• Aide
  • Eurêkoi Eurêkoi
La sécurité du système d'information des établissements de santé
Livre La sécurité du système d'information des établissements de santé

par Cartau, Cédric

Presses de l'École des hautes études en santé publique ; Impr. Darantiere

-

  • Disponible - 363.3 CAR

    Niveau 3 - Droit

Livre

La sécurité du système d'information des établissements de santé

Auteur(s) : Cartau, Cédric Découvrir l'auteur

Résumé

La sécurisation du système d'information est cruciale pour les établissements de santé. Cette 2e édition actualisée en détaille tour à tour les aspects techniques, organisationnels, juridiques et financiers, et commente les évolutions récentes (déferlement des cryptovirus, enjeux «Hôpital numérique» et certification des comptes...).

  • Éditeur(s)
  • Date
    • 2018
  • Notes
    • Bibliogr. p. 323-324. Webliogr. p. 324
  • Langues
    • Français
  • Description matérielle
    • 1 vol. (335 p.) ; 24 cm
  • Sujet(s)
  • Lieu
  • ISBN
    • 978-2-8109-0644-4
  • Indice
  • Quatrième de couverture

    • La sécurité du système d'information des établissements de santé

      2e édition

      Informatisation du dossier patient, facturation au fil de l'eau, réduction des risques liés à la prescription médicamenteuse... Les systèmes d'information occupent une place stratégique dans les organisations des établissements de santé, et les enjeux majeurs que sont la communication ville-hôpital, la téléradiologie ou les groupements hospitaliers de territoire (GHT) auront des impacts considérables sur l'informatique et les organisations.

      Dans ce contexte, la sécurisation de ces systèmes est un prérequis indispensable. L'affaire des surirradiés de l'hôpital d'Épinal en 2006 ou les blocages d'hôpitaux anglais par des cryptovirus en 2017 rappellent qu'avec la dépendance croissante des soins à l'informatique, toute panne ou mauvais fonctionnement d'un système peut s'avérer tragique.

      Dans cette 2e édition, Cédric Cartau décrit et commente les grandes évolutions de la sécurité des systèmes d'information (déferlement des cryptovirus, enjeux « Hôpital numérique » et certification des comptes, prochaines mutations autour des GHT, etc.). Il passe ainsi au crible I4grands projets, avec en ligne de mire les contraintes normatives et certifiantes.

      S'adressant aussi bien aux décideurs (chefs d'établissement, équipes de direction...) qu'aux professionnels de l'informatique (chefs de projet, ingénieurs), cet ouvrage aborde la sécurité des systèmes d'information de façon globale : tous les aspects de la sécurité (techniques, organisationnels, juridiques et financiers) sont mis en perspective pour offrir une compréhension systémique de ce domaine hautement sensible.


