Avertissement
|
|||||||||||
Si vous arrivez
directement sur cette page, sachez que ce travail est un rapport
d'étudiants et doit être pris comme tel. Il peut donc
comporter des imperfections ou des imprécisions que le lecteur
doit admettre et donc supporter. Il a été
réalisé pendant la période de formation et
constitue avant-tout un travail de compilation bibliographique,
d'initiation et d'analyse sur des thématiques associées
aux concepts, méthodes, outils et expériences sur les
démarches qualité dans les organisations. Nous ne faisons aucun usage commercial et la
duplication est libre. Si vous avez des raisons de contester ce droit
d'usage, merci de nous en faire part .
L'objectif de la présentation sur le Web est de
permettre l'accès à l'information et d'augmenter ainsi
les échanges professionnels. En cas d'usage du document,
n'oubliez pas de le citer comme source bibliographique. Bonne
lecture...
|
|||||||||||
Sécurité de l’Information Hospitalière Développement d'une grille de positionnement au regard des exigences de l'ISO 27799 |
|||||||||||
Référence
bibliographique
à
rappeler
pour
tout
usage
: |
|||||||||||
RESUME Dans le but d’aider les hôpitaux à connaître leur niveau de sécurité de leur système d’informations, un outil d’autoévaluation au regard des exigences de l’ISO 27799 (Gestion de la sécurité de l'information relative à la santé en utilisant l'ISO/CEI 27002) a été créé. En effet, il leur est nécessaire de pouvoir maîtriser la disponibilité de leurs documents, leur intégrité et leur confidentialité. La maîtrise de ces trois éléments leur permet de gagner en efficience dans le management de la sécurité de leur information. Il permet aux hôpitaux de satisfaire les exigences relatives aux systèmes de sécurité de l’Information, du référentiel de la HAS. Mots clés : ISO 27799, disponibilité, confidentialité, intégrité, sécurité, système d’information,HAS. Summary On purpose to help hospitals to learn the security level of their information system, an auto-evaluation tool has been created on base of ISO27799 (Information security management in health using ISO/IEC 27002). In fact, it’s necessary for hospitals to be able to ensure availability, integrity and confidentiality of their documents and data. By well control of these three elements, hospitals could efficiently maintain the security of their information system, as well as satisfying the information security requirements of HAS (French National Authority for Health). 概 要 关键词 : ISO27799, 实用性,完整性, 保密性,安全,信息系统, HAS.。 |
Nous souhaitons tout
d’abord remercier M. Jean Pierre
CALISTE notre tuteur et M. Gilbert FARGES pour leur aide, leurs
encouragements
et les précieux conseils qu’ils ont pu nous donner.
Nous
pensons
aussi à M. Stéphane PIERREFITTE, M. Gery
MOLLET, M. Julien ROUSSELLE et Mme Agnès LIEDORP pour leurs
réponses et les
connaissances sur la
sécurité des systèmes d’informations dans le
milieu hospitalier
qu’ils
ont
pu
nous
procurer.
Votre
aide
nous
a
été
d’une
grande
utilité.
Nous remercions aussi chaleureusement toute la promotion du Master Qualité pour avoir suivi notre projet pas à pas et nous avoir fait part de leurs remarques au cours des différents oraux.
Dans
le cadre du projet d’intégration du M2 management de la
qualité, nous avons
choisi de porter notre attention sur la mise en place d’un outil
d’autodiagnostic permettant d’évaluer le niveau de
sécurité de l’information
selon la norme ISO 27001 [1].
En
effet,
les
systèmes
d’informations
ayant
connu
de
nombreuses
évolutions
ces
dernières
années, il s’est avéré
nécessaire d’assurer leur sécurité.
Aujourd’hui, le nombre de certifications ISO/IEC 27001 dans le
monde s’élève à
6826, tout secteurs confondus avec une forte disparité selon les
pays comme
nous pouvons le voir dans le document 1 suivant :
Parmi les 19 entreprises certifiées à ce jour en France, aucun hôpital n’est présent, la plupart des certifiés étant des sociétés d’infogérance. Le peu de certifications ISO 27001 recensées en France peut s’expliquer de plusieurs façons.
La première est la durée de la préparation à la certification qui dure en général pendant 1an, ce qui peut décourager les entreprises. De plus, il faudra fournir beaucoup d’efforts internes mais aussi obtenir une assistance externe. Notons aussi qu’il existe des normes, l’ISO 13335 et ISO 15408 qui sont des normes relatives aux technologies de l’information, techniques de sécurité et critères d’évaluation pour la sécurité, peut être ces normes sont-elles plus accessibles et plus faciles à mettre en place que l’ISO 27001.
