Guide méthodologique
Fiche 7 - Les modalités de gestion des identités patients . . . . . . . . . . . . .111 Cadre commun des projets de e-santé Asip santé
BILAN DE LA FEUILLE DE ROUTE DU NUMÉRIQUE EN SANTÉ
23 juin 2022 C'est le cas en particulier des établissements du secteur ... exemple le cas de l'Identité Nationale de Santé
Connaître vos risques pour mieux y faire face
17 févr. 2022 quotidien que si les patients et les professionnels de santé leur accordent ... d'information de santé (PGSSI-S) élaborée par l'ASIP Santé.
Ouvrage Collectif SSI Santé
l'ASIP Santé et grâce à la bienveillance et à la passion qui animent cet écosystème ! (verrouillage de l'écran
ATLAS DES SIH 2018
15 mai 2018 La gestion du dossier patient informatisé (DPI) ... (ES ayant suivi une web formation réalisée par l'ASIP Santé). 1865. Etablissement engagé.
Introduction à la sécurité des systèmes dinformation
patients des professionnels et du système de santé. plus d'information
ATLAS DES SIH 2017
o L'informatisation de la gestion des blocs progresse (à 57% des établissements Cet état d'avancement se base sur des données issues de l'ASIP Santé ...
Modèle Word DGOS
des SI l'identité patient unique (Identifiant National de Santé)
Présentation PowerPoint
19 janv. 2017 Lettre ENOVACOM – Cas d'établissement/gestion des identités ... Stratégie : ANSSI – Ministère de la Santé – DGOS – ASIP Santé – ARS & GCS.
BILAN DU PROGRAMME 2012/2017
L'ASIP qui a assuré la mise en œuvre du label « qualité Hôpital Numérique ». santé et la révolution numérique en cours dans le secteur ont constitué et.
![Présentation PowerPoint Présentation PowerPoint](https://pdfprof.com/Listes/21/6079-21communication-hn-sybersecurite.pdf.pdf.jpg)
Chefferie de Projets et Cybersécurité
Technologies biomédicales et CybersécuritéConférence originale
GCS Télésanté Haute-Normandie
19 janvier 2017
Vincent TRELY
ExpertenCybersécuritéetSIS
SystèmesG·HQIRUPMPLRQdeSanté
duMans(2007-2012) internationales 2Que Choisir -Etablissement de santé: Cyberattaques, les virus se répandent -pages 55-56 -NΣ550 -septembre 2016
4a m'intĠresse -Hackers: De Quoi sont-ils vraiment capable -pages 76-78 -NΣ427 -septembre 2016
Biologiste info -Sécurité des SIH: Une prise de conscience qui tarde -juin/juillet/août 2016
France Bleu Maine-Introduction à la Cybersécurité -5 avril 2016Techniques Hospitalière -Et nos données de santé dans tout ça? -pages 43-46 -NΣ756 -mars-avril 2016
Le Maine -3 questions à Vincent Trély-2015 Le Figaro.fr -Les données de santé attirent les hackers -13 février 2015 DSIH-Sécurité des SI: retour du front -pages 34-36 -NΣ14 -janvier 2015Notre Temps Santé -Pour ou contre l'automesure -pages 10-11 -NΣ3 -décembre/janvier/février 2014/2015
Revue Hospitalière de France -4 questions à Vincent Trély-pages 38-40 -NΣ560 -septembre-octobre 2014