  • Tables des matières

      • La sécurité du système d'information des établissements de santé

      • 2e édition

      • Cédric Cartau

      • Philippe Loudenot

      • Préface 5
      • Introduction 7
      • Chapitre 1
      • Cadre général de la sécurité du système d'information
      • 1.1. La révolution informatique pour les gens pressés 11
      • 1.1.1. L'ère précambrienne 11
      • 1.1.2. L'informatique ouverte 13
      • 1.2. Histoire condensée de la sécurité du système d'information 14
      • 1.2.1. Les points cardinaux de la sécurité informatique 14
      • 1.2.2. La sécurité vue sous l'angle réseau 16
      • 1.2.3. La sécurité vue sous l'angle système 17
      • 1.3. Les nouveaux enjeux de la sécurité 18
      • 1.4. Les dernières évolutions depuis 2012 19
      • 1.4.1. L'espionnage à grande échelle 19
      • 1.4.2. La menace malware, plus que jamais 20
      • 1.4.3. Le fractionnement à l'infini 20
      • Chapitre 2
      • Les fondamentaux
      • 2.1. Qu'est-ce qu'un système d'information (SI) ? 21
      • 2.1.1. Une définition standard 21
      • 2.1.2. Le langage de l'entreprise 22
      • 2.1.3. Un point de vue sur l'entreprise 22
      • 2.1.4. Vision institutionnelle du SI 23
      • 2.2. La cartographie des processus 23
      • 2.2.1. Éléments théoriques 23
      • 2.2.2. Cartographie des processus dans le monde de la santé 24
      • 2.3. Le modèle OSI 26
      • 2.4. Concepts de maîtrise d'ouvrage et maîtrise d'oeuvre 27
      • 2.4.1. Définitions 27
      • 2.4.2. Complexité du concept 28
      • 2.4.3. Position de la sécurité du système d'information dans le concept MOA/MOE 29
      • 2.5. Modèles de maturité 29
      • 2.5.1. Les trois stades de réalisation 29
      • 2.5.2. Le modèle de maturité COBIT 31
      • 2.6. La sécurité du SI 33
      • 2.6.1. Bases théoriques : DICP 33
      • 2.6.2. Principe général de traitement du risque 34
      • 2.6.3. Hiérarchie des besoins 35
      • 2.6.4. Hiérarchie des besoins dans le monde de la santé 36
      • 2.6.5. L'incident importe peu, seules comptent les conséquences 40
      • 2.7. Le corpus juridique 41
      • 2.7.1. La Commission nationale de l'informatique et des libertés (CNIL) 42
      • 2.7.2. La loi du 4 mars 2002 44
      • 2.7.3. Le décret confidentialité 45
      • 2.7.4. Le décret hébergeur 45
      • 2.7.5. La certification HAS 46
      • 2.7.6. La certification des comptes 47
      • 2.7.7. Le référentiel général de sécurité 48
      • 2.7.8. Les politiques de sécurité du système d'information étatiques 49
      • 2.7.9. Les autres décrets, arrêtés et circulaires 49
      • 2.7.10. Le droit du travail 50
      • 2.7.11. Prospectives 51
      • 2.8. Le corpus normatif 51
      • 2.9. Fondements cryptographiques 52
      • 2.9.1. Des Incas à Kubrick 52
      • 2.9.2. Le chiffrement symétrique 53
      • 2.9.3. Chiffrement asymétrique 54
      • 2.9.4. Infrastructure de gestion de clés 57
      • 2.9.5. Prospectives 59
      • 2.10. Les mots de passe 60
      • 2.10.1. Un dernier rempart très friable 60
      • 2.10.2. État des lieux technique 61
      • 2.10.3. Prospectives 63
      • Chapitre 3
      • Éléments de stratégie
      • 3.1. Nouvelle approche de la sécurité 65
      • 3.1.1. La sécurité, dernière des préoccupations 65
      • 3.1.2. La culture du risque 66
      • 3.1.3. Une démarche globale 68
      • 3.1.4. Positionnement de la sécurité par rapport au modèle OSI 69
      • 3.1.5. Des exigences sans cesse croissantes 69
      • 3.2. Le responsable de la sécurité du système d'information (RSSI) 71
      • 3.2.1. Les missions du RSSI 71
      • 3.2.2. La position du RSSI dans l'organigramme 72
      • 3.3. Les relations du RSSI 76
      • 3.3.1. La contrainte 77
      • 3.3.2. Le conseil 77
      • 3.3.3. Cas particulier : les relations du RSSI avec la DSI 78
      • 3.3.4. La MOA, « propriétaire » de ses risques 78
      • 3.3.5. Les risques : jusqu'à quel point ? 79
      • 3.4. Les instances Internes 80
      • 3.4.1. Les instances de vigilance 80
      • 3.4.2. Les instances d'arbitrage 81
      • 3.4.3. Les instances de pilotage 81
      • 3.5. Les moyens 81
      • 3.6. Mutualisation 83
      • 3.6.1. La fonction RSSI à l'aune des GHT 83
      • 3.6.2. Le rôle des GCS 83
      • 3.6.3. Vers la fin des GCS dans le domaine de la sécurité du système d'information ? 85
      • 3.7. La veille en sécurité du SI 85
      • 3.7.1. Les instances 85
      • 3.7.2. Les formations 86
      • 3.7.3. Les séminaires 86
      • 3.8. Vers un monde de contraintes normatives 87
      • 3.9. Le découpage des projets 87
      • Chapitre 4
