Logo ANAP
Ce site requiert l'activation de javascript pour être utilisé, merci de l'activer.
S'abonner

 1072 vues

Définition du périmètre HDS

De fait le GCS hébergeait déjà des données de santé d’autres établissements avec les ressources DSI du CH de CHÂTEAUROUX. Début 2017, la nécessité de faire évoluer l’infrastructure des moyens informatiques du GCS pour une meilleure sécurité a été un facteur favorisant la décision d’une certification HDS : pourquoi ne pas aller plus loin et se mettre à un niveau d’exigence supérieur ?

Conscient des risques de ce positionnement, la première étude a porté sur le périmètre de ce qui devait faire l’objet de la certification avec cette question majeure : quel périmètre d’hébergement choisir pour répondre le plus simplement possible à l’exigence de la certification avec le minimum de risques ?

En quelque sorte, quel composant du SI choisir et pour quel mode d’hébergement, entre modes IaaS, PaaS et SaaS pour répondre au besoin des membres du GHT tout en minimisant les risques ?

Pour aller au plus simple, l’idée a alors germé que le GCS ne s’engage, dans un premier temps, que comme hébergeur de VM pour le compte des membres. La problématique liée à la gestion des applications est ainsi résolue, chaque membre du GCS restant responsable de la gestion de ses applications et de ses données.

Pour répondre aux besoins de support des membres du GCS, les services suivants seraient assurés :

  • La maintenance du matériel hébergé ;

  • La supervision de fonctionnement des VM.

Le choix d’hébergement des seules VM réduit ainsi considérablement les domaines d’exigences puisque ne prenant pas en compte les OS, les middlewares et les applications.

Il est même prévu que ces services soient sous-traités par des sociétés expertes du domaine, ce que n’interdit pas la certification HDS

La souplesse de fonctionnement d’un GCS est propice à un tel mode de fonctionnement. Les membres du GCS contractent avec le GCS pour cet hébergement des VM. Le GCS contracte avec le CH de CHÂTEAUROUX — LE BLANC pour héberger le CH et inversement le CH contracte avec le GCS pour les éléments d’infrastructure ainsi que des ressources humaines mises à la disposition du GCS.

Ce scénario a été très vite étudié avec les 2 consultants évoqués plus haut qui l’ont validé d’un point de vue technique.

L’économie du projet vise la continuité d’utilisation de l’infrastructure du CH de CHÂTEAUROUX - LE BLANC pour l’hébergement, la difficulté majeure de ce scénario réside dans le fait que tout composant du GCS utilisé pour l’hébergement doit être impérativement différencié du CH. Pour ce faire, les composants du GCS doivent tous être étiquetés spécifiquement : modems fibres, pare-feu, hyperviseur, VM, switch, prises réseaux…

Ceci n’aurait pas eu lieu d’être s’il avait été décidé de dédier une salle spécifique d’hébergement pour le seul GCS.

De plus, seules les VM faisant partie du périmètre de l’hébergement, des solutions ont dû être adoptées dans certains cas.

Pour exemple, l’accès des éditeurs aux applications, hors du périmètre d’hébergement, se fait via le site des établissements et non directement sur l’hébergement assuré par le GCS.

L’hébergement d’un PACS a été évacué dans la mesure où le GCS Télésanté Centre propose les services d’un PACS régional aux établissements régionaux dans le cadre de son projet M.I.R.C.

Le GCS Infotech36 dispose de deux datacenters entièrement redondés pour assurer un haut niveau de disponibilité des données. Ces datacenters sont en mode Actif — Actif, ce qui signifie que lorsqu’un problème survient sur l’un des deux datacenters, les services (Hyperviseur, VM, Accès Internet, Pare Feu, Authentification) basculent automatiquement sur le second Datacenter pour fournir les services nécessaires à la continuité de l’activité. Il est possible d’intervenir sur tous les matériels sans faire d’interruption de services.

