[PDF] Connaître vos risques pour mieux y faire face

View - Download Connaître vos risques pour mieux y faire face

Previous PDF

Next PDF

Mémento

àl'usage

dudirecteur d'établissementdesanté

Connaîtrevosrisques

pourmieuxyfaireface

Cybersécuritéédition2017

Vulnérabilités

Protectiondeladonnée

Gouvernance

Pilotageetcontrôle

2

CeguideestͲilfaitpourvous?

Vouspouvez,peutͲ

êtreactualiservos

connaissancesen lisantcemémento

N'hésitez

pas cemémentoest faitpourvous! 3

Le mot de la directrice générale

de l'offre de soins numériquefavoriseeneffetl'échange, lepartage,etdoncle d'information. confiance. les de enoeuvre.

»disponibleàlafin

BonneLecture,

CécileCourrèges

4

En Bref

sécurité. caractèrepersonnelconcernantla joursetquiconcerne

Silepremierpasvers

de d'information,dûmentmandaté.

Santé,

er octobre2017,ildispose desonsystèmed'information. 5

Tabledesmatières

Vulnérabilité

1. L'universnumériquequientourelepatients'accroîtsanscesse6

2. Lessystèmesd'informationvousfontͲilsprendredesrisquesinconsidérés?8

3. L'engagementdansunedémarchedegestiondesrisquesnumériques10

4. L'incidentdesécurité12

Protectiondeladonnée

5. Lenouveaurèglementeuropéendéfinitlesdonnéesdesanté14

6. Laresponsabilisationdesacteursetleconsentementdespersonnes16

7. L'hébergementdesdonnéesdesanté18

8. Disponibilité,intégrité,confidentialitéetpreuve20

9. HôpitalNumérique:poserunsocledesécuritédebaseincontournable22

Gouvernance

10. L'organisationcollective:premierpasverslaréductiondesrisques24

11. Lesréférentielsdesécuritécommemoyend'avancer26

12. Lescertifications:del'incitationaucontrôle28

Pilotageetcontrôle

13. Ladémarchedesignalementdesincidentsdesécurité30

14. Lagestiondesrisquescommemoteurdel'améliorationcontinue32

Remerciements39

6

L'univers numérique qui entoure le patient

s'accroît sans cesse d'accompagnerlemieuxpossiblepour entirertouslesbénéfices sanss'exposeràdenouveauxrisques.

Latransitionnumériquetouchetousles

directaveclaproductiondessoins,queceux fonctionnementdel'hôpital notrequotidien

Lesrisqueslesplusélevésconcernent

unvéritablepatrimoine,deplusenplus convoité.Ildevientdoncessentiel votreétablissementafinderéduireles peuventêtreexposées. cesse,laprisedeconscienceest essentielle

Ilestimportantdegérerlerisquecommeun

deceguideestdevousaideràenpercevoir touslesenjeuxetàvousorienterdansla miseenplacedesoutilsdepilotage,les actionsd'auditetdesuivi.Lebut dela gestiondesrisquesdoitresterlaprotection dupatient,devoséquipes,etdevousͲ même.

Lesprogrammesnationauxetles

orientationsdepolitique publiquesoutiennentla transitionnumériquedansle secteurdelasanté,citonsàtitre d'exemple: - LeprogrammeHôpital

Numérique

- LesprojetsTerritoirede soinsnumériques - Lamiseenplacedes

GroupementsHospitaliersde

Territoiredanslecadredela

loidemodernisationde notresystèmedesanté 1

Vulnérabilité

7 l'affairede d'informationdel'établissement. environnementmatérielimmédiat.

MédecinsChirurgie

LABM

Dispositifs

médicauxactifs

Médicaments

Stérilisation

Dispositifsmédicauxpassifs

Horodatage

Dossier

Patient

Dispositifsmédicauxpassifs

Climatisation

StocksPhysiques

Contrôleenvironnement

Climatisation

Médecins

prélèvements

Médecins

commandes commandes LABM

Médecins

Energie

Energie

Planning

Dossier

Patient

Energie

Armoire

Pharmacie

Lecteurs

codesbarre

Lecteurs

codesbarre commandes

Armoire

Pharmacie

Imagerie

8 Les systèmes d'information vous font-ils prendre des risques inconsidérés ? outilsqu'ils utilisentchaquejour.

LaprogressionréelleduDossierPatient

enplussurlesystèmed'information(SI). duresteduréseauinformatiquetendà disparaître.Lepilotagedeces

équipementset

lesdonnéestraitéessetrouventdonc d'Information(SI). travail...maiselleestaussiporteusede nouveauxrisquesetdenouvellescontraintes.

Ainsi,lamiseenplaceduDPI

doitêtre adaptéeauxexigencesfixéespar

UndysfonctionnementduSIentraînantun

impactfortsurunepriseencharged'un patient.

Qu'estͲcequ'unrisque?

C'estunscénarioquicombine:

- Unévénementredoutéet - Uneouplusieursmenaces.