DSIH-Les 50 qui font avancer la e-santé -page 49 -NΣ9 -mai 2013 Francetvinfo.fr -Quand des dossiers médicaux se retrouvent sur le net -15 avril 2013 Le Monde -Des dossiers de patients divulgués sur internet -page 11 -NΣ21202 -20 mars 2013 Le Mans TV (LMTV) -La sécurité des systèmes de santé -4 décembre 2012 Lettre ENOVACOM -Cas d'Ġtablissementͬgestion des identitĠs -page 4 -1ersemestre 2011 Hôpital Partenaire -S.I.H -pages 91-93 -NΣ20 -juin 2011 Ouest France -Santé: gare au piratage des données numérisées -2011Votre conférence
Cyberinsécuritégénérale
2.Institutions,LoisetRéglementations
Terrain:VOUS
LerôledeO·MQMO\VHderisques
4.Questions²Réponses²Débat
51B 3RXUTXRL SMUOHU GH Ń\NHUVpŃXULPp j O·+{SLPMO "
6Cyber insécurité générale
Cyber insécurité des systèmes connectés et des SI de santé Des exemples ²Des chiffres ²Des commentaires compromises. seconde. internes,etlesmalwares. 7 EtatEntreprise
Axe économiqueAxe politico militaire
CyberguerreCyber espionnage
Cybercriminalité
Cyberhacktivisme
8 uneaffairedeprimesnonversées.112000-policiers-fuite-internet
informatiques informatiques_4959453_4408996.html 9Juillet 2016 : La Chine probablement mêlée au piratage d'un régulateur bancaire américain
Des pirates informatiques probablement liés aux autorités chinoises ont pénétré au début de la
décennie dans les ordinateurs d'un régulateur bancaire américain, y compris celui de sa présidente,
selon une commission du Congrès américain. regulateur-bancaire-americain--22692400/Juillet 2016 : La Russie pourrait très bientôt publier les emails confidentiels d'Hillary Clinton
2751845.html
10 lescirconstance. sans-concurrence/# 11 `1XPpURV GH ŃMUPHV NMQŃMLUHV GH 2 j 6 ½ D0 ½ MYHŃ OH ŃRGHB `FRGH G·MŃŃqV j GHV MSSOLŃMPLRQV VHQVLNOHV GH 1 j D ½B `.LP GH UMŃNHP LQIRUPMPLTXH 100 ½B `9HQPH GH YLUXV GH 100 j 2 000 ½B `IRŃMPLRQ G·XQ Botnet 8 ½ SRXU XQH heure. `Attaque GG26 GH D00 j 1 D00 ½B `2XPLO G·HQYRL MŃŃRPSMJQp GH ŃD PLOOLRQV G·MGUHVVHV GH PHVVMJHULH 140 ½ Ń20 PLOOLRQV G·MGUHVVHV GH PHVVMJHULH 3D0 ½ `GRVVLHU ŃRPSOHP G·XQH SHUVRQQH SO\VLTXH D0 ½ `IRJLŃLHO G·HVSLRQQMJH VRSOLVPLTXp D0 000 ½ `%MVHV GH GRQQpHV G·HPMLOV GH PRXV P\SHV GH 100 j 10Un dossier médical serait revendu 50 dollars
(estimations actuelles entre 50 et 250$) contre une trentaine de dollars pour des codes de carte bancaire 12 13 technologiesnumériques 14 14 communications! développementAlorslesystèmeV·MGMSPHetfaitusage"
15 16 17 18 deshackersprésuméschinois. 19 inquiétés. www.zataz.com 20 radiothérapie. 21Des hackers russes dérobent 600 000 données personnelles de patients d䇻une Institution de santé américaine ²
Juillet 2016
La société américaine spécialisée en sécurité, InfoArmor, vient de révéler un vol massif de données de patients
américains, dont ont été victimes les Institutions de santé américaines. Le vol perpétré par un groupe de hackers
