1. Contexte - UTC
25 avr. 2014 ... ... financier qui l'accompagne constituent le document de référence ALTEN sur l'
exercice 2013. ... Notre organisation le permet totalement, et notre santé ... sur la
mise en place d'un système d'évaluation et de gestion .... La première traite
principalement des sujets d'organisation : .... Défense & Sécurité.
Part of the document
REMERCIEMENTS
Nous souhaitons tout d'abord remercier M. Jean Pierre CALISTE notre tuteur
et M. Gilbert FARGES pour leur aide, leurs encouragements et les précieux
conseils qu'ils ont pu nous donner. Nous pensons aussi à M. Stéphane PIERREFITTE, M. Gery MOLLET, M. Julien
ROUSSELLE et Mme Agnès LIEDORP pour leurs réponses et les connaissances sur
la sécurité des systèmes d'informations dans le milieu hospitalier qu'ils
ont pu nous procurer. Votre aide nous a été d'une grande utilité. Nous remercions aussi chaleureusement toute la promotion du Master Qualité
pour avoir suivi notre projet pas à pas et nous avoir fait part de leurs
remarques au cours des différents oraux. SOMMAIRE REMERCIEMENTS 1 TABLE DES ILLUSTRATIONS 3 GLOSSAIRE 4 Introduction 5 1. Contexte 7 1.1. Situation 7 1.2. Enjeux 8
1.2.1. Les enjeux pour le groupe 8
1.2.2. Les enjeux pour les centres hospitaliers 11 1.3. Problématique 12 2. Méthodologie 12 2.1. Communication 12
2.1.1. Réseau Skydrive 12
2.1.2. Prise de contact 13
2.1.3. Création d'une grille d'entretien 13 2.2. Mise en ?uvre 13 3. Réalisation 14 3.1. Création de l'outil 15 3.2. Résultats obtenus 16 4. Perspectives d'avenir et enseignements tirés 17 Conclusion du projet 19 Bibliographie 20 Annexes 23 Annexe 1 : Note de clarification 23 Annexe 2 : Grille d'entretien 25 Annexe 3 : Coordonnées contacts 28 TABLE DES ILLUSTRATIONS
Figure 1 : Nombres de certifications ISO/IEC 27001 délivrées par pays
depuis l'édition de la norme (2005) disponible sur :
http://www.iso27001certificates.com/
.............................................................. 5 Figure 2 : Parallèles des exigences du référentiel de la HAS et de la norme
ISO 27 799 ..................... 8 Figure 3 : Tableau récapitulatif du QQOQCP
..............................................................................
............... 9 Figure 4 : Planification Dynamique Stratégique
............................................................................
.......... 10 Figure 5 : Diagramme en arbre
.............................................................................
.................................... 11 Figure 6 : Diagramme de cause-effet ou diagramme d'Ishikawa
......................................................... 12 Figure 7 : Tableau comparatif des avantages et inconvénients des solutions
proposées...................15 Figure 8 : Choix du format de l'outil
.............................................................................
............................ 15 Figure 9 : Grille d'autodiagnostic
.............................................................................
................................. 16 Figure 10 : Tableau récapitulatif des résultats
obtenus.....................................................................
......17 GLOSSAIRE
GMSIH : Groupement pour la Modernisation des Systèmes d'Information
Hospitalier
HAS : Haute Autorité de Santé
ISO : International Standard Organisation (Organisation International de
normalisation)
MQ : Management de la Qualité
OCDE : Organisation de Coopération de Développement Economique.
PDS : Planification Dynamique Stratégique
PHP : Hypertext Preprocessor
SMSI : Système de Management de la Sécurité d'Information
UTC : Université de Technologie de Compiègne
Introduction
Dans le cadre du projet d'intégration du M2 management de la qualité,
nous avons choisi de porter notre attention sur la mise en place d'un outil
d'autodiagnostic permettant d'évaluer le niveau de sécurité de
l'information selon la norme ISO 27001 [24]. En effet, les systèmes
d'informations ayant connu de nombreuses évolutions ces dernières années,
il s'est avéré nécessaire d'assurer leur sécurité. Aujourd'hui, le nombre
de certifications ISO/IEC 27001 dans le monde s'élève à 6826, tout secteurs
confondus avec une forte disparité selon les pays comme nous pouvons le
voir dans le document 1 suivant : |Japan |3632 |
|Critère 5.a : Système d'information |Chapitre 5 : Sécurité de |
| |l'information |
|Critère 5.b : Sécurité du système |Chapitre 5.5 Les menaces et les |
|d'information |vulnérabilités relatives à la |
| |sécurité des informations de santé |
|Critère 5.c : Gestion documentaire |Chapitre 6.4.8 Jeu de documents du |
| |Système de gestion de la sécurité de |
| |l'information | Figure 2 : Parallèles des exigences du référentiel de la HAS et de la norme
ISO 27 799 1.2. Enjeux
1.2.1. Les enjeux pour le groupe Concernant le groupe projet, les enjeux sont au nombre de deux. En
effet, l'enjeu majeur sera d'être capables de créer un outil
d'autodiagnostic simple et efficace à destination des hôpitaux, tout en
prenant connaissance du référentiel ISO 27799 [17]. Le second sera de
rendre les livrables au bout du temps imparti, c'est-à-dire non seulement
l'outil d'autodiagnostic, mais aussi le rapport écrit, et les synthèses
lors des jalons.