Onestimesonniveaupar:

- Sagravité(hauteurdes impacts) - Savraisemblance (possibilitéqu'ilseréalise) 2

Vulnérabilité

9

établissementsdesanté

Lesrisques

Lesdangers

Les vulnérabilités

Unesituation

dangereuse créeune menace

Laréalisation

d'un

événement

redouté causel'incident desécurité

Incidentde

sécurité

Unvirus

informatiqueen circulation

Unemiseàjourou

uncorrectifnon appliqué

L'ouvertured'une

piècejointe

L'arrivéeduvirus

danslesystème

Plusd'accèspossible

audossierpatient

Touslesfichiersdes

serveurs informatiquessont cryptés

Désorganisationde

lapriseenchargedu patient

Impactsurla

sécuritédu patient 10

L'engagement dans une démarche de gestion

des risques numériques est une réelle opportunité de mieux accompagner l'évolution de son établissement culturedesécuritédessoins,il s'agitdefairedelasécuritéune managers» 1 systèmed'informationdevientaussiune exigence qualitédessoins.

Ilestdoncdelaresponsabilitédu

directeurdessoins,directeurdesressources d'établissements)delapromouvoir

Témoignage

"Dansunétablissementd'un groupedecliniques:Suiteau licenciementdifficiled'uninfirmier, cedernier,viasaconnaissancedes identifiantsetmotsdepassede médecins,aprocédéàde nombreusesprescriptionssans fondementobligeantlecorps médicalàvérifierchaque prescriptionfaiteaucoursdes dernièressemaines» déléguée. 3

Vulnérabilité

1

Source:https://www.hasͲsante.fr

11

évaluerlesimpactspotentiels

possiblelesimpacts. mesurésdanstoutesleurscomposantes. environnementsetdesexigencesdespatients.

Stratégique

Lerisqueopérationnelmetenjeutoutesles

l'établissement.

Opérationnel

réputationdel'établissement. Image directementlereprésentantlégal.

Juridique

auxamendes,etc.

Financier

peuttoucheraussibienlespatientsqueles professionnelsdesanté.

Facteur

Humain

12 L'incident de sécurité : l'éviter, c'est avant tout connaître et réduire ses vulnérabilités, identifier les situations dangereuses et apprendre à réagir face à elles niveaux:

1. Connaîtrelesdangersauxquels

onestexposé

2. Comprendresesprincipales

vulnérabilitésetchercheràles réduire

3. Essayerdedétecterauplustôt

toutesituationdangereuse

4. S'organiserpourgérer

l'incidentdesécurité

Lacartographiedesrisquesestlapierre

touteconnaissancedecause,aubonniveaude décision.

Elles'appliquetoujourssurun

périmètre d'activitéparfaitementdéfini.

HôpitalNumérique)

4

Vulnérabilité

Vudanslapresse

1

5février2017ͲLespirates

informatiquesattaquentle

PresbyterianMedical

CenterdeHollywood

L'établissementmédical,quicompte

434litsetoeuvreàlafoisdansle

domainedel'obstétrique,dela pédiatrie,delacardiologie,maisaussi delacancérologie...,apubliéle17 févrieruncommuniquédanslequel sonprésident,apportequelques précisionssurcetteattaque."Dansla soiréedu5février,écrit

Ͳil,nos

équipesnousontrapportédes

problèmesd'accèsauréseau informatiquedel'hôpital.Notre serviceinformatiquea immédiatementidentifiéqu'un cesdysfonctionnements.Cemalware avaitcryptél'accèsàcertainsdes serveursetnousempêchaitde partagernosdossiersnumériques.La policeaété saisie.Desexperts déterminerl'origineduproblèmeet remettrenotresystèmeen fonctionnement." 1 13 de38%danslemondeen2015,et51%enFrance.

épargnée:selonunarticlerécent

1 ,surle concentréleurseffortssurledomaine secteur,lesincidentsliés

àlasécuritédessystèmes

commeailleurs,unimpactéconomique.Leur publicsetpourtouslesproducteursdesoins troisétapes6,12et18mois dessystèmesd'informationdanstoutesles unhautniveau miseenoeuvrene

Quelquesconséquences

decyberͲattaques

Àtitred'exemples,uneintrusion

avecmisehorsservicedes systèmesd'informationd'uneARS pendant24haengendrédescoûts d'interventionparunprestataire del'ordrede10000€,lapertede

40000€,soituntotalde50000€;

Un cryptovirusenEHPADacoûté

50000€encoûtsdirects

d'interventionetcoûtsindirects;

Lepiratagedustandardd'uncentre

hospitalieragénéréune surfacturationdetéléphoniede l'ordrede40000€. 1 14

Le nouveau règlement européen

1 donne une définition des données de santé et fixe le cadre de leur protection prestationdeservicesdesoinsdesanté, quirévèlentdes hôpital,d'undispositif caractéristiques dites"sensibles» - Renforcerlesdroitsdespersonnes,notammentparlacréationd'undroitàla personnesmineures; - Responsabiliserlesacteurstraitantdesdonnées(responsablesdetraitement etsousͲtraitants) - Crédibiliserlarégulationgrâceàunecoopérationrenforcéeentreles autoritésdeprotectiondesdonnées. vigueur 5

Protectiondeladonnée

1

Source:

CNIL 15

DataProtectionOfficer(DPO)

16

Protectiondeladonnée

La protection des données est fondée sur la

responsabilisation des acteurs et le rôle donné au consentement des personnes. quigarantitlaprotectiondelavieprivée. personnesconcernées parlestraitementsdedonnées.