La salle de sauvegarde permet, quant à elle, d’effectuer des sauvegardes distantes pour éviter de perdre deux services simultanément (sauvegardes et Datacenter) si un incident venait à survenir sur le datacenter contenant le serveur des sauvegardes.

Dans ce modèle, la question qui se pose est de savoir comment concilier à terme le besoin de partage d’information médicale du GHT entre ses membres.

Le GHT projette de l’assurer par la mise en place d’un DPI unique multi-EJ par type d’établissement associé à l’utilisation du D.M.P pour le partage et les échanges de données, si demain la volonté était d’avoir un DPI unique à l’échelle du GHT.

Cette solution éditeur serait propriété du GCS qui contracterait avec chacun des membres qui souhaiterait échanger.

Projet de certification HDS

Afin d’être en conformité avec la certification HDS, un travail préparatoire a été mené afin d’obtenir en intégralité la certification ISO 27 001, pilier de la démarche d’hébergement, ainsi que répondre aux exigences de la norme ISO 20 000 (en partie), ISO 27 017 (en partie), ISO 27 018 (en partie) et aux exigences spécifiques de santé1

Les acteurs du GCS ont ainsi mené tout un travail sur le volet qualité et la gestion des risques (évaluation des risques basée sur la méthode E.B.I.O.S, plan de traitement des risques, planification des audits internes à mener, etc.)

Le projet est piloté par la chef de mission qui dispose du soutien du RSSI afin de :

  • Constituer le corpus documentaire exigé par les normes ISO ;

  • Analyser les risques découlant du projet et trouver des solutions durables pour pallier à ces risques ;

  • Identifier et mettre en œuvre les exigences de certification :

    • Organisation de la sécurité (SMSI, PSSI…) ;

    • Descriptions des processus et des procédures opérationnelles d’hébergement ;

    • Besoins informatiques ;

    • Moyens en termes de locaux ;

    • Moyens en termes de ressources humaines ;

  • Préparer l’audit de certification.

La méthodologie EBIOS a été utilisée dans le cadre de la norme ISO 27 001. L’hébergement portant dans un premier temps sur un modèle PaaS, la certification portera à la fois sur :

  • Une certification d’hébergeur d’infrastructure physique ;

  • Une certification d’hébergeur infogéreur.

Mais limité à l’hébergement de VM.

Rôle du Directeur du Système d’Information/Administrateur du groupement

Outre le management des ressources du projet, le rôle de M. BAILLY a consisté à évaluer le projet le plus adapté à la situation du GCS et de ces membres et à convaincre les directions d’établissements du bien-fondé du projet.

Rôle du Responsable du Système d’Information

M. CHAMBONNEAU a orienté les choix techniques définissant le périmètre de l’externalisation. Il a en cela été fortement sollicité par la responsable qualité et le RSSI et travaille de conserve avec les deux consultants.

Rôle du Responsable qualité

Mme MICHENAUD, Chargée de mission en SI en charge du volet qualité, gestion des risques et élaboration du dossier de certification, a réalisé le montage de l’ensemble du corpus documentaire pour la démarche de certification.

Elle participera aux audits de certification et jouera le rôle de responsable qualité dans le cadre de la future équipe d’hébergement du GCS.

Rôle du Responsable de la Sécurité du Système d’Information

M. KERNANET, RSSI, arrivé depuis 6 mois dans l’établissement, a repris l’ensemble des éléments techniques du dossier avec Mme MICHENAUD. En entrant ainsi dans le détail des éléments techniques, notamment dans l’évaluation de ce qui devait être considéré comme composant de l’hébergeur et non du GCS, des chapitres en suspens ont pu être éclaircis et finalisés.

Son rôle a ensuite été principalement d’apporter les réponses techniques en termes de sécurité des composants de l’hébergement.

Rôle des Consultants externes

Les deux consultants (un ancien RSSI ayant une entreprise de consulting, et étant spécialisé notamment sur le volet ISO 27 001 et un ancien RSSI et CIL agréé auditeur COFRAC ayant également sa propre entreprise de consulting et étant spécialisé dans l’ISO 27 001) ont été particulièrement sollicités sur :

  • La définition du périmètre et des ressources qui entraient ou non dans le périmètre défini pour l’hébergement des données de santé ;

  • Le niveau de détail à prendre en compte pour le dossier : jusqu’où est-il nécessaire de formaliser le dossier ?

