Questionnaire d’Évaluation des Risques pour le Système d’Information de Santé








télécharger 277.35 Kb.
titreQuestionnaire d’Évaluation des Risques pour le Système d’Information de Santé
page1/7
date de publication05.12.2018
taille277.35 Kb.
typeQuestionnaire
p.21-bal.com > loi > Questionnaire
  1   2   3   4   5   6   7


QERSI-S
Questionnaire d’Évaluation des Risques pour le Système d’Information de Santé



Dates

Versions

Descriptions

06/2013

V0.1

Adaptation de l’outil au contexte des établissements de santé.

09/2013

V1.0

Prise en compte des retours d’expérience des participants à la formation TéléSanté Centre.

06/2014

V1.5

Prise en compte des retours d’expérience des formations assurées par l’APSSIS.

09/2014

V2.0

Ajout de métriques pour affiner la partie appréciation des risques (convergence avec la norme ISO 27005 : Gestion des risques en sécurité de l’information).



















Abréviations utilisées dans le document

SI : Système d’Information de Santé

MOA : Maîtrise d’Ouvrage désigne le promoteur métier

MOE : Maîtrise d’œuvre désigne le chef de projet SI

CIL : Correspondant Informatique et Libertés

DICP : Disponibilité, Intégrité, Confidentialité, Preuve

Objectifs du QERSI-S

Ce questionnaire, réalisé par le GCS TéléSanté Centre et l’APSSIS, et inspiré d’un travail initial de la CNAM-TS, permet d'analyser les risques qu’un système fait porter à un établissement de santé. Le système étudié peut être une application nouvelle, l’évolution d’une application ancienne, ou une organisation humaine.
Tout projet de système d’information doit bénéficier d’une analyse formalisée qui informe le référent sécurité de l’établissement et les moyens d’y répondre. Le QERSI-S est réputé connu du responsable de traitement, par sa maîtrise d’ouvrage.

La conduite de la démarche de sécurité est de la responsabilité de la maîtrise d’ouvrage. Le chef de projet de la maîtrise d’ouvrage remplit de manière exhaustive les sections 1 à 5, et joint tout document utile à la compréhension du système à analyser.



Le référent sécurité rend son évaluation dans la sixième section du QERSI-S. Il estime si l’analyse limitée du QERSI-S est suffisante pour éliminer des risques majeurs, et il répond en formulant des objectifs de sécurité à la maîtrise d’ouvrage, qu’elle transmettra à la maîtrise d’œuvre pour implémentation.
Dans le cas où la sensibilité du projet engage des risques majeurs pour l’établissement, il est important de mener une analyse approfondie conforme à la méthodologie de l’ISO 27005.

Démarche de la prise en compte de la sécurité dans les projets

L’analyse de risques doit être réalisée en amont des spécifications du cahier des charges, à la phase d’expression des besoins, dès que les informations et les fonctions traitées par le futur système sont connues.

Elle permet notamment :

1 - d’estimer l’importance du risque pour le système d’information dans au moins quatre critères de sécurité : disponibilité, intégrité, confidentialité ainsi que preuve et contrôle (DICP).

2 - d’identifier les points faibles du système au regard des menaces mises en évidence

3 - d’élaborer les mesures de sécurité permettant d’amener le risque à un niveau acceptable

4 - d’informer le responsable du projet des risques résiduels

Guide de remplissage

Description du questionnaire

Le questionnaire contient huit sections. Les cinq premières sont à remplir par le chef du projet métier, la sixième est réservée au référent sécurité, la septième à la maîtrise d’œuvre et la dernière au CIL ou responsable du traitement.
Section 1 - Profil du projet : cette section permet de décrire le futur système et son contexte réglementaire, humain et stratégique. Cette description permet d’estimer les moyens organisationnels, techniques et juridiques à mettre en œuvre pour la sécurité. Il est souhaitable d’associer un schéma du processus.
Section 2 - Disponibilité : cette section estime les dommages consécutifs à l’interruption du fonctionnement de l’application ou du système. Chaque question propose un choix de cinq durées d’arrêt. Il s’agit d’estimer l’impact le plus important, puis de désigner la durée à partir de laquelle l’impact devient inéluctable.