russes concernerait près de 600 000 données personnelles de patients américains. 22L䇻assureur américain Anthem, la mutuelle outre-Atlantique PremeraBlue
FURVV RX OH OMNRUMPRLUH IUMQoMLV I$%H2"
23Le matériel médical est trop sensible aux cyber-attaques selon la FDA
La FDA a publié un communiqué pour rappeler aux professionnels de la santé américains les dangers pouvant
SURYHQLU GH SLUMPMJHVB I·RUJMQLVPH MSSHOOH MLQVL j XQH YLJLOMQŃH H[PUrPH HP XQH PHLOOHXUH SURPHŃPLRQ GHV
équipements médicaux. Tous les appareils, du Pacemaker au scanner Rayons X peuvent être piratés et peuvent ainsi
présenter un danger pour les patients. 24LES ETABLISSEMENTS DE SANTÉ ET LA SÉCURITÉ
Un hacker parvient à pirater un pacemaker
Expert en sécurité informatique chez IO Active, Barnaby Jack Barnaby V·HVP OLYUp j XQHdémonstration plutôt inquiétante lors du congrès Breakpoint2012, PHQGMQP j PRQPUHU TX·LO HVP
possible de pirater un stimulateur cardiaque à distance.Installé j XQH GL]MLQH GH PqPUHV GH O·MSSMUHLO PpGLŃMO HP PXQL XQLTXHPHQP G·XQ RUGLQMPHXU
SRUPMNOH %MUQMN\ -MŃN M UpXVVL j OXL HQYR\HU SOXVLHXUV GpŃOMUJHV GH 830 YROPV ŃH TXL V·LO MYMLP pPp
porté par un être humain aurait provoqué une crise cardiaque. IRUV GH VM GpPRQVPUMPLRQ O·H[SHUP M H[SOLTXp rPUH SMUYHQX j VH SURŃXUHU OHV GRQQpHV confidentielles des porteurs de stimulateurs cardiaques distribués par une grande marque, dont ilQ·M SMV GRQQp OH QRPB *UkŃH j ŃHV GRQQpHV LO M SX HQVXLPH LPSOMQPHU XQ ORJLŃLHO ŃRUURPSX GHVPLQp j
SHUPXUNHU OH IRQŃPLRQQHPHQP QRUPMO GH O·MSSMUHLO PpGLŃMOBUne démonstration destinée à prévenir les entreprises concernées de la nécessité de développer
OHXU Ń\NHUVpŃXULPp IMŃH MX[ ULVTXHV G·"assassinat anonyme». un-pacemaker/ 25LES ETABLISSEMENTS DE SANTÉ ET LA SÉCURITÉ Les hackers veulent faire des gains rapidement et les internautes lambdasont ceux dont le système informatique est le moins sécurisé. Le développement des objets connectés les met aussi en danger. Ceux de la maison permettent par exemple aux hackers de savoir si vous êtes chez vous et si vous êtes seul ou non, en IRQŃPLRQ GH OM ŃRQVRPPMPLRQ GH YRPUH NMOORQ G·HMX
ŃOMXGH RX G·pOHŃPULŃLPpB
Les objets connectés dans le domaine de la santé présentent également des risques. Dans un rapport, Europol mentionnait que les objets connectés étaient un nouveau terrain de jeu etprédisait un premier meurtre par hacking. Récemment, Dick Cheney lui-PrPH O·MQŃLHQ YLŃH- président des Etats-Unis, a fait désactiver la fonction sansILO GH VRQ SMŃHPMNHU GH SHXU G·rPUH SLUMPpB
26LES ETABLISSEMENTS DE SANTÉ ET LA SÉCURITÉ LES ETABLISSEMENTS DE SANTÉ ET LA SÉCURITÉ 27
l'arrêtercomplètement. LES ETABLISSEMENTS DE SANTÉ ET LA SÉCURITÉ 28
publicetdisponible. LES ETABLISSEMENTS DE SANTÉ ET LA SÉCURITÉ 29
Hackers:votresantélesintéresse
O·H[PpULHXUdeslocauxhospitaliers.
