Upload
norbert-favier
View
110
Download
2
Embed Size (px)
Citation preview
1Préconisations européennes pour la sécurité des systèmes d'info hospi. (24)
LES PRECONISATIONS EUROPEENNES POUR LA SECURITE
DES SYSTEMES D’INFORMATION HOSPITALIERS
Docteur François-André ALLAERT
Centre Européen de Normalisation
CEN TC 251 / WG III
2Préconisations européennes pour la sécurité des systèmes d'info hospi. (24)
INTRODUCTION
La sécurité des systèmes d ’informations requiert :
une analyse des risques auxquels ils sont exposés ;
d ’assurer la confidentialité, l ’intégrité, la
disponibilité et les procédures nécessaires aux audits.
3Préconisations européennes pour la sécurité des systèmes d'info hospi. (24)
LES RISQUES DES SYSTEMES D’INFORMATIONS MEDICALES NOMINATIVES
LES ACCIDENTS LES ERREURS LES MALVEILLANCES
4Préconisations européennes pour la sécurité des systèmes d'info hospi. (24)
LES ACCIDENTS
Les accidents peuvent correspondre à une destruction partielle ou totale, ou à une dysfonction des matériels, des logiciels et de l ’insuffisance de l ’environnement dans lequel fonctionne l ’information.
5Préconisations européennes pour la sécurité des systèmes d'info hospi. (24)
LES ERREURS
Les erreurs peuvent survenir lors de la saisie des informations, de leur transmission par le système d ’information, de la manipulation des fonctions d ’exploitations ou résulter d ’un défaut de conception.
Erreurs desaisie
Erreurs detransmission
Erreurs demanipulation
Erreurs deconception
Confusion dedossier
Confusion decode
Altération desimages
Modification de lasignification d’un
résultat chiffré
Oubli, absence desauvegarde
Mémoiresaturée,
capacités dumicroprocesseur
Piècesmécaniques,fatigue dupersonnel
6Préconisations européennes pour la sécurité des systèmes d'info hospi. (24)
LES MALVEILLANCES
Les malveillances, heureusement rares mais toujours
possibles, sont indissociables de la nature humaine.
Elles s ’expriment par le vol ou le sabotage du matériel,
les détournements ou le sabotage des biens immatériels.
- Vol du matériel
- Copie des information
- Destruction des fichiers
- Virus, bombes logiques
- Intrusions
7Préconisations européennes pour la sécurité des systèmes d'info hospi. (24)
La sécurité des systèmes d’informations médicaux hospitaliers
Confidentialité
Intégrité
Disponibilité des informations
Les procédures permettant leur audit régulier
8Préconisations européennes pour la sécurité des systèmes d'info hospi. (24)
La confidentialité des systèmes d’informations médicaux hospitaliers
La confidentialité est "la propriété qui assure que seuls les utilisateurs habilités, dans les conditions normalement prévues, ont accès au système".
Les solutions techniques seront inefficaces si elles ne s’accompagnent pas d’une sensibilisation des personnels.
9Préconisations européennes pour la sécurité des systèmes d'info hospi. (24)
L’intégrité des systèmes d’informations médicaux hospitaliers
L ’intégrité est "la propriété qui assure qu ’une information n ’est modifiée que par les utilisateurs habituels dans les conditions normalement prévues ".
Les sources d ’atteinte à l ’intégrité recouvrent celles décrites pour les atteintes à la confidentialité puisque l ’accès aux données ou aux logiciels en sont l ’étape préliminaire.
A ces éléments il faut ajouter le contrôle des écritures, des traitements et des transmissions des données.
10Préconisations européennes pour la sécurité des systèmes d'info hospi. (24)
La disponibilité des systèmes d’informations médicaux hospitaliers
La disponibilité est "l’aptitude d ’un système d ’information a pouvoir être employé par les utilisateurs habilités dans les conditions d ’accès et d ’usage normalement prévus".
L ’indisponibilité d ’un système d ’information résulte soit d ’atteintes majeures à son intégrité, soit d ’une défaillance de l ’organisation technique et humaine nécessaire à son fonctionnement.
11Préconisations européennes pour la sécurité des systèmes d'info hospi. (24)
Les procédures d ’audit des systèmes d’informations médicaux hospitaliers
L ’audit est la condition nécessaire à la qualité d ’un système d ’information et à sa pérennité.
Les procédures doivent être analysées avant la mise en œuvre du système.
Tout système tendant naturellement vers l ’entropie, des procédures d ’audit doivent également être réalisées régulièrement après sa mise en œuvre.
12Préconisations européennes pour la sécurité des systèmes d'info hospi. (24)
LA NORME DE SECURITE EUROPEENNE
POUR LA PROTECTION
DES SYSTEMES D’INFORMATION
13Préconisations européennes pour la sécurité des systèmes d'info hospi. (24)
CLASSIFICATION DES SYSTEMES D’INFORMATIONS HOSPITALIERS EN FONCTIONS DU RISQUE
Disponibilité Confidentialité Intégrité
Catégorie I Critique Sensible Non critique
Catégorie II Non critique Sensible Critique
Catégorie III Critique Sensible Critique
Catégorie IV Non critique Très sensible Non critique
Catégorie V Non critique Très sensible Critique
Catégorie VI Critique Très sensible Critique
14Préconisations européennes pour la sécurité des systèmes d'info hospi. (24)
EVALUATION DE LA CONFIDENTIALITE DE L’INFORMATION
15Préconisations européennes pour la sécurité des systèmes d'info hospi. (24)
EVALUATION DE L’INTEGRITE DE L’INFORMATION
16Préconisations européennes pour la sécurité des systèmes d'info hospi. (24)
EVALUATION DE LA DISPONIBILITE DE L’INFORMATION
17Préconisations européennes pour la sécurité des systèmes d'info hospi. (24)
LA CLASSIFICATION DES MESURES DE SECURITE
Les solutions techniques
Les solutions d’organisation
18Préconisations européennes pour la sécurité des systèmes d'info hospi. (24)
LES SOLUTIONS TECHNIQUES
Protection de l’environnement Protection du système d’information
Contrôle des supports informatiques
Contrôle des transmissions sur réseaux
19Préconisations européennes pour la sécurité des systèmes d'info hospi. (24)
LES SOLUTIONS D’ORGANISATION
Désignation d’un responsable de sécurité Rédaction d’une charte de sécurité
Définition des règles de développement des programmes
Critères spécifiques des personnels sensiblesInformation des personnels sur la protection des données
personnelles et la propriété intellectuelle
20Préconisations européennes pour la sécurité des systèmes d'info hospi. (24)
CONCLUSION (1)
Tous les éléments de sécurité technique mis en
œuvre seront des protections utiles et nécessaires
mais non suffisantes si elles ne sont accompagnées
d ’une véritable sensibilisation des personnels.
21Préconisations européennes pour la sécurité des systèmes d'info hospi. (24)
CONCLUSION (2)
La sécurité d ’un système de télétransmission
d ’informations médicales nominatives ne découle
pas d ’une accumulation hétéroclite de dispositifs
techniques mais de l ’état d ’esprit d ’individus
responsables qui s ’appuient sur la technique pour
servir et protéger les intérêts des patients dont ils
ont la charge.