Les questions D9 à D11 concernent la continuité d’activité, au sens de la nécessité de reconstruire les informations qui n’auraient pas pu être traitées pendant l’arrêt du système.
Section 3 - Intégrité : cette section analyse les conséquences de la perte ou de la modification de l’information traitée ou produite par le système, c'est-à-dire : dans quelle mesure ces évènements peuvent tromper l’utilisateur et nuire au processus métier.
Section 4 - Confidentialité : cette section couvre les dommages inhérents à une fuite d’information accidentelle ou volontaire (perte de confidentialité) aboutissant à une plainte ou une révélation publique.
Section 5 - Preuve : cette section permet de décrire un besoin particulier de preuve pour le projet. En l’absence de besoin spécifique décrit par le chef de projet, ce critère sera étudié par le référent sécurité en fonction des réponses apportées dans les autres sections.
Section 6 - Réservée à l’estimation du risque par le référent sécurité : cette section permet au référent sécurité de faire une première évaluation de la sensibilité du projet, à la lecture des réponses du chef de projet apportées dans les sections précédentes. Il s’agit d’une appréciation d’expert, qui peut donc diverger par rapport à l’expression de la maîtrise d’ouvrage.
Section 7 – Observations de la maîtrise d’œuvre : cette section recueille les préconisations techniques de la maîtrise d’œuvre, au regard des sections précédentes.
Section 8 – Observations du Correspondant Informatique et Libertés : dans la dernière section, le CIL (à défaut, le responsable du traitement) donne son avis sur la prise en compte des enjeux de la CNIL, et fait des préconisations sur les formalités adéquates pour le projet.
Pour toute question sur ce formulaire, vous pouvez contacter le référent sécurité de votre établissement.

Glossaire

Disponibilité : propriété qu’une information ou un système soit accessible en temps voulu.

Intégrité : propriété d’assurer l'exactitude de l’information.

Preuve : propriété de pouvoir imputer sans équivoque les actions d’une personne ou entité. Nécessaire aux utilisateurs pour accorder leur confiance dans l'information fournie.

Menace : acte ou événement pouvant entraîner un impact négatif sur le système d’information ou à l’activité supportée par celui-ci.

Confidentialité : propriété que l'information ne soit pas accessible aux individus, entités ou processus non autorisés.

Risque : description d'un scénario de menace et des pertes auxquels il peut aboutir.

Données à caractère personnel : information permettant l’identification d’une personne physique de manière directe ou indirecte.




Échelles de risque utilisées dans le questionnaire

Les échelles proposées dans ce questionnaire sont données à titre d’exemple, vous pouvez les remplacer par d’autres qui seraient déjà utilisées dans votre établissement.
L’importance du risque pour l’établissement est exprimée dans une échelle allant de NC (pas d’impact) à 4 (impact intolérable). La réponse doit être fournie en envisageant le pire des scénarii.
Le tableau suivant permet d’estimer la hauteur des effets engendrés par un événement redouté, il présente les conséquences possibles.

Tableau 1 : Echelle d’impact


Valeur d’impact

Patient

Social & organisation

Financier

Responsabilité / juridique

Réputation / image

1 – Mineur

Gêne / inconfort pour un patient

- Gêne ponctuelle dans la prise en charge de patients, ou l’activité

- Démotivation des acteurs / perte de temps

Perte financière sans impact significatif pour le responsable du traitement

Absence de plainte ou plaintes sans suite

Evènement peu ou pas médiatisé, sans effet ou effet négligeable sur l’image de l’organisme.

2 – Significatif

- Perte de chance pour un patient

- Effet indésirable limité et réversible sur un patient

- Surcharge de travail et/ou désorganisation modérée mais temporaires dans la prise en charge des patients
- Conflit social

- Interruption ou ralentissement temporaire de certaines activités

Perte financière avec des impacts importants pour le responsable du traitement

Contentieux

Dégradation passagère d’image ou de confiance dans l’acteur de santé ou le service offert

3 – Important

- Perte de chance pour une population

- Soins inadéquats et/ou report de soins pour un patient entraînant une mise en danger immédiate du patient (atteinte sévère) et/ou une prolongation de la durée d’hospitalisation et/ou une ré intervention avec ou sans perte de chances

- Désorganisation importante et durable de l’activité entraînant une perte significative d’activité et/ou une replanification des soins ou un recours à des organismes tiers.

Conflit social paralysant l’établissement

Perte financière avec des impacts importants pour le responsable du traitement

Atteinte à la vie privée d’un patient
Condamnation pénale et/ou financière.

- Perte d’image ou de confiance dans l’acteur de santé ou le service offert

- Mise en cause de la stratégie de l’organisme détenteur du système ou d’un organisme tiers

4 – Critique

- Mise en danger d’une population / Menace du pronostic vital

- Atteinte irréversible ou décès d’un ou plusieurs patient(s)

- Arrêt prolongé d’une part importante ou de toute l’activité.