LES ETABLISSEMENTS DE SANTÉ ET LA SÉCURITÉ 30est"connecté»àinternet. cettenature. médicalessontstockéessurleweb. enpleinmilieudelaprocédure crucialenpleinmilieudeO·RSpUMPLRQ 31
LES ETABLISSEMENTS DE SANTÉ ET LA SÉCURITÉ congrèsdel'APSSIS. 32
LES ETABLISSEMENTS DE SANTÉ ET LA SÉCURITÉ
La Loi (Droit des Patients, Santé, Programmation Militaire, Renseignement) ²la CNIL ²les Normes
Stratégie : ANSSI ²Ministère de la Santé ²DGOS ²ASIP Santé ²ARS & GCS Tactique : Gouvernance SSI -PSSI ²Chartes ²Acculturation aux bonnes pratiquesTerrain : VOUS
Contrôle : RSSI ²Certifications HAS ²Audits DGOS ²CNIL ²Certification des comptes ²ISO 27XXX
33`LadisponibilitédesSI autresadministrations. performance. desactions,lecontrôledesusages 34
35
`Réputation / image ŃGH O·pYpQHPHQP TXL QH SRUPH SMV MPPHLQPH j O·LPMJH GH O·pPMNOLVVHPHQP MX rejet définitif des patients pour un établissement `Social & organisation ŃGH OM JqQH SRQŃPXHOOH j O·MUUrP SURORQJp GH PRXPH MŃPLYLPp GH VRLQV ŃDe la démotivation du personnel au conflit social `Financier ŃGH OM SHUPH VMQV LPSMŃP VLJQLILŃMPLI j ŃHOOH UHPHPPMQP HQ ŃMXVH O·pTXLOLNUH
ILQMQŃLHU GH O·pPMNOLVVHPHQP
`Responsabilité / juridique ŃGH O·MIIMLUH ŃOMVVpH VMQV VXLPH j OM ŃRQGMPQMPLRQ SpQMOH RX ULVTXHV judiciaires `PatientŃGH O·LQŃRQIRUP MX GpŃqV
3637
Protection des
données à caractère personnel (Loi n°78-17 du 6 janvier 1978 ou loi "Informatique et Libertés»)Protection de la propriété intellectuelle
(Code de la Propriété Intellectuelle)Protection du secret professionnel,
dont le secret médical (art 226-13/14/15 du Code Pénal, code du Travail)Secret descorrespondances,
respect de la vie privée (Article 9 du Code Civil)Lutte contre la fraude informatique
(art 323-1 à 323-7 du Code Pénal, Loi "Godfrain»)Lutte contre la délinquance et le terrorisme
Loi anti-terrorisme de 2006, Loi d'Orientation et de Programmation pour la Sécurité Intérieure (LOPSI), Plan PiranetContrôle financier
(Loi de sécurité financière)Sécurité des communicationsInternet
(Code des postes et des communications électroniques, Loi pour la confiance dans l'économie numérique, Loi Création et Internet)Protection de l'ordre public
(article 227-24 du Code Pénal) Protection des données de santé à caractère personnelArticle L1111-8 du Code de la santé publique
Accès illicite à des données, falsification de documents, modification de donnéesD MQV GH SULVRQ HP 300 000 ½
(article 452-5 du Code pénal / Loi Godfrain) Divulgation du ŃRQPHQX G·XQH ŃRUUHVSRQGMQŃH SULYpH1 MQ GH SULVRQ HP 4D 000 ½ (article 226-15 du Code pénal) Divulgation de données à caractère personnel ²Sur des HVSMŃHV SXNOLŃV RX VXLPH j O·MPPULNXPLRQ GH GURLPV QRQ conformesD MQV GH SULVRQ HP 300 000 ½
(articles 226-21 et 323-2 du Code pénal / LoiInformatique et Libertés)
Ces sanctions peuvent venir compléter des sanctions disciplinaires internes3URSMJMPLRQ G·XQ YLUXV NORŃMJH GH ŃRPSPHV
informatiquesD MQV GH SULVRQ HP 7D 000 ½
(article 323-2 du Code pénal / Loi Godfrain) Téléchargement de fichiers protégés (musique, films), copie illicite de logiciels3 MQV GH SULVRQ HP 300 000 ½ (articles
122-4, 335-3 du Code de la propriété
Intellectuelle)
3839
40
YAssurer la disponibilitédes systèmes informatiques, pour une continuité de fonctionnement de nos applications métiers YAssurer la fiabilité et la traçabilité des actions réalisées avec les applications médicales YÉviter la fuite de nos informations sensibles en assurant leur confidentialité EQ SMUPLŃXOLHU OHV GRQQpHV GH VMQPp GH QRV SMPLHQPV MLQVL TXH OHV GRQQpHV GH O·HQVPLPXPLRQ I·LQIRUPMPLTXH HVP GH SOXV HQ SOXV XPLOLVpH HQ PLOLHX ORVSLPMOLHU HP HVP GHYHQXH LQGLVSHQVMNOH SRXU MVVXUHU OHV MŃPLYLPpV GH O·O{SLPMO. Les personnels techniques ont un rôle particulier à jouer en matière de VpŃXULPp GH O·LQIRUPMPLRQ SMU OHXUV PLVVLRQV HP OHXUV UHVSRQVMNLOLPpVB IHV Chefs de Projets, souvent au centre, ont une position particulière favorable. 41
