Ce nouveau document donne un aperçu de la norme 27001 (notamment par une introduction à la notion de SMSI : système de management de la sécurité des informations) et du vocabulaire ad-hoc.

On y trouvera les définitions de termes couramment usités tels que par exemple : évaluation de risques, analyse de risques, disponibilité, intégrité, confidentialité ou encore actif et actif informationnel.

Elle est disponible gratuitement < ici >

Pour mémoire, la norme 27001 est aujourd’hui de plus en plus adoptée, et d’ailleurs préconisée en France par le Référentiel Général de Sécurité (RGS). Elle décrit en effet, comment mettre en place un SMSI qui permet d’améliorer de façon continue la sécurité des systèmes d’informations : CQFD.

Comme je l’ai écrit dans le précédent billet, la norme 27799 comporte à mon sens une redite de la norme 27001 (même si les auteurs s’en défendent dès l’introduction du document).

Ainsi, en ce qui concerne le “plan d’actions pratique pour la mise en œuvre de la 27002″, on y lit que la conformité à l’ISO 27002 peut être garantie par la mise en place d’un SMSI (Système de Management de la Sécurité des Informations) et que “si possible” ce SMSI respectera les recommandations des points 6.2 à 6.7 de la 27799 et que vous seriez aussi inspirés de lire les exemples de son annexe B.
Autrement, cela revient à dire: “mettez en place un SMSI tel que défini dans l’ISO 27001, et vous serez conformes aux bonnes pratiques et à l’expérience internationale”.

Là où il y a une volonté, il y a un chemin (…d’amélioration continue)
Lénine

L’enjeu et les bénéfices attendus d’une telle organisation mérite bien une petite explication.

La mise en œuvre d’un SMSI, à l’instar d’un système qualité, est avant tout un projet transversal à tout ou partie des activités de l’organisation: on parle alors du “périmètre” du système.
En santé, le périmètre peut être par exemple, un service ou un département d’un centre hospitalier, un cabinet médical, la branche prévoyance/santé d’une entreprise d’assurance ou encore les services d’un hébergeur de données de santé.
Quel que soit son périmètre, le projet SMSI implique une mobilisation de la hiérarchie de l’organisation: la direction générale et/ou médicale ainsi que l’ensemble des employés impliqués dans les activités du dit périmètre (personnels soignants ou non).

Le SMSI vise à atteindre des objectifs (fixés notamment par une politique) en mettant en place des mesures organisationnelles et techniques (comme celles de la 27799 et 27002), puis à conserver et améliorer le niveau atteint.

Les systèmes de management (SMSI, ou SMQ pour la qualité) fonctionnent selon un processus d’amélioration continue nommé PDCA (Plan, Do, Check, Act) encore appelé roue de Deming, et dont les étapes peuvent être traduites en français par Planifier, Déployer, Contrôler et Agir.
Vous devez tant que faire ce peu, mettre en œuvre ce modèle cyclique à chaque niveau du SMSI.

Les phases de mise en place du SMSI comprennent par ailleurs:
- l’appréciation des risques
- la sélection de mesures de sécurité ad hoc (ici, celles de la 27799 notamment)
- les activités transverses telles que la gouvernance et la documentation du système
- la sensibilisation du personnel
- le suivi du système par le biais d’indicateurs et d’audits internes.

On ne gouverne jamais une nation contre ses habitudes
Louis XVI

La norme 27799 recommande la mise en place d’un forum de management de la sécurité des informations (FMSI).
Ce forum, idéalement formé par l’extension d’un comité existant dans l’organisation, est de représentation mixte (membres des fonctions médicales et administratives ou technologiques). Ce processus unique de gouvernance (simplification du pilotage, réduction des coûts) doit permettre de garantir l’existence d’une politique et d’un soutien clairs de la direction.