- Arrêt du projet

- Fermeture de l’établissement

Perte financière mettant en cause la pérennité du responsable du traitement

- Condamnation pénale et/ou financière

- Atteinte à la vie privée d’une population

- Risques judiciaires

- Rejet définitif de l’acteur de santé ou du service offert

- Mise en cause de l’existence de l’organisme détenteur du système ou d’un organisme tiers

La vraisemblance des scénarii d’incident pour l’établissement est exprimée dans une échelle allant de 1 (exceptionnel) à 4 (quasi certain). La réponse doit être fournie au regard des incidents déjà produits, de la complexité de mise en œuvre des événements redoutés et des mesures de sécurité effectives.
Le tableau suivant permet d’estimer la force d’occurrence d’un événement redouté, il présente les niveaux possibles.

Tableau 2 : Echelle de vraisemblance

Niveau

Libellé

Description

1

Exceptionnel

Théoriquement possible, pas de cas rencontré par ailleurs, ou réalisable dans des conditions particulières, très difficiles à obtenir, nécessitant des moyens et compétences très importants. Evénement très rare s’il s’agit d’un accident (une occurrence sur une période de plusieurs dizaines d’années).

2

Peu probable

Cas déjà rencontré une ou plusieurs fois, rarement (une occurrence sur une période d’une dizaine d’années) pour un incident d’origine involontaire, ou réalisable dans des conditions difficiles pour une malveillance, avec nécessité de personnes organisées, très compétentes et disposant de moyens importants, ou malveillance présentant peu d’intérêt pour son auteur.

3

Plausible

Cas rencontré assez fréquemment (une occurrence sur une période d’une à plusieurs années) par ailleurs, pouvant se produire avec probabilité pour un incident d’origine involontaire, ou réalisable dans des conditions occasionnelles pour une malveillance, par des personnes ou organisations dotées de moyens limités.

4

Quasi certain

Cas auquel le système est de toute façon confronté, fréquent (plusieurs fois par an), s’il s’agit d’un incident d’origine involontaire ou réalisable facilement et avec un intérêt évident s’il s’agit d’une malveillance.

L’estimation des niveaux de risques permet d’assigner une valeur unique aux événements redoutés et permet ainsi de les classer. Les niveaux de risques tiennent compte à la fois de la gravité de l’impact et de la vraisemblance de l’événement. Ainsi, un événement ayant un impact très fort ne présentera pas un niveau de risque élevé si son occurrence est faible.
Le tableau suivant permet d’orienter le traitement des risques, les risques de niveau « Fort » devant faire l’objet d’un traitement prioritaire.
Tableau 3 : Echelle de niveau de risques

Niveau d’impact
















Critique

Modéré

Fort

Fort

Fort




Important

Limité

Modéré

Modéré

Fort




Significatif

Limité

Modéré

Modéré

Modéré




Mineur

Limité

Limité

Limité

Limité







Exceptionnel

Peu probable

Plausible

Quasi certain

Niveau de vraisemblance

Echelle de classification des informations pour la confidentialité
Avertissement

Léchelle de classification ci-dessous, conforme à la Politique Ministérielle de sécurité des sysmes dinformation, permet destimer le besoin de confidentiali dune information. Des exemples illustratifs sont proposés. Cependant la finalité, létendue du projet, sa durée, le nombre dutilisateur, la population concernée, le volume ou encore lattractivi particulière des données sont autant de crires qui peuvent modifier le besoin de confidentiali dune information dans le contexte particulier dun projet.


Tableau 4 : Echelle de classification des informations pour la confidentialité





Niveau

Libellé

Exemples




4

Secret

(Loi Informatique et Libertés, données sensibles)

Informations nominatives :

- Informations de santé : pathologie, antécédents familiaux, observation médicale,

- situations ou comportements à risques

- Informations relatives aux infractions, condamnations ou mesures de sûreté

- Informations relatives à des suspicions de fraudes ou d’infractions

- Origines raciales ou ethniques, opinions politiques, philosophiques, religieuses, appartenances syndicales des personnes, la vie sexuelle

Informations non nominatives :

- Informations liées à l’organisation et à la stratégie de l’organisme, dont la

révélation aurait un impact critique sur la conduite de ses missions

- Informations liées aux mécanismes de fraudes et aux failles ou vulnérabilités de sécurité, dont la révélation pourrait être exploitée pour nuire aux missions de l’organisme

- Données relevant du patrimoine scientifique et technique d’infrastructures vitales.





