601579795.

xls - Préambule 1/17

Ce questionnaire sécurité est basé sur l'ISO 27002, cette norme définit un code de bonne pratique pour la gestion de la sécurité de
l'information.
Cette norme définit les mesures qu'il convient de mettre en place pour maitriser les risques pesant sur un système d'information. La
norme ISO 27002 étant de portée générale, le questionnaire a été complété en prenant en compte des documents de référence
spécifiques au secteur santé :
* l'ISO 27799, complément de l'ISO 27002 relatif à la santé
* le décret "confidentialité" pour la partie concernant l'obligation d'utilisation de la carte à puce pour l'accès aux informations de
santé et leur transmission par voie électronique,
* le décret "hébergement" pour la partie concernant les exigences opérationnelles, les exigences concernant la démarche
d'agrément n'ont pas été prises en compte dans le questionnaire. L'objectif est de mesurer si le projet a pris en compte ces
exigences opérationnelles en anticipation d'une démarche d'agrément, ou si d'autres mesures particulières ont été prises.

Le squelette de ce questionnaire est l'ISO 27002. Il respecte la répartition des mesures de sécurité sur les 11 thèmes de l'ISO 27002.
Le questionnaire exhaustif ISO 27002 étant très conséquent, seuls ont été retenus les sous-thèmes particulièrement significatifs
dans le contexte des projets concernés. Certaines problématiques communes à plusieurs sous-thèmes ont été regroupées.
Toutes les exigences critiques des référentiels cités précédemment ont été insérées dans les sous-thèmes du questionnaire, ces
exigences sont accessibles dans le questionnaire en démasquant les lignes marquées en colonne 1 par un « + » ou un « - ».

L'ISO 27002 est un guide de bonnes pratiques international, les termes utilisés sont par nature génériques. On précise ici la
définition de certains termes ramenés au contexte des projets.

Le terme "organisme" désigne dans notre cas toute la structure du projet et le système d'information lié au projet.

Le terme "bien" désigne l'ensemble du système mis en œuvre et les informations traitées

Le terme "tiers" désigne l'ensemble des utilisateurs finaux ainsi que les sous-traitants du projet.
 601579795.xls - Questionnaire 2/17

Sous-
N° t Thème N° Sous N° articl Article Exigence Questions à poser
thème

5 POLITIQUE DE SECURITE
Objectif : Apporter à la sécurité de l'information une orientation et
5.1 Politique de sécurité de l'information un soutien de la part de la direction, conformément aux exigences
métier et aux lois et règlements en vigueur
1 5.1.1 Document de politique de sécurité de l'information
Mesure : Un document de politique de sécurité de l'information doit L'organisation et la gestion de la sécurité sont-elles formalisées
être approuvé par la direction , puis publié et diffusé auprès de dans un document chapeau couvrant l'ensemble du domaine pour
l'ensemble des salariés et des tiers concernés. le projet ? (PSSI)
Une démarche de certification ISO 27001 a-t-elle été prévue pour le
projet?
Iso 27799 : Les organismes traitant des informations de santé, y
compris des informations personnelles de santé, doivent posséder
une politique formelle de la sécurité de l'information approuvée par
la direction, publiée, puis communiquée à l'ensemble des employés
ainsi qu'aux tiers concernés
6 ORGANISATION DE LA SECURITE DE L'INFORMATION
6.1 Organisation interne Objectif : Gérer la sécurité de l'information au sein de l'organisme
2 6.1.1 Engagement de la direction vis-à-vis de la sécurité de l’information
Mesure : La direction soutient activement la politique de sécurité au Quelle a été votre approche du management de la sécurité dans le
sein de l’organisme au moyen de directives claires, d’un cadre de votre projet ?
engagement franc, d’attribution de fonctions explicites et d’une Avez-vous appliqué une démarche méthodologique d'analyse et de
reconnaissance des responsabilités liées à la sécurité de gestion des risques SSI ?
l’information.

Iso 27799 : La direction d'un organisme de santé est responsable

de la sécurité des informations personnelles de santé et des autres
données protégées en lien avec la santé émises par l'organisme.
Une coordination efficace constitue également un élément essentiel
à la préservation de la sécurité des informations. Ces deux notions
requièrent une infrastructure robuste et explicite en matière de
gestion de la sécurité de l'information.
Il est d'une importance cruciale qu'elle soit conçue et structurée afin
de faciliter l'accès des sujets de soins pour faciliter les comptes
rendus au sein de la structure de l'organisme et pour garantir les
délais de délivrance de ces informations.

Iso 27799 : Les organismes traitant des informations personnelles

de santé doivent :
a - clairement définir et affecter les responsabilités relatives à la
sécurité de l'information,
b - avoir en place un forum de gestion de la sécurité de
l'information (ISMF) pour garantir l'existence d'une direction claire et
d'un soutien visible de la direction en termes d'initiatives inhérentes
à la sécurité concernant les informations personnelles de santé.