Ce n’est plus souvent que la perte de choses qui en enseigne la valeur
Schopenhauer

Lorsque l’on parle de sécurité des informations, il ne s’agit pas seulement de protéger les données informatiques, mais toutes les informations ayant de la valeur pour l’organisation, et quel que soit leur support ou leur mode de transmission : écrits papier, connaissances et savoir-faire. On parle plus généralement d’actifs informationnels.

S’agissant d’informations dites personnelles, je rappelle que dans la Loi française n°78-17 du 6 Janvier 1978, il s’agit de toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.
Le chapitre 3 de la norme 27799 précise lui, qu’une information personnelle de santé est “une information relative à la santé physique ou mentale d’un individu identifiable ou à la prestation de services de santé”, ce qui inclut donc ainsi les informations sur les personnes identifiables et impliquées dans la prise en charge du dit individu : les professionnels de santé.

Voici quelques exemples d’actifs ou de supports d’informations: planning de rendez-vous, logiciel d’anonymisation, bâtiment des archives, échographe, ordonnancier, dictaphone, personnel du bureau des admissions, films radiologiques, compte-rendu de consultation, cassettes de sauvegarde, cartes CPS, base de données des rapprochements d’identités, routeur pare-feu, plan de soins, étiquettes patient, emails, système de traçabilité du matériel stérile.

Vous aurez à choisir un niveau de granularité adapté à l’importance de votre périmètre, toutefois de façon générale l’actif à identifier sera plutôt l’information en elle même que son support.

NB : La norme 27799 ne fournit pas de listes d’actifs types (pas plus que la 27002 d’ailleurs), et c’est logiquement à vous qu’il revient d’élaborer l’inventaire de vos biens informationnels.

Ensuite, et ici décrit de façon très générique, l’appréciation des risques consiste à évaluer la vraisemblance du risque et son coût – en matière de perte d’intégrité, de disponibilité ou de confidentialité – qui pèse sur un actif et ce en fonction de ses vulnérabilités et des menaces qui pèsent sur lui.

Je trouve dommage que le document fasse exclusivement référence à la norme ISO 13335-3 alors que la récente norme ISO 27005 (dont la publication a d’ailleurs précédée celle de l’ISO 27799) est sans doute aujourd’hui le meilleur référentiel en la matière, notamment parce qu’elle reprend les exigences exprimées dans la 27001 et qu’elle fusionne le meilleur des méthodes utilisées jusqu’à lors : l’ISO 13335, mais aussi Octave, Mehari ou encore EBIOS.

L’obligation de subir nous donne le droit de savoir
Jean Rostand

Une fois les risques identifiés, vous aurez à sélectionner tout ou partie de mesures de sécurité ad hoc. L’ISO 27799 préconise l’implémentation de plusieurs mesures de sécurité, dont 25 sont obligatoires comme :
- Ecraser de façon sécurisée ou détruire tous les supports d’informations lorsqu’ils ne sont plus utilisés,
- Séparer les équipements de développement, d’essai et d’exploitation,
- Sécuriser et rendre infalsifiable les informations journalisées,
- Garantir l’identification univoque des patients et être capable de fusionner des identités multiples.

En revanche on ne trouve aucune obligation en ce qui concerne l’usage de messagerie électronique, le chiffrement (des informations de santé stockées ou sauvegardées).

A noter qu’en France, le projet d’arrêté pris en application de l’article R1110-1 du CSP sera à considérer comme une exigence réglementaire dans la politique de votre SMSI et nécessitera l’implémentation de mesures de sécurité pour répondre aux règles obligatoires du décret (parmi la cinquantaine actuellement retenue). Ce décret rend obligatoire l’usage de la carte CPS pour tout accès par des PS à des données personnelles de santé, ce qui nécessite évidemment de sélectionner les mesures de sécurité du chapitre 11 “Contrôle d’accès” de l’ISO 27002 ou le point 7.8 dans l’ISO 27799.
A noter que, et sous réserve de la publication de sa version définitive, l’application du décret reste “limitée” au seul critère de confidentialité  (rien à propos de l’intégrité ou de la disponibilité des informations médicales) et concerne exclusivement des supports électroniques: à suivre donc.

