1 / 22

La compréhension du décret

Sécurisation des accès aux informations médicales à caractère personnel : les composantes du projet. Conférence « MISE EN ŒUVRE DU DECRET DE CONFIDENTIALITE DANS LES ETABLISSEMENTS DE SANTE » du 9 septembre 2008 - SISIF. La compréhension du décret. La compréhension du décret.

ignatius-bates
Download Presentation

La compréhension du décret

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Sécurisation des accès aux informations médicales à caractère personnel : les composantes du projet Conférence « MISE EN ŒUVRE DU DECRET DE CONFIDENTIALITE DANS LES ETABLISSEMENTS DE SANTE » du 9 septembre 2008 - SISIF

  2. La compréhension du décret 2 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité

  3. La compréhension du décret • Garantir que seules les personnes habilitées accèdent aux informations personnelles à caractère médical : • Connaître les gens de son établissement • Connaître leur rôle • Connaître ses applications informatiques • Définir les droits des personnels sur ses applications • Adapter les applications aux modes d’authentification Gestion des identités Gestion des habilitations Evolution des applications Déploiement de matériel 3 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité

  4. La démarche générale • Implication de l’Institut Curie autour des projets de Sécurité des Systèmes d’Information depuis plusieurs années : • Participation aux travaux du GMSIH sur la PSI (2005) • Rédaction et Mise en œuvre d’une PSI : évaluation des risques SI, plan d’action, suivi, mise en œuvre de solutions techniques et organisationnelles • Participation active à la mise en place d’une PSI cadre pour les Centres de la FNCLCC 4 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité

  5. Le projet • Participation initiale à l’étude GIP-CPS sur les cas d’usage de la carte CPx en établissement, fin 2006 => faire connaître les besoins des ES en authentification/signature/chiffrement, et les contraintes apportées par un dispositif qui serait inadapté • Poursuite de ce travail par une participation à l’expérimentation au décret Confidentialité, parmi les 24 établissements retenus (2 en IdF) • Proposition de projet 2008, validé en Comité Directeur Informatique fin 2007 • Nécessité de borner le projet dans le temps et le périmètre fonctionnel • Nécessité de bénéficier d’un « sponsor » fort (Comité de Direction) • Définition d’un groupe projet associant DSI et utilisateurs => acceptation du projet 5 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité

  6. Le projet • 3 phases : • Cadrage de l’étude, accompagné par une société de conseil spécialisée en sécurité : 1er semestre 2008 • Définition du cahier des charges et consultation : 2ème semestre 2008 • Déploiement solution sur un service pilote : 1er semestre 2009 6 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité

  7. Le cadrage de l’étude • Définition des contraintes « utilisateurs » et « techniques » • Liste, Description et Mode d’authentification des applications • Description des cas d’usage : multi-postes, multi-utilisateurs, multi-applicatifs • Comparaison Avantages / Inconvénients des différentes solutions possibles par sous-chantier : • La gestion de l’identité et le provisioning des comptes (et des habilitations) • La nature du badge, et la gestion des certificats • Le type de SSO • L’annuaire-référentiel de sécurité • Le mode d’authentification • La gestion de la signature électronique 7 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité

  8. Les contraintes apportées • Authentification et signature conformes aux recommandations du GIP-CPS • Attention portée à l’ergonomie et confort d’usage, au risque d’oubli • Exigence sur les performances et la disponibilité • Solution de SSO : • Accès multi-sessions • Changement rapide d’utilisateur • Gestion du délai d’inactivité • Compatible avec les référentiels existants (Notes, AD) 8 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité

  9. Les cas d’usage 9 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité

  10. Les accès aux applications 10 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité

  11. Le schéma cible 11 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité

  12. Adonix HRV Saisie manuelle Rhapsody Moteur IDM Sun One DS XML Moteur d’habilitations Lotus Notes Active Directory Externes Le provisioning et la gestion des identités Une identité ‘qualifiée’ par la DRH à l’arrivée du collaborateur est traduite automatiquement en un (ou plusieurs) compte applicatif associé à un ensemble de droits homogènes par métier/service 12 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité

  13. Le badge : avec ou sans contact ? 13 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité

  14. Les certificats embarqués 14 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité

  15. Quelle authentification ? 15 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité

  16. Le SSO 16 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité

  17. Le référentiel de sécurité 17 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité

  18. La signature 18 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité

  19. Les orientations retenues Objectif déploiement : dans un service pilote, déployer une carte d’établissement sans contact, embarquant des certificats CPx, pour l’authentification et la signature applicative, dans un contexte de postes multi-utilisateurs, en associant le déploiement d’une solution de SSO 35 utilisateurs 60 postes de travail 10 applications 19 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité

  20. Le planning du déploiement de la solution 20 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité

  21. Conclusion projet • Projet long, aux composantes techniques et organisationnelles complexes • Permet de définir : • des outils adaptés à la pratique sur des cas d’usage réels • un circuit de validation des identités en associant DSI, DRH et PS • des habilitations homogènes dans le SIH • Plusieurs orientations possibles, liées à : • la volonté d’utiliser ou non des cartes multi-usages • la volonté de doter ou non tous les personnels d’une carte CPx • la capacité de l’ES à gérer une PKI (embarquement de certificats) • l’intégration ou non d’une solution de SSO (lié à l’environnement applicatif intégré vs dispersé) 21 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité

  22. Conclusion générale • Projet structurant pour l’établissement de soins • Projet nécessaire à la croissance et à l’ouverture du SI, car il en garantit la sécurité de façon transverse, homogène et indépendante à l’ES • Projet qui s’inscrit dans la logique de la communication des SI : DMP, DCC, réseaux, messagerie sécurisée… • Ouverture et transparence des échanges doivent s’appuyer sur une confiance forte en leurs acteurs et leurs droits (loi 4 mars 2002 droits des malades, loi août 2004 DMP, loi mars 2000 droit de la preuve aux TIC) 22 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité

More Related