Quelques mots sur la Sécurité des Systèmes d'Informations

ISO 27799 sécurité des informations de santé. Partie 2

0

Trouver n’est rien, c’est le plan qui est difficile
Dostoïevski

Comme je l’ai écrit dans le précédent billet, la norme 27799 comporte à mon sens une redite de la norme 27001 (même si les auteurs s’en défendent dès l’introduction du document).

Ainsi, en ce qui concerne le “plan d’actions pratique pour la mise en œuvre de la 27002″, on y lit que la conformité à l’ISO 27002 peut être garantie par la mise en place d’un SMSI (Système de Management de la Sécurité des Informations) et que “si possible” ce SMSI respectera les recommandations des points 6.2 à 6.7 de la 27799 et que vous seriez aussi inspirés de lire les exemples de son annexe B.
Autrement, cela revient à dire: “mettez en place un SMSI tel que défini dans l’ISO 27001, et vous serez conformes aux bonnes pratiques et à l’expérience internationale”.

Là où il y a une volonté, il y a un chemin (…d’amélioration continue)
Lénine

L’enjeu et les bénéfices attendus d’une telle organisation mérite bien une petite explication.

La mise en œuvre d’un SMSI, à l’instar d’un système qualité, est avant tout un projet transversal à tout ou partie des activités de l’organisation: on parle alors du “périmètre” du système.
En santé, le périmètre peut être par exemple, un service ou un département d’un centre hospitalier, un cabinet médical, la branche prévoyance/santé d’une entreprise d’assurance ou encore les services d’un hébergeur de données de santé.
Quel que soit son périmètre, le projet SMSI implique une mobilisation de la hiérarchie de l’organisation: la direction générale et/ou médicale ainsi que l’ensemble des employés impliqués dans les activités du dit périmètre (personnels soignants ou non).

Le SMSI vise à atteindre des objectifs (fixés notamment par une politique) en mettant en place des mesures organisationnelles et techniques (comme celles de la 27799 et 27002), puis à conserver et améliorer le niveau atteint.

Les systèmes de management (SMSI, ou SMQ pour la qualité) fonctionnent selon un processus d’amélioration continue nommé PDCA (Plan, Do, Check, Act) encore appelé roue de Deming, et dont les étapes peuvent être traduites en français par Planifier, Déployer, Contrôler et Agir.
Vous devez tant que faire ce peu, mettre en œuvre ce modèle cyclique à chaque niveau du SMSI.

Les phases de mise en place du SMSI comprennent par ailleurs:
- l’appréciation des risques
- la sélection de mesures de sécurité ad hoc (ici, celles de la 27799 notamment)
- les activités transverses telles que la gouvernance et la documentation du système
- la sensibilisation du personnel
- le suivi du système par le biais d’indicateurs et d’audits internes.

On ne gouverne jamais une nation contre ses habitudes
Louis XVI

La norme 27799 recommande la mise en place d’un forum de management de la sécurité des informations (FMSI).
Ce forum, idéalement formé par l’extension d’un comité existant dans l’organisation, est de représentation mixte (membres des fonctions médicales et administratives ou technologiques). Ce processus unique de gouvernance (simplification du pilotage, réduction des coûts) doit permettre de garantir l’existence d’une politique et d’un soutien clairs de la direction.

Ce n’est plus souvent que la perte de choses qui en enseigne la valeur
Schopenhauer

Lorsque l’on parle de sécurité des informations, il ne s’agit pas seulement de protéger les données informatiques, mais toutes les informations ayant de la valeur pour l’organisation, et quel que soit leur support ou leur mode de transmission : écrits papier, connaissances et savoir-faire. On parle plus généralement d’actifs informationnels.

S’agissant d’informations dites personnelles, je rappelle que dans la Loi française n°78-17 du 6 Janvier 1978, il s’agit de toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.
Le chapitre 3 de la norme 27799 précise lui, qu’une information personnelle de santé est “une information relative à la santé physique ou mentale d’un individu identifiable ou à la prestation de services de santé”, ce qui inclut donc ainsi les informations sur les personnes identifiables et impliquées dans la prise en charge du dit individu : les professionnels de santé.

Voici quelques exemples d’actifs ou de supports d’informations: planning de rendez-vous, logiciel d’anonymisation, bâtiment des archives, échographe, ordonnancier, dictaphone, personnel du bureau des admissions, films radiologiques, compte-rendu de consultation, cassettes de sauvegarde, cartes CPS, base de données des rapprochements d’identités, routeur pare-feu, plan de soins, étiquettes patient, emails, système de traçabilité du matériel stérile.