Iso 27799 : Au minimum, au moins un individu doit être responsable

de la sécurité des informations de santé au sein de l'organisme.
3 6.1.2 Coordination de la sécurité de l'information
Mesure : Les activités relatives à la sécurité de l'information doivent L'organisation de la sécurité est-elle formalisée dans un document?
être coordonnées par des intervenants ayant des fonctions et des
rôles appropriés représentatifs des différentes parties de Les rôles et actions des différents acteurs de la SSI ont-ils été
l'organisme. définis et ont-ils fait l'objet d'une communication? (RSSI, MOA,
MOE, ...)
4 6.1.5 Engagements de confidentialité
 601579795.xls - Questionnaire 3/17

Mesure : Les exigences en matière de confidentialité et de non Une politique de confidentialité a-t-elle été élaborée dans le cadre
divulgation de l'information sont elles clairement définies et de ce projet?
régulièrement révisées . Si oui, quels sont les sujets abordés (accords de confidentialité)?
Iso 27799 : les organismes traitant des informations personnelles
de santé doivent établir un accord de confidentialité qui précise la
nature confidentielle de cette information. L'accord doit être
applicable à tout le personnel ayant accès aux informations de
santé.
Il convient que l'accord de confidentialité comprenne une référence
aux sanctions encourues en cas d'identification d'une défaillance
dans la politique de sécurité de l'information.
Décret hébergement : Une présentation de la politique de
confidentialité et de sécurité, prévue au 2° de l’article R. 1111-9, doit
être fournie à l’appui de la demande d’agrément conformément au
6o de l’article R. 1111-12. Elle comporte notamment les précisions
suivantes :
1 - En matière de respect des droits des personnes concernées par
les données hébergées
2 - En matière de sécurité de l’accès aux informations
3 - En matière de pérennité des données hébergées
4 - En matière d’organisation et de procédures de contrôle interne
en vue d’assurer la sécurité des traitements et des données
5 6.1.6 Relations avec les autorités
Mesure : Des relations appropriées doivent être mises en place Le projet a-t-il fait l'objet d'une déclaration CNIL?
avec les autorités compétentes.
6 6.1.8 Revue indépendante de la sécurité de l'information
Mesure : Des réexamens réguliers et indépendants de l'approche Des révisions périodiques de la mise en œuvre de la gestion de la
retenue par l'organisme pour gérer et mettre en œuvre sa sécurité sécurité sont-elles prévues?
doivent être effectués; de tels réexamens sont également Ou bien, des révisions ponctuelles sur événement important sont-
nécessaires lorsque des changements importants sont intervenus elles prévues (évolution fonctionnelle majeure) ?
dans la mise en œuvre de la sécurité.
Objectif : Assurer la sécurité de l'information et des moyens de
6.2 Tierces parties traitement de l'information appartenant à l'organisme et consultés,
traités, communiqués ou géré par des tiers
7 6.2.1 Identification des risques provenant des tiers
Mesure : Les risques pesant sur l'information et les moyens de L'implication de tiers (utilisateurs et sous-traitants) peut apporter
traitement de l'organisme qui découlent d'activités impliquant des des risques au projet. Ces risques ont-ils été analysés?
tiers doivent être identifiés, et des mesures appropriées doivent être Si oui, quels sont les éléments mis en place par rapport à ces
mises en œuvre avant d'accorder des accès. risques, en particulier sur les conditions d'accès au système et aux
informations sensibles?
Iso 27799 : Les organismes traitant des informations de santé
doivent évaluer les risques associés à l'accès possible par des tiers
aux systèmes et aux données qu'ils contiennent, puis mettre en
place des contrôles de sécurité proportionnels au niveau de risque
identifié et aux technologies employées.
Iso 27799 : Les droits des sujets de soins doivent être protégés,
même lorsqu'un tiers ayant un accès potentiel aux informations
personnelles de santé se situe dans une juridiction différente de
celle contrôlant le sujet de soins ou l'organisme de santé.
8 6.2.3 La sécurité dans les accords conclus avec des tiers
Mesure : Les accords conclus avec des tiers qui portent sur l'accès, Si le projet fait appel à de la sous-traitance, comment les aspects
le traitement, la communication ou la gestion de l'information, ou liés à la sécurité sont-ils pris en compte dans les contrats,
des moyens de traitement de l'information de l'organisme , ou qui notamment avec les hébergeurs ?
portent sur l'ajout de produits ou de services aux moyens de Un médecin est-il prévu parmi le personnel en charge de l'activité
traitement de l'information, doivent couvrir l'ensemble des exigences d'hébergement ?
applicables en matière de sécurité. En cas de problème, le médecin est la seule personne ayant la
possibilité d'accéder aux données de santé.
Iso 27799 :
À chaque fois qu'un organisme a recours aux services d'un tiers, il
convient qu'un accord précisant les contrôles minimaux à effectuer
soit adopté
 601579795.xls - Questionnaire 4/17