Alorsquelarèglementationnationale

reposaitjusqu'alors,engrandepartie, surlanotionde"formalités lerèglementeuropéenreposeluisur unelogiquedeconformité,dontles acteurssontresponsables,sousle contrôleetavecl'accompagnementdu régulateur l'usagedeleursdonnéesetdoiventen principedonnerleuraccordpourle traitementdeleursdonnées,oudoivent pouvoirs'yopposer.Lachargedela preuveduconsentementincombeau responsabledetraitement.Ilest primordialpourlesétablissementsde garantirleurconfidentialité, uneperte dedonnéepouvantreprésenterdes risquesmajeurstantauniveaude l'imagedel'établissementqu'auniveau dupréjudicepourlavictimeduvolde donnée.

Laconséquencedelaresponsabilisation

traitementsneconstituentpasunrisque pourlavieprivéedespersonnes.Quant privée. 6

Unefuitededonnées

impacte1300patients

LasociétéRiverMendHealthen

Géorgieadécouvertqu'unepersonne

nonautoriséeavaitaccédéaucompte demessageried'undesesemployés.La desantéetd'aideàlapersonne,y comprisdesservicesd'aidecontrela toxicomanieetàl'alcoolisme.L'accès nonautoriséaété détectéle10août

2017,lorsquedescourrielssuspects

ontétéenvoyésdepuislecomptede l'employé.Cescourrielsontalorsfait l'objetd'uneenquêteetlecomptea

étébloquéle11août2017.Les

donnéesparcourrierpostaletont

été

informésquelesinformations suivantesétaientpotentiellement accessibles:noms,âges,adresses, traitements,diagnosticsainsiqueles informationsrelativesauxassurances etàlafacturation.

Source:https://www.cyberveilleͲ

sante.gouv.fr

Source:CNIL

17 desécurité confidentialitéappropriées. personnesconcernées estrequisesicette privée»(EIVPouDPIAouEIPD)

Sil'analysedesrisquesdessystèmes

pourlepatientoul'agent.Pourtousles complète,faisantapparaître etde lumièredeses caractéristiquesetconséquences. 18

Protectiondeladonnée

L'hébergement de données de santé s'inscrit dans un cadre règlementaire spécifique publique: prévention,dediagnostic,desoinsoude suivisocialoumédicoͲ d'hébergementdedonnéesdesanté: papier,quidoitêtreréalisépar décret2011Ͳ246); serviced'archivage ordresdesprofessionsdesanté. 7 19 etc.)etdesreprésentantsd'industriels externalisée. desdonnéesconcernantuniquementdes obligationrèglementaire.Maiscelane signifiepasquevousnedevezpasavoirla mêmeexigenceenmatièrede sécuritédes systèmesd'information.

Leréférentielde

certificationHébergeurquotesdbs_dbs32.pdfusesText_38

[PDF] Licence professionnelle Production et gestion durable de l énergie électrique

[PDF] 2. Résumé de la proposition Courte description de la proposition et de ses objectifs. (Au plus 300 mots)

[PDF] Instructions aux employeurs (numéro 1)

[PDF] Objet, domaines spécifiques et durée. du 19 août 2014 (Etat le 1 er septembre 2015)

[PDF] L indépendant a-t-il intérêt à s affilier au deuxième pilier? Tour d horizon des possibilités Pierre Novello*

[PDF] NOTRE OFFRE DE SERVICES ÉNERGÉTIQUES

[PDF] RISQUE INFECTIEUX ET PROTECTION DE L ORGANISME. Chapitre 1 : Le risque infectieux

[PDF] Mode d emploi animateurs Gestion des tribus sur le site RMS Network

[PDF] POLITIQUES LOCALES FONDS JEUNES PROMOTEURS OBJECTIF DU FONDS DESCRIPTION DES VOLETS

[PDF] Les femmes **** **** Historique

[PDF] Fonds Jeunes Promoteurs (FJP)

[PDF] Infections sexuellement

[PDF] INSCRIPTIONS PEDAGOGIQUES. Année universitaire 2015/2016. Semestre 6 (Janvier-Mai 2016)

[PDF] Mobilisation des dispositifs de formation tout au long de la vie pour gérer la crise et anticiper la reprise

[PDF] Le management de l énergie. L expertise Swiss Electricity