Afin de clarifier la situation initiale, un QQOQCP a été réalisé dans un
premier temps, puis une planification dynamique stratégique, présentés ci-
dessous : |Donnée d'entrée : Évaluation de la sécurité de l'information au sein des |
|hôpitaux |
|QUI ? |Directs : Hôpitaux Indirects : Groupe |
| |projet, M.CALISTE |
|QUOI ? |Des données importantes et confidentielles peuvent être |
| |égarées, ne sont pas protégées ou sont accessibles à tous |
| |(dossiers médicaux, ...) |
|OU ? |Dans les hôpitaux |
|QUAND ? |Chaque fois qu'un dossier confidentiel est créé, consulté, |
| |modifié ou stocké dans la base de données de l'hôpital |
|COMMENT ? |Avec un outil d'auto diagnostic (évolution avant/après) |
|POURQUOI ? |Pour fiabiliser la confidentialité des documents |
| |Pour sécuriser les données |
| |Pour assurer la disponibilité des documents |
|Donnée de sortie : Comment amener les hôpitaux à gagner en efficience dans |
|le management de la sécurité de leur information ? |
Figure 3 : Tableau récapitulatif du QQOQCP Figure 4 : Planification Dynamique Stratégique
Durant la durée du projet, différentes difficultés pourront apparaître. Des
alternatives à ces risques ont été définies à l'aide du diagramme en arbre
suivant (au préalable, un brainstorming et un vote pondéré ont été
effectués pour identifier et sélectionner les risques et alternatives
majeures). Figure 5 : Diagramme en arbre 1.2.2. Les enjeux pour les centres hospitaliers Les centres hospitaliers sont confrontés à une demande accrue de
consultation de l'information, pourtant, celles-ci ne doivent pas altérer
la sécurité des renseignements. L'enjeu premier de l'outil d'autodiagnostic crée sera de permettre aux
hôpitaux d'évaluer facilement et rapidement leur niveau de sécurité de
l'information. Une fois ce niveau défini, il leur permettra d'envisager des
solutions d'amélioration adaptées et de mesurer leur efficacité en
réutilisant cet outil quelques temps après. Le second enjeu, et non pas le moindre, serait d'aboutir à une
certification ISO 27799 , qui permettrait aux centres hospitaliers de
devenir une référence en terme de système de gestion de l'information et
ainsi améliorer leur image et leur compétitivité. Finalement, le fait que les informations soient sécurisées, c'est-à-
dire disponibles, intègres et confidentielles à 100% ne ferait que
renforcer la confiance du patient en l'hôpital. 1.3. Problématique Dans le but de recenser les problèmes liés à la sécurité de l'information,
une enquête dans les établissements de santé a été réalisé. Les résultats
sont recensés dans le diagramme Ishikawa ci-dessous : [pic] Figure 6 : Diagramme de cause-effet ou diagramme d'Ishikawa
2. Méthodologie
2.1. Communication
2.1.1. Réseau Skydrive La réalisation de l'outil s'est faite à l'aide d'une plateforme de stockage
de documents appelée Skydrive. Celui-ci permet à tous les membres du groupe
de créer, de consulter et de modifier tous les documents relatifs aux
projets. 2.1.2. Prise de contact Dans le but d'obtenir des coordonnées de contacts éventuellement intéressés
par le projet, une description du projet a été réalisé et envoyée par mail
aux différents contacts de M.Farges. Cela nous a permis d'être en contact
direct avec des personnes intéressées. De plus, un responsable
communication au sein du groupe a été nommé afin de faciliter les échanges
externes, et un tableau regroupant les coordonnées de tous les contacts a
été établie.
2.1.3. Création d'une grille d'entretien Ensuite, pour préparer les échanges avec les différents hôpitaux, une
grille d'entretien a été construite. (annexe 2