N’admettez rien a priori si vous pouvez le vérifier
Kipling

Il possible de mettre en place un SMSI basé sur les recommandations du chapitre 6 de l’ISO 27799 ou directement (et idéalement à mon avis) sur le référentiel ISO 27001, sans vouloir nécessairement viser sa certification : l’important étant d’augmenter la fiabilité de votre organisation.
Cf. mon billet précédent pour les conditions de la certification.

Pour autant, la mise en œuvre d’un SMSI impose de formaliser des processus et des indicateurs ; il devient alors utile de mesurer l’adéquation entre la réalité et ce qui a été spécifié : on parle d’audits internes ou externes, ces derniers audits ayant pour objectif de vérifier la conformité du SMSI à la norme pour l’obtention de sa certification.

La certification permet finalement d’apporter la confiance en votre SMSI aux différentes parties prenantes : les patients, les autorités de tutelle, l’opinion publique, et le personnel bien entendu (on peut même lire dans la norme 27799 que “l’approche cohérente de la sécurité de l’information [...] améliorera le moral des employés” !)

En conclusion

L’ISO 27799 apporte un bon éclairage sur la notion d’informations de santé personnelles à ceux qui ne connaissent pas ce domaine.
En revanche, pour celles et ceux qui officient déjà dans le contexte (professionnels de santé, RSSI ou personnel des DSI d’hôpitaux ou cliniques, etc.) et au delà de l’intérêt d’une référence commune de mesures de sécurité obligatoires, cette norme tient plus d’un guide de prise en main pour implémenter la norme ISO 27001 et l’ISO 27002 qui lui est déjà associée.
Il me semble que les normes dites d’application “sectorielle” sont comme les lois: on devrait déjà s’assurer de mettre en œuvre celles qui existent, et de n’en créer d’autres que si l’on est assuré de leur efficacité.

Depuis plusieurs années, la continuité et la qualité des soins reposent de plus en plus sur les systèmes d’informations. La sécurité de ces systèmes, et souvent des informations de santé personnelles, est devenue un enjeu crucial notamment en raison de l’augmentation de leur traitement informatique et du nombre d’échanges entre professionnels.

La norme internationale ISO 27799:2008 (“Gestion de la sécurité de l’information relative à la santé en utilisant l’ISO/CEI 27002″) parue en juin dernier, propose des recommandations pour la mise en oeuvre de mesures de sécurité adaptées aux organisations de soins et autres dépositaires de données personnelles de santé. Elle peut donc intéresser des établissements de soins, des réseaux de santé ou des hébergeurs.

C’est pendant l’année 2002 qu’un groupe de travail Australien a proposé l’adaptation de la norme ISO 17799:2000 au domaine de la santé, cette norme étant à l’origine de l’ISO 27002.
Le lancement du projet de norme 27799 n’a donc pas attendu, comme l’ai souvent lu sur le Web, l’avènement des projets Google Health ou Microsoft Healthvault ; d’autant qu’un projet de norme ISO met généralement au moins quatre ans avant d’arriver au stade publication.

Le référentiel ISO 27799 a été créé pour répondre aux exigences de sécurité des informations de santé et finalement pour répondre aux objectifs liés à la prise en charge du patient : assurer sa sécurité, le respect de sa vie privée et l’efficacité des soins médicaux qui lui sont apportés.

La norme reprend les critères classiques “DICA” (Disponibilité, Intégrité, Confidentialité et Auditabilité) comme les objectifs majeurs en matière de protection des informations de santé, et ce quelle que soit la taille, le mode de fonctionnement ou la localisation de l’organisation concernée.

En théorie, et par exemple en France, cette norme peut donc être mise en œuvre par des hébergeurs nationaux du Dossier Médical Personnel ou par un hôpital local.

NB: l’intégrité des informations n’étant pas synonyme de qualité de ces dernières, tout objectif d’assurance qualité des données (à protéger) a été logiquement exclu du domaine d’application de cette norme.