Le secteur hospitalier est un lieu de création, de circulation et d’échange important d’informations, qu’elles soient sous format informatique ou papier. Ces informations doivent êtres disponibles, intègres et doivent rester confidentielles.
les récents statistiques dans le domaine de la sécurité de l'information montrent qu'actuellement une augmentation de l’utilisation de référentiel GMSIH (Groupement pour la Modernisation des Systèmes d’Information Hospitalier) a augmenté de +14% [3] et qu'un responsable sécurité est clairement identifié dans plus d’un tiers des hôpitaux. Par contre, seulement 7% des hôpitaux disposent d’un tableau de bord sécurité. De plus, d’après une enquête du CLUSIF [4] de juin 2010, 60% des hôpitaux ne font pas d’analyse de risque, un tiers n’ont aucun contrôle des mots de passe et 31% n’ont pas connaissance que leur système de sécurité de l’information est soumis à une réglementation. Le milieu hospitalier, bien que réalisant des efforts dans la gestion de la sécurité des informations, possède encore beaucoup de lacunes.
Afin de bien comprendre la situation, il est nécessaire de définir les termes suivants, dont la définition suit celle établie par la norme ISO 27001:
Sécurité de l'information : protection de la confidentialité, de l’intégrité et de la disponibilité de l’information; en outre, d’autres propriétés, telles que l’authenticité, l’imputabilité, la non-répudiation et la fiabilité, peuvent également être concernées.
Disponibilité : Propriété d'être accessible et utilisable à la demande par une entité autorisée.
Confidentialité : Propriété selon laquelle l'information n'est pas rendue accessible ou divulguée à des personnes, entités ou processus non autorisés.
Intégrité : Propriété de protection de l'exactitude et de l'exhaustivité des actifs.
Dans ce premier chapitre sera présenté le contexte
auquel
doivent faire face les hôpitaux concernant la
sécurité de l’information. Puis,
s’en suivra l’explication des enjeux que le projet représente
pour le groupe
d’une part et pour les centres hospitaliers d’autre part. Enfin en
dernière
partie de ce chapitre, la problématique du sujet à l’aide
d’un diagramme
d’Ishikawa. Le deuxième chapitre présentera la
méthodologie adopté pour la
réalisation de l’outil et un troisième chapitre avec la
réalisation.
Aujourd'hui,
les
postes
informatiques
sont
de
plus
en
plus
nombreux
dans
les
hôpitaux, et
ils débordent
d'informations confidentielles telles que les dossiers médicaux
des patients.
La confidentialité des informations que les ordinateurs des
hôpitaux
contiennent est donc devenue un enjeu stratégique. Cependant, la
sécurité de
ces données n'est pas encore complètement assurée
puisque, d'après l'article de
Marie-Françoise DE PANGE, publié le 13 novembre 2009 dans
Le Quotidien du
Médecin (http://siteinfosecusante.free.fr/spip.php?article34)
[5], un
virus nommé
Conficker a paralysé plusieurs hôpitaux entre janvier et
juillet 2009. De plus,
ce sont des mauvais choix qui entravent la sécurité des
informations puisque,
toujours selon cette même source, le service de
néphrologie d'un hôpital aurait
pris comme identifiant et mot de passe le couple
« dialyse-dialyse »
afin que le personnel puisse s'en souvenir, mais qui facilitait
également
l'accès aux hackers.
Dans ce tableau est présenté les exigences du référentiel de la Haute Autorité à la santé relatives aux systèmes d’informations par rapport aux exigences de la norme ISO 27 799 [8].
Exigences du référentiel de la HAS |
Exigences de la norme ISO 27 799 |
Critère 5.a : Système d’information |
Chapitre 5 : Sécurité de l’information |
Critère 5.b : Sécurité du système d’information |
Chapitre 5.5 Les menaces et les vulnérabilités relatives à la sécurité des informations de santé |
Critère 5.c : Gestion documentaire |
Chapitre 6.4.8 Jeu de documents du Système de gestion de la sécurité de l'information |
Figure 2 : Parallèles des exigences du référentiel de la HAS et de la norme ISO 27 799 [8]
Concernant le groupe projet, les enjeux sont au nombre de deux. En effet, l’enjeu majeur sera d’être capables de créer un outil d’autodiagnostic simple et efficace à destination des hôpitaux, tout en prenant connaissance du référentiel ISO 27799 [8]. Le second sera de rendre les livrables au bout du temps imparti, c'est-à-dire non seulement l’outil d’autodiagnostic, mais aussi le rapport écrit, et les synthèses lors des jalons.