Rôle du Contrôleur de gestion

Le rôle de Mme RASAMOEL est de constituer le Business Plan du projet et ainsi d’évaluer différentes projections d’évolution de l’hébergement par le GCS pour évaluer sa rentabilité.

En premier lieu, Mme RASAMOEL a évalué les consommations : charges d’exploitation et d’investissement sur 5 ans qui seront consommées par l’hébergement.

Là encore, la difficulté principale a concerné la séparation détaillée des composants du GCS par rapport à ceux du CH de CHÂTEAUROUX (maintenance matérielle et logiciels serveur…).

Une autre difficulté a résidé dans l’évaluation des dépenses immobilières du fait de devis tardant à se concrétiser.

Le nombre de ressources en personnel de la DSI dédié à l’hébergement est évalué à 40 % de toute l’équipe infrastructure (CH CHÂTEAUROUX).

Parallèlement, la récupération de propositions d’hébergeurs du marché va permettre un comparatif avec l’hébergement sur 5 ans par le GCS.

La réflexion est en cours en ce qui concerne les unités d’œuvre pour les établissements contractants.

Rôle juridique

Une étude juridique a été réalisée par Jurisanté du C.N.E.H lors de la création du GCS Infotech36.

Pour ce qui concerne les contrats relatifs à l’hébergement, l’ensemble des projets de contrats qui auront été élaborés feront l’objet d’une validation juridique avant mise en œuvre opérationnelle.

Impacts de la certification HDS

En jours*hommes

L’effort pour constituer le dossier de certification jusqu’à l’obtention de la certification, les charges est le suivant :

  • QUALITÉ : 1,5 année*homme

  • RSSI : 0,5 année*homme

  • DSI : 0,2 année*homme

Soit un total de 2,2 années*hommes.

Sur les salles informatiques

Le CH disposait déjà de 2 salles serveur depuis 2014.

Néanmoins les locaux de ces salles ont dû passer aux normes de bonnes pratiques en termes d’hébergement et de sécurité : contrôle des entrées et des sorties par exemple.

Une salle spécifique de sauvegarde doit être aussi créée.

Sur les logiciels de suivi de l’exploitation

Des investissements seront nécessaires pour assurer les besoins en sécurité (ex : bastion administrateur), en traçabilité, en monitoring, en gestion des demandes, des changements…

De même, l’acquisition d’un outil de G.E.D utilisé pour la formalisation de toute la documentation et accessible par le seul personnel en charge de l’hébergement a été nécessaire.

Tous les accès aux prises réseau : traçabilité. Leur coût a été intégré dans le coût global des salles.

Sur les locaux du personnel assurant l’hébergement

Il en est de même pour les bureaux des équipes DSI.

Pour exemple :

  • Une salle de réunion de crise spécifique, différenciée de celle des équipes doit être créée ;

  • Les équipes DSI (application, infrastructure) doivent être réparties chacune sur des locaux différenciés sécurisés ;

  • Le suivi des accès aux locaux doit concerner aussi bien les entrées que les sorties du personnel d’où l’utilisation conjointe d’accès par badge avec traçage et de caméras ;

  • L’accès aux locaux où l’hébergement est réalisé ne doit être bien sûr accessible qu’au seul personnel en charge de l’hébergement.

Sur le personnel lui-même

L’ensemble du personnel de la DSI du CH de CHÂTEAUROUX doit dépendre du GCS. Ceci n’a pas généré d’inquiétude, les équipes restant les mêmes et faisant l’objet d’une mise à disposition.

Par contre le personnel craint un surcroit de travail « administratif » du fait de l’application d’exigences normatives.

Des formations au personnel devront être réalisées par profil métier.

