Logo ANAP
Ce site requiert l'activation de javascript pour être utilisé, merci de l'activer.
S'abonner

Démarche

 1571 vues

La dématérialisation et les pratiques collaboratives associées s’accompagnent d’un accroissement des menaces internes ou externes à l’établissement de santé (ES). Ces menaces génèrent potentiellement des risques d’indisponibilité, de défaut d’intégrité, de défaut de confidentialité, d’absence de traçabilité (matrice DICP).

La sécurité des informations ainsi que la mise en œuvre des mesures de protection adaptées sont sous la responsabilité des acteurs de santé. À ce titre, les acteurs doivent connaître la portée de leur responsabilité en fonction des usages qu’ils ont du dossier dématérialisé.

Pour assister les ES, et accorder le niveau de sécurité aux aspects règlementaires, l’ASIP-Santé a réalisé à destination des ES un travail de définition d’une PGSSI-S.

Outre les aspects organisationnels de la gestion de la sécurité, deux notions essentielles doivent être considérées par les acteurs de santé :

La maîtrise des accès

Elle repose sur 2 notions :

  • L’identification de l’utilisateur : a pour but de déterminer l’identité d’un acteur via un identifiant qui lui a été attribué préalablement lors de la vérification et de l’enregistrement de ses traits d’identité. Cela peut être local ou national ex. RPPS, ADELI et personne physique ou morale
  • L’authentification faible ou forte : permet de vérifier l’identité dont se réclame une personne, un programme ou une machine.

Ces 2 notions impliquent le contrôle du régime d’habilitation des utilisateurs (matrice des droits d’accès aux données et contrôle du respect de cette matrice).

La traçabilité et l’imputabilité des actions

Elles permettent au responsable du traitement (l’établissement de santé représenté par son DSI) de disposer d’éléments exploitables pour les étudier ou pour les fournir en tant qu’élément de preuves (logs journalisés et exploitables des accès aux données, mais aussi des accès à ces éléments de traçabilité).

Grille d’applicabilité des référentiels de la PGSSI-S

En fonction des usages issus de la dématérialisation, l’ASIP-Santé a défini une grille d’applicabilité qui prend en compte ces 3 dimensions (identification, authentification, imputabilité). Cette grille définie des paliers minimums à respecter pour être en conformité : 3 paliers pour l’identification et l’authentification et 5 paliers pour l’imputabilité.

Les cas d’usage sont répertoriés en contextes qui sont basés sur des caractéristiques génériques discriminantes du point de vue de la sécurité. 


Les ES peuvent donc se référer à cette grille (en annexe X au présent document) pour évaluer le niveau minimal à appliquer.

Les référentiels d’identification, d’authentification et de traçabilité ainsi que le Référentiel général de sécurité sont disponibles à l’adresse : http://esante.gouv.fr/pgssi-s/espace-publication

Cette réponse vous paraît-elle utile ?
Date de parution : 18/12/2017

Commentaires - Soyez le premier à déposer un commentaire

Pour ajouter un commentaire vous devez vous identifier

Vous êtes actuellement sur la page consacrée à Zéro papier pour soigner : pourquoi ? Comment ? (Démarche).

Vous êtes perdu ?

Haut de page

Vous êtes actuellement sur la page consacrée à Zéro papier pour soigner : pourquoi ? Comment ? (Démarche).

Vous êtes perdu ?