Afin de clarifier la situation initiale, un QQOQCP a été réalisé dans un premier temps, puis une planification dynamique stratégique, présentés ci-dessous :
Figure
3
:
Tableau récapitulatif du QQOQCP [9]
Durant la durée du projet, différentes difficultés pourront apparaître. Des alternatives à ces risques ont été définies à l’aide du diagramme en arbre suivant (au préalable, un brainstorming et un vote pondéré ont été effectués pour identifier et sélectionner les risques et alternatives majeures).
Figure
5
:
Diagramme
en
arbre [9]
Les centres hospitaliers sont confrontés à une demande accrue de consultation de l’information, pourtant, celles-ci ne doivent pas altérer la sécurité des renseignements.
L’enjeu premier de l’outil d’autodiagnostic crée sera de permettre aux hôpitaux d’évaluer facilement et rapidement leur niveau de sécurité de l’information. Une fois ce niveau défini, il leur permettra d’envisager des solutions d’amélioration adaptées et de mesurer leur efficacité en réutilisant cet outil quelques temps après.
Le second enjeu, et non pas le moindre, serait d’aboutir à une certification ISO 27799 , qui permettrait aux centres hospitaliers de devenir une référence en terme de système de gestion de l’information et ainsi améliorer leur image et leur compétitivité.
Finalement, le fait que les informations soient sécurisées, c'est-à-dire disponibles, intègres et confidentielles à 100% ne ferait que renforcer la confiance du patient en l’hôpital.
Dans le but de recenser les problèmes liés à la sécurité de l’information, une enquête dans les établissements de santé a été réalisé. Les résultats sont recensés dans le diagramme Ishikawa ci-dessous :
Figure 6 : Diagramme de cause-effet ou diagramme d'Ishikawa [9]
La réalisation de l’outil s’est faite à l’aide d’une plateforme de stockage de documents appelée Skydrive. Celui-ci permet à tous les membres du groupe de créer, de consulter et de modifier tous les documents relatifs aux projets.
Dans le but d’obtenir des coordonnées de contacts éventuellement intéressés par le projet, une description du projet a été réalisé et envoyée par mail aux différents contacts de M.Farges. Cela na permis d’être en contact direct avec des personnes intéressées. De plus, un responsable communication au sein du groupe a été nommé afin de faciliter les échanges externes, et un tableau regroupant les coordonnées de tous les contacts a été établi.
Ensuite, pour préparer les échanges avec les différents hôpitaux, une grille d’entretien a été construite. (annexe 2). Elle est décomposée en 4 grandes parties :
· Identité de la personne questionnée
· Système de gestion des informations
· Utilisation des informations
· Retour d’expérience
L’objectif est de réalise un état de l’art relatif à la sécurité des systèmes d’informations dans les hôpitaux.
Après dépouillement des grilles, les informations ont permis d’identifier quelles étaient les causes racines des problèmes de sécurité de l’information (cf. Figure 5). Afin de résoudre les problèmes, plusieurs solutions ont été pensées :
· Créer un outil d’autodiagnostic
· Concevoir un logiciel de surveillance
· Développer des procédures
· Réaliser un audit
Dans
le
but
de
déterminer
quelle
solution sera la plus adaptée, ci
dessous est répertorié
les avantages et inconvénients de chacun suivant :
La solution
de créer un outil d’autodiagnostic a été retenue.
L’outil d’autodiagnostic doit permettre aux hôpitaux d’évaluer leur système de sécurité des informations afin de les amener à gagner en efficience. Le diagramme de décision ci-après a permis de choisir le format de l’outil.
Le format informatique Excel/Access a donc été choisi. La réalisation de l’outil sous forme de formulaire PHP nécessite plus de temps en réalisation donc ce support ne sera pas sélectionné.
Après analyse de la norme ISO 27 799 et du référentiel de la HAS, trois grandes catégories ont été identifiés :
· Amélioration continue,
· Gestion de la documentation,
·
Gestion
des risques.
Ces
catégories conduisent à la séléction de
55 critères d'appréciation du niveau de maîtrise de
la sécurité de l'information.