Le besoin de redondance de compétence notamment en administrateur système et réseau nécessitera 1 ETP supplémentaire dès le démarrage.

À terme, c’est 2 ETP supplémentaires côté infrastructure (1 administrateur + 1 technicien supérieur) qui seront nécessaire pour 4 ETP infrastructure dont dispose actuellement le CH

Calendrier du projet

L’objectif est d’être opérationnel fin juin pour une certification en septembre 2018, au pire, fin 2018.

Ce planning est fortement dépendant de la réalisation des travaux.

Un audit à blanc par un des consultants est planifié en juin en se donnant ensuite un mois pour redresser la situation si nécessaire.

Deux mois ont été nécessaires pour la responsable qualité pour s’approprier toute la démarche de la certification avec échange avec les consultants en support. Cette dernière a également pris contact avec certaines structures hospitalières (qui se sont montrées très ouvertes aux échanges) déjà ancrées dans cette démarche d’hébergement pour comprendre au mieux quelles ont été les grandes étapes de leur projet d’hébergement et quelles ont été leurs difficultés.

Ainsi, des échanges lors du démarrage du projet ont été réalisés auprès de :

  • M. Patrice LARGE, Directeur des systèmes d’information des Centres Hospitaliers Eure-Seine et Bernay ;

  • M. Philippe MAYER, Directeur des systèmes d’information de l’assistance publique des hôpitaux de Marseille ;

  • M. Philippe TOURRON, Responsable de la sécurité du système d’information de l’assistance publique des hôpitaux de Marseille.

La personne en charge de l’élaboration du dossier de certification a donc dû débuter le travail seule puis a poursuit cette démarche en travaillant en binôme avec le RSSI et selon les étapes suivantes :

  • Recherche et analyse de la documentation spécialisée et de la réglementation en vigueur relative à l’hébergement des données de santé ;

  • Exploration du travail déjà réalisé et visualisation de la situation ;

  • Choix du périmètre de certification ;

  • Réalisation de l’inventaire des actifs présents au sein du périmètre choisi ;

  • Réalisation de l’évaluation des risques ;

  • Planification des mesures correctives à mettre en œuvre pour pallier aux différents risques non tolérés ;

  • Réalisation d’un diagramme de GANTT pour avoir une projection des étapes clés du projet ;

  • Rédaction du manuel relatif au « système de management de la sécurité de l’information » ;

  • Rédaction de la politique de sécurité du système d’information ;

  • Rédaction du corpus documentaire, comprenant politiques, procédures, processus, formulaires et autres documents divers.

La définition du périmètre a fait l’objet de plusieurs itérations en début d’étude et a, en cela, perturbé de façon importante le travail de constitution du dossier.

En tout, et avec les aléas de la disponibilité du RSSI (le précédent ayant quitté l’établissement), c’est donc un délai de 1 an ½ qui aura été nécessaire pour cette préparation à la certification.

Suite des travaux

Les travaux à réaliser sont les suivants :

  • La définition précise des S.L.A: pour l’instant, leur définition reste macro ; des unités d’œuvre précises doivent être détaillées ;

  • La validation finale de la P. S.SI et le planning d’applications des mesures qui y sont définies. Il est prévu d’appliquer 2 à 4 procédures/mois avec formation des utilisateurs de la DSI et mise en place des actions correctives nécessaires ;

  • La consolidation puis la relecture et validation définitive du corpus documentaire.

  1. Voir à ce sujet le document de l’ASIP-Santé?

Cette réponse vous paraît-elle utile ?
Date de parution : 20/06/2019

Commentaires - Soyez le premier à déposer un commentaire

Pour ajouter un commentaire vous devez vous identifier

Vous êtes actuellement sur la page consacrée à Partager les expériences concernant l'hébergement du SI d'un GHT (Retour d'expérience, témoignage).

Vous êtes perdu ?

Haut de page

Vous êtes actuellement sur la page consacrée à Partager les expériences concernant l'hébergement du SI d'un GHT (Retour d'expérience, témoignage).

Vous êtes perdu ?