      • Le système de management de la sécurité de l'information (SMSI)
      • 4.1. Le SMSI en bref : intérêt et limites 91
      • 4.1.1. La rencontre de deux mondes 91
      • 4.1.2. Les enjeux majeurs 93
      • 4.1.3. Les erreurs classiques 93
      • 4.1.4. Le corpus normatif 94
      • 4.2. Descriptif général de la méthode 96
      • 4.2.1. Organisation 96
      • 4.2.2. Le socle 97
      • 4.2.3. Le moteur 97
      • 4.2.4. Les contraintes exogènes 100
      • 4.2.5. Les indicateurs et rapports 100
      • 4.2.6. Les actions et projets 101
      • 4.2.7. Le corpus documentaire 102
      • 4.3. Le projet de certification ISO 27 001 106
      • 4.3.1. Périmètre 107
      • 4.3.2. Gouvernance 107
      • 4.3.3. Découpage et livrables 108
      • 4.3.4. Phase 1 : état des lieux technique et organisationnel 108
      • 4.3.5. Phase 2 : appréciation générale des risques 110
      • 4.3.6. Phase 3 : mise en oeuvre du socle de base de la gouvernance 115
      • 4.4. Le maintien de la démarche 124
      • 4.5. Conclusion 125
      • Chapitre 5
      • Les projets
      • 5.1. Les plans de continuité et reprise d'activité (PCA-PRA) 128
      • 5.1.1. Contexte et enjeux 128
      • 5.1.2. Cadrage 131
      • 5.1.3. Démarche générale 133
      • 5.1.4. La question des besoins des métiers 133
      • 5.1.5. Sécurisation des réseaux et impact sur le bâti 135
      • 5.1.6. Architecture technique pour un PCA-PRA 139
      • 5.1.7. Les composants critiques d'un SI 141
      • 5.1.8. Exemple 1 : appréciation des risques aux urgences 145
      • 5.1.9. Exemple 2 : sécurisation de la stérilisation 146
      • 5.1.10. Plan de repli des informaticiens 147
      • 5.1.11. Plans de tests 148
      • 5.1.12. Éléments managériaux 149
      • 5.1.13. Conclusion 153
      • 5.2. Le projet Identity Access Management (IAM) 154
      • 5.2.1. Contexte et enjeux 154
      • 5.2.2. Rappel sur les cartes CPX 155
      • 5.2.3. Architecture générale d'une infrastructure CPX 155
      • 5.2.4. Objectifs généraux 157
      • 5.2.5. Service de gestion des cartes 158
      • 5.2.6. Service aux utilisateurs 161
      • 5.2.7. Sources des identités 161
      • 5.2.8. Service de gestion des habilitations 166
      • 5.2.9. Service de gestion des accès 168
      • 5.2.10. Les autorités de certification (AC) 170
      • 5.2.11. Éléments de planning 171
      • 5.2.12. Cas particulier : confidentialité des données vis-à-vis des informaticiens 171
      • 5.2.13. Aspects financiers 173
      • 5.2.14. Le cas des GHT 173
      • 5.2.15. Impact du décret sur l'externalisation de la saisie des comptes rendus médicaux 174
      • 5.2.16. Impact du décret sur les règles d'accès au dossier médical local 176
      • 5.2.17. Conclusion 179
      • 5.3. La sauvegarde et la restauration 180
      • 5.3.1. Contexte et enjeux 180
      • 5.3.2. Cadrage 182
      • 5.3.3. Déroulement 184
      • 5.3.4. Aspects organisationnels 191
      • 5.3.5. Aspects financiers 192
      • 5.3.6. Externalisation et sous-traitance 192
      • 5.3.7. Conclusion 193
      • 5.4. Le bloc d'accès 194
      • 5.4.1. Contexte et enjeux 194
      • 5.4.2. Cadrage 194
      • 5.4.3. Phases préparatoires 195
      • 5.4.4. Composants de base du bloc d'accès 196
      • 5.4.5. Éléments additionnels 198
      • 5.4.6. Aspects juridiques 200
      • 5.4.7. DSI et fournisseur d'accès Internet 202
      • 5.4.8. Les accès extérieurs 203
      • 5.4.9. Aspects financiers 206
      • 5.4.10. L'externalisation 206
      • 5.4.11. La dimension GHT 207
      • 5.4.12. Conclusion 207
      • 5.5. La sécurisation du parc 208
      • 5.5.1. Contexte et enjeux 208
      • 5.5.2. Cadrage 208
      • 5.5.3. Éléments de politique 209
      • 5.5.4. Les dispositifs techniques 213
      • 5.5.5. Questions diverses 219
      • 5.5.6. Conclusion 221
      • 5.6. La gestion des traces 221
      • 5.6.1. Contexte et enjeux 221
      • 5.6.2. Cadrage 222
      • 5.6.3. Nature des traces applicatives 223
      • 5.6.4. Respect de la réglementation 223
      • 5.6.5. Accès aux logs de consultation d'un dossier médical local 224
      • 5.6.6. Centralisation du système 225
      • 5.6.7. Étendue des besoins 226
      • 5.6.8. État du marché 226
      • 5.6.9. Conclusion 227
      • 5.7. Le décret hébergeur 227
      • 5.7.1. Contexte et enjeux 227
      • 5.7.2. Aspects managériaux 227
      • 5.7.3. Dépôt d'un agrément d'hébergeur 230
      • 5.7.4. L'agrément version 2 233
      • 5.7.5. Aspects financiers 234
      • 5.7.6. Conclusion 234
      • 5.8. Les audits 236
      • 5.8.1. SMSI 236
      • 5.8.2. PCA-PRA 236