Ces critères ont été recensés dans une grille destinée à la personne qui gère le système de sécurité de l'information de l’établissement de santé. L’utilisateur répond à chacun des critères à l’aide de l’échelle ci dessous :
· Faux : L’action n’est jamais réalisée
· Plutôt faux : L’action est peu souvent réalisée
· Plutôt vrai : L’action est aléatoirement réalisée
· Vrai : L’action est réalisée, des documents le prouvent.
Le choix
d’utiliser cette échelle
s’explique du fait que l’outil peut être destiné à
des non-initiés n’ayant pas
toujours de culture qualité. En effet, une échelle
à 6 cotations nécessiterait
d’utiliser du vocabulaire plus spécifique à la
qualité. Enfin, l’échelle ayant
une médiane n’a pas été sélectionnée
car l’utilisateur de la grille pourrait
être influencé par le milieu. De plus, un système
de protection des cellules a
été mis en place afin de ne pas modifier
malencontreusement les formules. Ci- dessous,
le modèle de grille élaboré et téléchargeable.
Une fois la grille d’autodiagnostic fonctionnelle, elle a été validée par notre tuteur M. Caliste. Une fois l’accord obtenu, le responsable communication du groupe a diffusé notre outil à la liste de contacts, afin de le faire tester et d’obtenir des retours en vue de l’améliorer. Cependant, à ce jour, aucun hôpital ne nous a répondu, peut être que cela a été dû aux périodes de vacances ou alors par faute de temps.
Une
comparaison entre les
résultats obtenus et les objectifs fixés au début
du projet est nécessaire. Pour cela, les
exigences définies dans la
PDS (cf. figure 3)
ont été
comparées avec
nos résultats :
Etapes PDS |
Exigences PDS |
Résultats obtenus |
Etat des objectifs |
Attentes générales |
Bénéficier d’un outil d’autodiagnostic Améliorer le système |
Outil crée L’autoévaluation permet d’identifier les faiblesses du système et donc de l’améliorer |
Atteint |
Besoin particulier |
S’auto-évaluer |
Outil simple d’utilisation avec une note d’explication avant utilisation |
Atteint |
Livrable |
Outil d’autodiagnostic |
Outil crée |
Atteint |
Contexte |
HAS et cadre réglementaire sur la confidentialité |
Prise en compte de la demande de l’HAS et du cadre sur la confidentialité |
Atteint |
Mission |
Créer l’outil |
Outil créé |
Atteint |
Objectif mesurable |
Test de l’outil |
Outil diffusé aux contacts mais aucune réponse reçue |
Non atteint |
Figure 10 : Comparaison entre les
exigences définies dans la PDS et les résultats [9]
Au vu du tableau précédent, une amélioration peut être proposée: diffuser plus largement l’outil d’autodiagnostic afin d’obtenir des retours en vue d’améliorer l’outil. De plus, il aurait été intéressant de créer cet outil sous format PHP afin de proposer à nos contacts un outil plus agréable et plus interactif à utiliser.
L’enseignement QP10 nous a beaucoup appris.
Tout d’abord, sur le plan humain, grâce à un travail de groupe efficace alors que chacun des membres du groupe venait d’horizons différents. Cela nous a beaucoup enrichi puisque d’un pays à un autre, d’une culture à une autre, nous avions des regards distincts sur le projet.
Nous avons aussi pu développer notre esprit d’organisation, possédant des contraintes de temps et de disponibilité, nous n’avons eu d’autre choix que de travailler main dans la main afin de mener à bien ce projet. La programmation de réunions régulières et la répartition du travail ont sans doute été les clefs de notre réussite.
De plus, notre projet a porté sur un domaine bien précis qu’est le secteur hospitalier.
Aucun d’entre nous n’avait eu l’occasion auparavant d’aborder ce milieu. Ce fût donc une totale découverte et nous pouvons à présent comprendre comment fonctionnent les systèmes d’informations dans les hôpitaux et notamment comment ils sont sécurisés.
La création de l’outil d’autodiagnostic nous a aussi permis d’étudier en profondeur la norme ISO 27799 et de comprendre quels en sont les enjeux. Nous avons ainsi pu nous apercevoir qu’elle comporte certaines nuances (par exemple la différence entre une exigence et une convenance), cela pourra nous servir pour l’étude d’autres normes.
La création de l’outil a aussi été très instructive, certains d’entre nous n’en avaient jamais créé, nous sommes maintenant capables d’en concevoir un via Excel et de l’adapter aux besoins.
Sur
un
plan
un
peu
plus
propre
au
groupe,
le
module
QP10 nous a permis,
grâce aux différents jalons d’apprendre à mener
efficacement des recherches et
de partager nos informations. Les différents passages de jalon
nous ont aussi
permis de nous exprimer en publique, exercice parfois peu facile, et de
discuter de notre travail et de nos avancées.