Comme son nom l’indique, la 27799 s’appuie sur un autre référentiel normatif, l’ISO 27002:2005, qui est un “catalogue” de bonnes pratiques en matière de sécurité des informations. Lorsque l’on utilise l’ISO 27002 seule, l’implémentation de ses mesures de sécurité reste facultative: on sélectionne celles qui correspondent aux actifs et risques préalablement identifiés.

Certaines mesures de l’ISO 27002 ont été jugées essentielles dans le domaine de la santé. C’est pourquoi l’ISO 27799 reprend plusieurs dispositions, parmi les 11 thèmes de l’ISO 27002, afin de les rendre obligatoires ou d’en préciser la mise en oeuvre. l’ISO 27799 ajoute par ailleurs des objectifs non présents dans la 27002.

La norme ISO 27001:2005, qui décrit la façon d’opérer un Système de Management de la Sécurité des Informations (SMSI), bien que non indispensable (malheureusement) à la mise en place des dispositions de l’ISO 27799, y est citée notamment pour ses principes d’amélioration continue de la sécurité. J’y reviendrai dans la suite de ce (long) billet.

NB: contrairement à une idée reçue, la seule mise en oeuvre de la norme ISO 27002 ou ISO 27799 ne peut pas faire l’objet d’une certification ! C’est la vérification de conformité à la norme 27001 qui peut être effectuée, et ce par un audit du système complet de management : audit de certification du SMSI.

Enfin, il faut rappeler qu’en France le GMSIH avait retenu l’ISO 27799 (à l’époque encore au stade pré-norme) dans l’étude pour l’élaboration de la déclinaison du référentiel général d’interopérabilité (RGI) et la démarche d’élaboration des référentiels de Santé (thème n°5 “Sécurité”).

• Organisation du document

Les chapitres 1 et 2 comprennent l’introduction, quelques généralités et les références normatives (en fait une seule, l’ISO 27002).
Le vocabulaire et les termes spécifiques sont explicités dans les chapitres 3 et 4, quant au chapitre 5, il précise les notions de sécurité de l’information de santé.

La “substantifique moelle” se trouve finalement dans les deux chapitres suivants : le chapitre 6, qui décrit la mise en pratique de l’ISO 27002 et le chapitre 7 qui liste les mesures de sécurité essentielles pour le domaine de la santé.

Trois annexes informatives (A à C) clôturent le document :
La première décrit les menaces générales pesant sur les informations de santé, la seconde décrit les activités et documents propres au SMSI et la dernière énumère quelques avantages à tirer d’un outillage pour la mise en œuvre de la norme (élaboration de bases de données pour l’analyse de risques ou la gestion de la déclaration d’applicabilité, etc.)

• Premier constat

La norme est intéressante pour ses préconisations quant au contexte de mise en œuvre: gouvernance mixte médical/administratif (forum de management ISMF, etc.) et sur les adaptations d’implémentation des mesures de sécurité.

Mais à part celà, je me dit qu’ils auraient pu l’intituler “ISO 27001 pour les nuls …du monde de la santé”.
En effet, pourquoi ainsi faire du cycle d’amélioration continue et de l’appréciation des risques une simple redite informative de ce qui déjà décrit, imposé et appliqué dans d’autres domaines avec la norme ISO 27001 ?
Pourtant, nombre de DSIO ou RSSI d’hôpitaux et cliniques sont capables de mettre en oeuvre la 27001 et de façon tout à fait optimisée à leur contexte !

PS: je suis déçu de la traduction française, car elle est approximative et discutable à de nombreux endroits du document, par ailleurs quelques coquilles grammaticales et orthographiques subsistent. Cela peut sembler un peu mesquin, mais pour une norme internationale à 168 euros les 63 pages, on peut s’attendre à un minimum de rigueur. Je conseille donc d’opter directement (ou en cas de doute) pour la version écrite dans la langue de Shakespeare.

La suite dans le prochain billet…