      • 5.8.3. Décret confidentialité 237
      • 5.8.4. Sauvegarde 237
      • 5.8.5. Bloc d'accès 237
      • 5.8.6. Sécurisation du parc 238
      • 5.8.7. Hébergement de données de santé 239
      • 5.8.8. Protection antivirale 239
      • 5.8.9. Réseau 239
      • 5.8.10. Conformité 239
      • 5.8.11. Conclusion 239
      • 5.9. Archivage 240
      • 5.9.1. Contexte et enjeux 240
      • 5.9.2. Cadrage 240
      • 5.9.3. Éléments techniques 242
      • 5.9.4. Dimension juridique 244
      • 5.9.5. Impact des GHT 244
      • 5.9.6. Conclusion 245
      • 5.10. Protection antivirale 245
      • 5.10.1. Contexte et enjeux 245
      • 5.10.2. Objectifs généraux 246
      • 5.10.3. Aspects financiers 247
      • 5.10.4. Le cas des GHT 247
      • 5.10.5. Conclusion 247
      • 5.11. Sécurisation du réseau 247
      • 5.11.1. Contexte et enjeux 247
      • 5.11.2. Objectifs généraux 248
      • 5.11.3. Le cas des GHT 249
      • 5.11.4. Conclusion 249
      • 5.12. Chiffrement 250
      • 5.12.1. Contexte et enjeux 250
      • 5.12.2. Objectifs généraux 250
      • 5.12.3. Aspects techniques 250
      • 5.12.4. Conclusion 252
      • 5.13. Conformité 252
      • 5.13.1 Contexte et enjeux 252
      • 5.13.2. Objectifs généraux 252
      • 5.13.3. Aspects financiers 257
      • 5.13.4. Le cas des GHT 257
      • 5.13.5. Conclusion 257
      • 5.14. Protection du Cloud 258
      • 5.14.1. Contexte et enjeux 258
      • 5.14.2. Objectifs généraux 258
      • 5.14.3. Le cas des GHT 259
      • 5.14.4. Conclusion 259
      • 5.15. Prospectives 259
      • 5.15.1. Data Loss Prevention (DLP) 259
      • 5.15.2. Sondes Intrusion Detection System (IDS) 260
      • Chapitre 6
      • Les aspects financiers de la sécurité
      • 6.1. Limites Inhérentes de l'estimation 261
      • 6.2. Méthode 262
      • 6.3. Analyse 262
      • 6.3.1. Généralités 262
      • 6.3.2. Projet SMSI 263
      • 6.3.3. Projet PCA-PRA 263
      • 6.3.4. Projet IAM 263
      • 6.3.5. Sauvegarde-restauration 264
      • 6.3.6. Bloc d'accès 264
      • 6.3.7. Sécurisation du parc 264
      • 6.3.8. La gestion des traces 265
      • 6.3.9. Le décret hébergeur 265
      • 6.3.10. Les audits 266
      • 6.3.11. L'archivage numérique 266
      • 6.3.12. La protection antivirale 266
      • 6.3.13. La protection réseau 266
      • 6.3.14. Le chiffrement 266
      • 6.3.15. La conformité 267
      • 6.3.16. Le Cloud 267
      • 6.4. Synthèse 267
      • Chapitre 7
      • Domaines connexes
      • 7.1. La sécurisation des achats 269
      • 7.2. La sécurisation du mode projet 271
      • 7.3. La sécurisation de l'externalisation 272
      • 7.4. Les infrastructures spontanées 273
      • 7.5. Le droit de la sécurité du système d'information 274
      • Chapitre 8
      • Le cas des GHT
      • 8.1. Éléments de stratégie 276
      • 8.1.1. Les textes comme source de légitimité 276
      • 8.1.2. La sécurité du système d'information comme catalyseur ou frein 276
      • 8.1.3. Les leviers stratégiques 277
      • 8.2. La tactique 278
      • 8.3. La mise en oeuvre 279
      • 8.4. Exemples de projets à l'aune des GHT 280
      • 8.4.1. Le projet PCA-PRA 280
      • 8.4.2. Le projet bloc d'accès 280
      • 8.4.3. La protection antivirale 281
      • 8.5. Conclusion 281
      • Chapitre 9
      • La sécurité des systèmes d'information à travers le temps
      • 9.1. Retour sur 2002 283
      • 9.2. État des lieux 2017-2018 285
      • 9.2.1. Le verre à moitié vide 285
      • 9.2.2. Le verre à moitié plein 286
      • 9.3. Prospectives 2030 287
      • 9.3.1. Évolution de l'informatique de santé 287
      • 9.3.2. Évolution des menaces 289
      • 9.3.3. Quels impacts ? 291
      • 9.4. Les invariants 292
      • 9.4.1. Développer la culture de la procédure 292
      • 9.4.2. Déployer la sécurité totale en continu 293
      • 9.4.3. Faire face aux enjeux techniques 293
      • 9.4.4. Aller vers la certification 293
      • 9.4.5. Croissance des budgets SI et de sécurité du système d'information 294
      • 9.5. Conclusion 294
      • Conclusion 295
      • Tirer les leçons des erreurs des autres295
      • Prioriser les projets296
      • Revenir aux fondamentaux297
      • Annexes
      • 1. Principales jurisprudences et textes réglementaires301
      • 2. Cellule de crise305
      • 3. Exemple de cartographie applicative catégorisée307
      • 4. Exemple de tableau de bord sécurité313
      • 5. Exemple de métriques pour le calcul des risques319
      • 6. Exemple d'affiche sur les bonnes pratiques quotidiennes321
      • Références 323
      • Liste des sigles 325