Juridique et conformitéOrganisationnel
ÎDégradation du climat
socialÎFermeture
administrativeÎDésorganisation
interneÎAtteinte à la
confidentialité des donnéesÎNon-respect du secret
médicalÎSanctions légales
(civiles et pénales)ÎInfractions à la
réglementation du domaine de la SantéÎMise en danger de
patients ÎÉvènements indésirablesNon-respect du secret professionnelÎCoûts supplémentaires
de fonctionnement, de reconstruction en cas de dégradation du matérielÎPerte financière /
manque à gagnerÎPerte de confiance des
patients et des partenairesÎPublications négatives
dans la presseÉconomique
Atteinte à la santé des
patients 42`www.ssi.gouv.fr `Les référencements et labellisations `Les guides techniques et méthodologiques 43
`www.esante.gouv.fr `Rubrique PGSSI ²
Documents validés
4445
46
(QVHPNOH GH QRUPHV SRXU OM ŃRQŃHSPLRQ HP OM PLVH HQ ±XYUH G·XQ V\VPqPH GH JHVPLRQ GH OM VpŃXULPp GH
O·LQIRUPMPLRQ
47RH-CONF:personneldeconfiance.
rappelées. 48ORG-TIERS:gestioncontractuelledestiers
INT-PRES-CS:clausesdesécurité
EXP-CI-OS:systèmesG·H[SORLPMPLRQ.
4950
LaPSSI
lancer! exigencesdesnormesetcertifications tiers métiers(PRA,PCAMétiers) danslesystèmeenconstruction 51LaChartedebonusageduSI
déontologiePourrépondreauxexigencesdelaLoi
messagerieélectronique,surlesespaces numériquesàdispositionUnchampG·MSSOLŃMPLRQdéfini
Uneopposabilitéjuridique
Dessanctionsgraduellesencasdenonrespect
52Statuts du Chef de Projet : Son rôle central ²Un observateur privilégié ²Un pouvoir délimité actif
Pertinence de son rôle : Application intelligente des règles ²Pédagogie ²IMQŃHXU G·MOHUPHV
Analyser les risques en amont, pendant et en aval
Statuts des Ingénieurs, Techniciens et Experts des Technologies biomédicales :Rôles ² Responsabilités -Un pouvoir délimité actifPertinence des rôles :Application intelligente des règles ²Pédagogie ²Indicateurs et Reporting ²
IMQŃHXU G·MOHUPHV
533. Vous sur le terrain : vos pouvoirs, vos
organisations, vos responsabilités 5454
GLVSRVHQP GH GURLPV pPHQGXV VXU OHV 6\VPqPHV G·HQIRUPMPLRQ
5LVTXH GH IXLPH G·LQIRUPMPLRQV sensibles et de
données personnellesPar ses missions et responsabilités,
OH SHUVRQQHO ŃOMUJp GH OM PLVH HQ ±XYUH GHV V\VPqPHV G·LQIRUPMPLRQ5LVTXH G·XPLOLVMPLRQ MNXVLYH GH PMQLqUH
intentionnée ou non) de ces droits, ouG·XVXUSMPLRQ SMU XQ PLHUV A
Risque de perturbation des activités
médicales en ŃMV G·LQŃLGHQP GRLYHQP SURPpJHU OHV GRQQpHV GH O·pPMNOLVVHPHQP GHV MJHQPV HP GHV SMPLHQPV HQ PHUPH GH ŃRQILGHQPLMOLPp HP G·LQPpJULPp Jouent un rôle prépondérant dans le bon fonctionnement des6\VPqPHV G·HQIRUPMPLRQ HP GMQV OH PMLQPLHQ GH OHXU VpŃXULPp j XQ
niveau optimalRisque G·MPPHLQPH MX VHŃUHP professionnel
2QP OM SRVVLNLOLPp PHŃOQLTXH G·MŃŃpGHU j GHV GRQQpHV sensibles,
mais ne doivent y accéder que dans le cadre de leur activité professionnelleVotre mission
Assurer la qualité de service, la sécurité et la bonne utilisation des ressources informatiquesVotre obligation
Respecter les règles de déontologie de
O·HQVPLPXPLRQ GMQV OH ŃMGUH GH O·H[HUŃLŃH GH vos fonctionsVotre devoir
Dénoncer les crimes et délits (obligation
légale) Par exemple: ouverture de correspondances privées, LQPUXVLRQ VXU OH 6H XVXUSMPLRQ G·LGHQPLPp modification ou falsification de traces, contrefaçon (copie de MP3 ou de films"Par exemple: se tenir à son strict devoir de
confidentialité, protéger la vie privée des personnes et le secret des correspondancesPour rappel, vous êtes responsable de
O·XVMJH TXH YRXV IMLPHV GHV UHVVRXUŃHV
informatiques 559Suis-je légitime pour accéder aux informations que je suis sur le point de consulter ?