Lors de ce projet d’intégration, notre mission était de trouver une solution afin que les hôpitaux puissent évaluer leur niveau de sécurité des systèmes d’informations. Ayant au préalable identifier et étudier les différentes sources de problèmes et menaces grâce à un questionnaire envoyé à nos contacts en milieu hospitalier, nous avons cherché un moyen adapté pour leur permettre de s’auto-évaluer. La création d’un outil d’autodiagnostic nous a semblé être le choix le plus judicieux de par les avantages qu’il présentait.
Afin de créer cet outil et de répondre aux exigences de la norme ISO 27799 relative à la sécurité des systèmes d’information en milieu hospitalier, nous avons étudié la norme en profondeur et déterminé quelles étaient les exigences et convenances à satisfaire.
Une fois ce travail effectué, nous avons diffusé notre outil aux hôpitaux en vue de le faire tester.L’hôpital d’Amiens ayant répondu à notre appel, et ayant testé notre outil, nous avons pu y apporter les améliorations nécessaires.
Nous pouvons donc dire que notre objectif a été atteint puisque le but de ce projet était de permettre aux hôpitaux de s’évaluer, ce qui est chose faite. Notre équipe est donc très satisfaite de la réalisation de la mission,et nous aurons eu la satisfaction d’avoir eu de mise en situation de l’outil. Aussi, rien ne nous empêche par la suite de proposer à d’autres hôpitaux de le tester.
Cet outil maintenant
créé, il serait intéressant de l’utiliser pour
évaluer les différents services de l’hôpital,
certaines variations pourraient
peut-être enregistrées d’un service à l’autre.
Dates |
Version |
Auteur |
27/09/10 |
1 |
Léa |
30/09/10 |
2 |
Groupe projet |
08/11/10 |
3 |
Anisseh |
Les centres hospitaliers traitent et gèrent 2 grands types d’informations : informations administratives et financières du Ministère de la Santé et les dossiers patients. Cependant, les réseaux étant de plus en plus utilisés, les organisations doivent accroitre leur sécurité face aux menaces éventuelles. Selon la norme ISO27001 :2005, la sécurité de l’information est la protection de la confidentialité, de l’intégrité et de la disponibilité de l’information ; en outre, d’autres propriétés telles que l’authenticité, l’imputabilité, la non-répudiation et la fiabilité peuvent également être concernées.
Normes ISO 27000, études, contacts, thèse NQCE…
Comment un centre hospitalier peut il évaluer son niveau de sécurité de l’information ?
Créer ou développer un outil d’autodiagnostic relatif à la SI dans le secteur hospitalier
- Respect des délais et de l’organisation
- Répartition des tâches
- Mise à jour de notre réseau Skydrive
- Motivation de chacun
Date de début : 27/09/10
Date de fin : 27/01/11
- Outil d’autodiagnostic simple d’utilisation
- Questions précises et claires
- Nombre de questions ?
Types |
Acteurs |
Attentes
|
Directs |
Maître d’œuvre : le groupe projet |
Connaissance des normes SI Savoir créer un outil d’autodiagnostic Développer l’esprit d’équipe Manager un projet Mettre en pratique les outils qualité |
|
Maître d’ouvrage : M.Caliste |
Obtenir un outil d’autodiagnostic |
Indirects |
Les centres hospitaliers |
Pouvoir réaliser un autodiagnostic |
Animateur : Zarji Anisseh
Afin d’anticiper les éventuelles risques pendant la réalisation de notre projet, nous avons listé l’ensemble des risques du projet QP10. Nous nous sommes réunis afin de réaliser un brainstorming et ainsi définir nos alternatives. Ces dernières ont été classées par la réalisation d’un vote pondéré.
Figure : Diagramme des
décisions
Personne |
Service |
Lieu |
Gery MOLLERS |
Responsable Sécurité du Système d'Informations |
Cliniques Universitaires Saint-Luc, BRUXELLES, Belgique |
Stéphane PIERREFITTE |
Direction des Systèmes d'Information et des Plateaux Techniques |
Centre Hospitalier Sainte Anne 1 rue Cabanis 75 674 PARIS |
Agnès LIEDORP |
Responsable Qualité |
Centre Hospitalier de Laon 0200 |
Pierre LEGUYADER |
Ingénieur biomédical |
Institut de cardiologie Montréal |