  • Origine de la notice:
    • FR-751131015

  • Disponible - 363.3 CAR

    Niveau 3 - Droit

Sur le même thème

La régulation hospitalière

La régulation
hospitalière

Mathy, Caryn

La maîtrise des risques liés aux associations à l'hôpital

La maîtrise des risques
liés aux […]

Giovon, France

Gestion hospitalière et régulation des dépenses de santé : la fin d'un conflit ?

Gestion hospitalière et
régulation des […]

Nogues, Michel

Les établissements publics de santé mentale

Les établissements
publics de santé […]

Les structures de soins alternatives à l'hospitalisation

Les structures de soins
alternatives à […]

Hôpitaux et cliniques : les nouvelles responsabilités

Hôpitaux et cliniques :
les nouvelles […]

Le Scolan, Stan, Pellet,
Rémi (1961-....)

L'hôpital en question : un diagnostic pour améliorer les relations de travail

L'hôpital en question :
un diagnostic pour […]

Gonnet-Pérard,
Françoise, Lucas, […]

Les opérations d'investissement des établissements de santé et médico-sociaux publics

Les opérations
d'investissement […]

Réflexions pour l'hôpital : proximité, coopération, pouvoirs

Réflexions pour
l'hôpital : […]

Clément, Jean-Marie
(1946-....)

Que faire de l'hôpital ?

Que faire de l'hôpital
?

L'hôpital innovateur : de l'innovation médicale à l'innovation de service

L'hôpital innovateur :
de l'innovation […]

Réinventer l'hôpital public : contre l'hôpital entreprise

Réinventer l'hôpital
public : contre […]

Grimaldi, André
(1944-....)

Les statuts des agents hospitaliers en 100 questions

Les statuts des agents
hospitaliers en 100[…]

Blémont, Patrice,
Kientzy-Laluc, […]

La communauté de soins en question : le travail hospitalier face aux enjeux de la société : sociologie du monde social communautaire, rationalisation et travail autonome, luttes et crises individuelles, communautés au quotidien, mobilisation transversale

La communauté de soins
en question : le […]

Sainsaulieu, Ivan
(1965-....)

Liberté d'aller et venir dans les établissements sanitaires et médico-sociaux et obligation de soins et de sécurité : actes de la conférence de consensus des 24 et 25 novembre 2004, [Paris, Ministère de la santé et de la protection sociale]

Liberté d'aller et
venir dans les […]

Gouvernance de l'hôpital et crise des systèmes de santé

Gouvernance de
l'hôpital et crise[…]

Mordelet, Patrick
(1952?-2011)

Le statut général de la fonction publique hospitalière : les règles juridiques applicables aux fonctionnaires hospitaliers

Le statut général de
la fonction […]

Tifine, Pierre

L'hôpital, la technique et l'éthique

L'hôpital, la technique
et l'éthique

Clément, Jean-Marie
(1946-....)

Action disciplinaire dans la fonction publique hospitalière

Action disciplinaire
dans la fonction […]

Adrian, Frédéric
(1974-....)

La nouvelle gouvernance hospitalière : l'organisation en pôles d'activité

La nouvelle gouvernance
hospitalière : […]

Dupuy, Olivier
(19..-....), acteur

Voir tout les résultats (139)