3

Confidentiel

(Loi Informatique et Libertés, données à caractère personnel directes)

Toute information nominative ne rentrant pas dans la classe « secret »

et notamment :

- NIR, Etat-civil, identité, données d’identification (nom, prénom, adresse,

photographie, date, lieu de naissance),

- Appréciation sur les difficultés sociales des personnes

- Informations d’ordre économique et financière (revenus, situation

financière)

- Vie personnelle : habitude de vie, situation familiale et sociale

- Vie professionnelle : CV, Situation professionnelle, Scolarité, formation, Distinction

- Informations biométriques : contour de la main, empreintes digitales, réseaux veineux, iris de l’œil, reconnaissance faciale, reconnaissance vocale, autre procédé




2

Restreint

(Loi Informatique et Libertés, données à caractère personnel indirectes)

- Données de localisation (déplacement, données GPS, GSM, etc) par satellite, par téléphone mobile ou autre

(adresse IP, logs, etc)

- Identifiants des terminaux, Identifiants de connexions, Information

d’horodatage…

- procédures, description de processus, instructions, Intranet

- enregistrements non nominatifs (dates, heures, actions, états, etc.)

- informations personnelles que le salarié a identifiées explicitement comme

tel dans le système d’information

- Données de connexion





1

Public

(Hors Loi Informatique et Libertés)

Informations ayant vocation à être publiées : éditoriaux, publication Extranet, statistiques publiables, campagnes de communication, etc.


Exemples de solutions en fonction de la classification de l’information à protéger
Les moyens de protection de l’information sont proportionnels à la vraisemblance du risque tel que perçu par le responsable du traitement. Ces protections traitent l’accès, le transfert, le stockage et déterminent la trace utile laissée par l’utilisateur. Les exemples ci-dessous illustrent l’effort de protection en fonction du niveau de confidentialité, dans une liste non exhaustive et dont la pertinence doit être étudiée dans chaque projet.

Tableau 5 : Exemples de solutions habituellement utilisées pour la protection des informations





Niveau

Libellé

Recommandations




4

Secret

Contrôle d’accès par authentification forte

Diffusion à une population restreinte dont la liste est tenue à jour

Contrôle de pertinence de la demande d’accès (rebond)

Trace détaillée des accès et des actions, y compris consultation

Protection éventuelle par chiffrement de l’information et du transfert




3

Confidentiel

Contrôle d’accès par identification et mot de passe renforcé

Liste des profils ayant un droit d’accès

Gestion des habilitations répondant aux bonnes pratiques Trace des accès et des actions entraînant un risque Protection du moyen de transfert




2

Restreint

Contrôle d’accès par identification et mot de passe

Liste des domaines ayant un droit d’accès

Trace des accès




1

Public

Pas de besoin de contrôle d’accès




Renseignements sur le demandeur

Téléphone

R1

Direction / responsable

     




R2

Nom du projet (pour la MOA)

     

R3

Numéro / code du projet

     

R4

Chef de projet métier (MOA)

     

     

R5

Chef de projet SI (MOE)

     

     
  1   2   3   4   5   6   7

similaire:

Questionnaire d’Évaluation des Risques pour le Système d’Information de Santé iconCours n°8 Pharmaco-épidémiologie Evaluation des risques en santé...
«case only designs» afin d’avoir une meilleure compréhension de certaines notions mais je remets le plan tel qu’il est sensé être...

Questionnaire d’Évaluation des Risques pour le Système d’Information de Santé iconII. La construction d’un questionnaire d’évaluation

Questionnaire d’Évaluation des Risques pour le Système d’Information de Santé iconQuestionnaire Ce questionnaire a pour but d’étudier les circonstances...

Questionnaire d’Évaluation des Risques pour le Système d’Information de Santé iconRapport sur l’évaluation de la concurrence sur
«France Télécom fixe librement les tarifs des autres services. Elle les communique pour information aux ministres chargés des télécommunications...

Questionnaire d’Évaluation des Risques pour le Système d’Information de Santé iconSituation d’apprentissage et d’évaluation
«Le cas d’Esteban et Janika» produite par le cs des Affluents et l’Agence de la santé et des services sociaux du sud de Lanaudière...

Questionnaire d’Évaluation des Risques pour le Système d’Information de Santé iconLe Programme de formation de l’école québécoise, la Progression des...

Questionnaire d’Évaluation des Risques pour le Système d’Information de Santé iconLe Programme de formation de l’école québécoise, la Progression des...

Questionnaire d’Évaluation des Risques pour le Système d’Information de Santé iconLe Programme de formation de l’école québécoise, la Progression des...

Questionnaire d’Évaluation des Risques pour le Système d’Information de Santé iconLes archives, informations dans le système d’information
«l’ensemble des actions, outils et méthodes mises en œuvre pour conserver à moyen et à long terme des informations, dans le but de...

Questionnaire d’Évaluation des Risques pour le Système d’Information de Santé iconQuestionnaire d’évaluation du niveau d’activité physique des adultes
«Occasionnellement» ou «Non» durant les quatre saisons, passez directement à la partie 2 (activité physique de loisir). Sinon, passez...








Tous droits réservés. Copyright © 2016
contacts
p.21-bal.com