9Ces informations sont-elles authentiques?
9Les informations que je gère actuellement sont-elles confidentiellespour moi, nos
SMPLHQPV RX SRXU O·HQVPLPXPLRQ? Par exemple, relèvent-elles du secret médical ?9Les actions que je suis sur le point d'exécuter sont-elles de nature à me nuire, à nuire
j QRV SMPLHQPV RX j O·HQVPLPXPLRQ?9Est-ce que je prends les mesures appropriées pour protéger ces informations ?
9Ai-je des incertitudesquant à la manière de gérer cette situation délicate ? Si oui, ai-je
sollicité le personnel approprié (mon supérieur hiérarchique, le 566H" pour P·MLGHU " 56Sonpositionnementprivilégié
9UnrôlecentralentrelesMOAetlesMOE
9Unpiedchezlesmétiers,unautrechezles
Directionsfonctionnellesettechniques
9Unobservateurpertinentdescomportements
maisunpouvoirquandmême!O·HQVHPNOHdusystème.
57Sonrôleopérationnel
O·pTXLOLNUHduprojet
9Solliciterdesarbitragessibesoin
lancement?WAN...)?
58I·$QMO\VHdesRisques:un
processusindispensable,une ressourcepourleChefdeProjet Contribue à une meilleure maitrise des risques et une augmentation du niveau de sécurité 59ÎFaire de la sécurité "avant» et non "aprèsª " OHV SURNOqPHV A Améliorer le niveau global de Sécurité du SI en prenant en compte les besoins de sécurité dès le début du projet
Optimiser les coûts
en adoptant un niveau de sécurité en adéquation avec lesquotesdbs_dbs32.pdfusesText_38[PDF] DEFINITION D UN PROJET
[PDF] ENTENTE DE RECONNAISSANCE MUTUELLE
[PDF] Réseau des Référents Handicap des Entreprises Nationales et d Ile de France
[PDF] HISTORIQUE ET PRESENTATION DU CADRE JURIDIQUE DES SFD DANS LA ZONE UMOA
[PDF] Intégration de la simulation dans une stratégie d apprentissage de la sécurité
[PDF] LICENCE ASTER. PARCOURS en bicursus ASTER «Arabe Sciences de la Terre»
[PDF] Le projet d organisation du programme PRADO ( CPAM/DRSM)
[PDF] Votre contact : 1/13 Accueil Groupes Mineurs - Eté 2015
[PDF] 1. RENSEIGNEMENTS RELATIFS AU DEMANDEUR (1 page maximum)
[PDF] MASTER 2 PROFESSIONNEL : DEVELOPPEMENT DES RESSOURCES HUMAINES. Année universitaire 2014/2015 INTERLOCUTEURS
[PDF] Règlement d organisation pour le projet de coopération «E-lib.ch Bibliothèque électronique suisse»
[PDF] DEVENEZ JUGE CCE. Rectificatif applicable au 1 er Janvier 2015
[PDF] Windows 10 Livre de référence
[PDF] Bilan d émissions de Gaz à Effet de Serre (GES) de BAYER SANTE SAS SIREN : 706 580 149