Vous aurez à choisir un niveau de granularité adapté à l’importance de votre périmètre, toutefois de façon générale l’actif à identifier sera plutôt l’information en elle même que son support.

NB : La norme 27799 ne fournit pas de listes d’actifs types (pas plus que la 27002 d’ailleurs), et c’est logiquement à vous qu’il revient d’élaborer l’inventaire de vos biens informationnels.

Ensuite, et ici décrit de façon très générique, l’appréciation des risques consiste à évaluer la vraisemblance du risque et son coût – en matière de perte d’intégrité, de disponibilité ou de confidentialité – qui pèse sur un actif et ce en fonction de ses vulnérabilités et des menaces qui pèsent sur lui.

Je trouve dommage que le document fasse exclusivement référence à la norme ISO 13335-3 alors que la récente norme ISO 27005 (dont la publication a d’ailleurs précédée celle de l’ISO 27799) est sans doute aujourd’hui le meilleur référentiel en la matière, notamment parce qu’elle reprend les exigences exprimées dans la 27001 et qu’elle fusionne le meilleur des méthodes utilisées jusqu’à lors : l’ISO 13335, mais aussi Octave, Mehari ou encore EBIOS.

L’obligation de subir nous donne le droit de savoir
Jean Rostand

Une fois les risques identifiés, vous aurez à sélectionner tout ou partie de mesures de sécurité ad hoc. L’ISO 27799 préconise l’implémentation de plusieurs mesures de sécurité, dont 25 sont obligatoires comme :
- Ecraser de façon sécurisée ou détruire tous les supports d’informations lorsqu’ils ne sont plus utilisés,
- Séparer les équipements de développement, d’essai et d’exploitation,
- Sécuriser et rendre infalsifiable les informations journalisées,
- Garantir l’identification univoque des patients et être capable de fusionner des identités multiples.

En revanche on ne trouve aucune obligation en ce qui concerne l’usage de messagerie électronique, le chiffrement (des informations de santé stockées ou sauvegardées).

A noter qu’en France, le projet d’arrêté pris en application de l’article R1110-1 du CSP sera à considérer comme une exigence réglementaire dans la politique de votre SMSI et nécessitera l’implémentation de mesures de sécurité pour répondre aux règles obligatoires du décret (parmi la cinquantaine actuellement retenue). Ce décret rend obligatoire l’usage de la carte CPS pour tout accès par des PS à des données personnelles de santé, ce qui nécessite évidemment de sélectionner les mesures de sécurité du chapitre 11 “Contrôle d’accès” de l’ISO 27002 ou le point 7.8 dans l’ISO 27799.
A noter que, et sous réserve de la publication de sa version définitive, l’application du décret reste “limitée” au seul critère de confidentialité  (rien à propos de l’intégrité ou de la disponibilité des informations médicales) et concerne exclusivement des supports électroniques: à suivre donc.

N’admettez rien a priori si vous pouvez le vérifier
Kipling

Il possible de mettre en place un SMSI basé sur les recommandations du chapitre 6 de l’ISO 27799 ou directement (et idéalement à mon avis) sur le référentiel ISO 27001, sans vouloir nécessairement viser sa certification : l’important étant d’augmenter la fiabilité de votre organisation.
Cf. mon billet précédent pour les conditions de la certification.

Pour autant, la mise en œuvre d’un SMSI impose de formaliser des processus et des indicateurs ; il devient alors utile de mesurer l’adéquation entre la réalité et ce qui a été spécifié : on parle d’audits internes ou externes, ces derniers audits ayant pour objectif de vérifier la conformité du SMSI à la norme pour l’obtention de sa certification.

La certification permet finalement d’apporter la confiance en votre SMSI aux différentes parties prenantes : les patients, les autorités de tutelle, l’opinion publique, et le personnel bien entendu (on peut même lire dans la norme 27799 que “l’approche cohérente de la sécurité de l’information [...] améliorera le moral des employés” !)

En conclusion

L’ISO 27799 apporte un bon éclairage sur la notion d’informations de santé personnelles à ceux qui ne connaissent pas ce domaine.
En revanche, pour celles et ceux qui officient déjà dans le contexte (professionnels de santé, RSSI ou personnel des DSI d’hôpitaux ou cliniques, etc.) et au delà de l’intérêt d’une référence commune de mesures de sécurité obligatoires, cette norme tient plus d’un guide de prise en main pour implémenter la norme ISO 27001 et l’ISO 27002 qui lui est déjà associée.
Il me semble que les normes dites d’application “sectorielle” sont comme les lois: on devrait déjà s’assurer de mettre en œuvre celles qui existent, et de n’en créer d’autres que si l’on est assuré de leur efficacité.