitude d ’un système d ’information a pouvoir être employé par les utilisateurs habilités dans les conditions d ’accès et d ’usage normalement prévus".

L ’indisponibilité d ’un système d ’information résulte soit d ’atteintes majeures à son intégrité, soit d ’une défaillance de l ’organisation technique et humaine nécessaire à son fonctionnement.


Les procédures d ’audit des systèmes d’informations médicaux hospitaliers

L ’audit est la condition nécessaire à la qualité d ’un système d ’information et à sa pérennité.

Les procédures doivent être analysées avant la mise en œuvre du système.

Tout système tendant naturellement vers l ’entropie, des procédures d ’audit doivent également être réalisées régulièrement après sa mise en œuvre.


LA NORME DE SECURITE EUROPEENNE

POUR LA PROTECTION

DES SYSTEMES D’INFORMATION


CLASSIFICATION DES SYSTEMES D’INFORMATIONS HOSPITALIERS EN FONCTIONS DU RISQUE

Disponibilité Confidentialité Intégrité

Catégorie I Critique Sensible Non critique

Catégorie II Non critique Sensible Critique

Catégorie III Critique Sensible Critique

Catégorie IV Non critique Très sensible Non critique

Catégorie V Non critique Très sensible Critique

Catégorie VI Critique Très sensible Critique


EVALUATION DE LA CONFIDENTIALITE DE L’INFORMATION


EVALUATION DE L’INTEGRITE DE L’INFORMATION


EVALUATION DE LA DISPONIBILITE DE L’INFORMATION


LA CLASSIFICATION DES MESURES DE SECURITE

Les solutions techniques

Les solutions d’organisation


LES SOLUTIONS TECHNIQUES

Protection de l’environnement Protection du système d’information

Contrôle des supports informatiques

Contrôle des transmissions sur réseaux


LES SOLUTIONS D’ORGANISATION

Désignation d’un responsable de sécurité Rédaction d’une charte de sécurité

Définition des règles de développement des programmes

Critères spécifiques des personnels sensiblesInformation des personnels sur la protection des données

personnelles et la propriété intellectuelle


CONCLUSION (1)

Tous les éléments de sécurité technique mis en

œuvre seront des protections utiles et nécessaires

mais non suffisantes si elles ne sont accompagnées

d ’une véritable sensibilisation des personnels.


CONCLUSION (2)

La sécurité d ’un système de télétransmission

d ’informations médicales nominatives ne découle

pas d ’une accumulation hétéroclite de dispositifs

techniques mais de l ’état d ’esprit d ’individus

responsables qui s ’appuient sur la technique pour

servir et protéger les intérêts des patients dont ils

ont la charge.

Documents

Préconisations européennes pour la sécurité des systèmes d'info hospi. (24)1 LES PRECONISATIONS EUROPEENNES POUR LA SECURITE DES SYSTEMES DINFORMATION