Décret Hébergement : Les informations concernant la santé des

patients sont soit conservées au sein des établissements de santé
qui les ont constituées, soit déposées par ces établissements
auprès d’un hébergeur agréé
Décret Hébergement : L'hébergeur des données de santé doit se
soumettre à une demande d'agrément.
Décret Hébergement : L'hébergeur doit identifier les personnes
en charge de l’activité d’hébergement, dont un médecin, en
précisant le lien
contractuel qui les lie à l’hébergeur.
Décret Hébergement : Les modèles de contrats devant être joints à
la demande d’agrément contiennent obligatoirement au moins les 9
clauses (description, modalités, contrat, etc.) définis à l'article R-
1111-13
Décret Hébergement : L’agrément est délivré aux hébergeurs de
données de santé à caractère personnel pour une durée de trois
ans.

La demande de renouvellement doit être déposée au plus tard six

mois avant le terme de la période d’agrément.

Décret Hébergement : En cas de divulgation non autorisée de

données de santé à caractère personnel ou de manquements
graves de l’hébergeur à ses obligations mettant notamment en
cause l’intégrité, la sécurité et la pérennité des données hébergées,
le ministre chargé de la santé peut, à titre conservatoire, dans
l’attente qu’il soit statué définitivement sur le projet de retrait
d’agrément, prononcer la suspension de l’activité d’hébergement.

Décret Hébergement : Le directeur de l’établissement veille à ce

que toutes dispositions soient prises pour assurer la garde et la
confidentialité des informations ainsi conservées ou hébergées.
Décret Hébergement : Le dossier médical est conservé pendant
une durée de vingt ans à compter de la date du dernier séjour de
son titulaire dans l’établissement ou de la dernière consultation
externe en son sein
Décret Hébergement : A l’issue du délai de conservation
mentionné à l’alinéa précédent et après, le cas échéant, restitution à
l’établissement de santé des données ayant fait l’objet d’un
hébergement en application de l’article L. 1111-8, le dossier médical
peut être éliminé. La décision d’élimination est prise par le directeur
de l’établissement après avis du médecin responsable de
l’information médicale
7 GESTION DES BIENS
Objectifs : Mettre en place et maintenir une protection appropriée
7.1 Responsabilité associée aux biens
des biens de l’organisme
9 7.1.3 Utilisation correcte des biens
Mesure : Des règles permettant l'utilisation correcte de l'information Existe-t-il un inventaire des biens du projet?
et des biens associés aux moyens de traitement de l'information Existe-t-il une classification des biens par rapport à leurs critères de
doivent être identifiées, documentées et mises en œuvre. sensibilité (en termes de disponibilité, d'intégrité et de
confidentialité)?
Y a-t-il eu une campagne de diffusion ou de sensibilisation des
Iso
Décret27799 : Il convient que
Confidentialité : Lales organismessur
conservation manipulant des
support informatique utilisateurs pour l'utilisation correcte des biens?
informations
Iso
des 27799
informations de
: IlLe santé
matériel
convient aient
que
médicales des
médical
les règles pour
qui enregistre
organismes
mentionnées préserver deslainformations
ou consigne
traitant
aux trois premiers des
alinéas
prédominance
données
de l’articlepeut
personnelles desanté
exiger
de
L. 1110-4 cespar
biens
des (par exempleparticulières
considérations
: tout professionnel, la tout
prédominance d'unede
en termes
établissements et
base
sécuritéde liées
a - réseau
tout données
rendent de àsanté
compte de des
médicaments)
l'environnement
biens
ou tout dans
des
autre etlequel
l'intégrité
informations
organisme ellesde
de ces
opèrent
santé
intervenant biens (par
et aux
(c'est-à-
dans le
exemple
émissions
dire l'intégrité
établissent
système de santé unestfonctionnelle
électromagnétiques
soumisedequi
inventaire du
auces matériel
surviennent
biens),
respect demédical
lors dequileur
référentiels enregistre
définis par
oub consigne
fonctionnement.
- désignent
arrêtés des
du ministreunIldonnées).
convient
gardien qu'un
chargé pour
de lacestelbiens
santé, matériel
pris soit aux
relatifs
après identifié de
avisinformations
de la
manière
de santé,unique.
Commission nationale de l’informatique et des libertés. Ces
référentiels s’imposent également à la transmission de ces en
c - possèdent des règles identifiées, documentées et mises Objectif : Garantir un niveau de protection approprié aux
7.2 Classification des informations
œuvre en vuepar
informations devoie
la bonne utilisation
électronique de ces
entre biens.
professionnels. informations
10 7.2.2 Marquage et manipulation
« Les de l'information
référentiels déterminent les fonctions de sécurité nécessaires
à la conservation ou à la transmission des informations médicales
en cause et fixant le niveau de sécurité requis pour ces fonctions.
 601579795.xls - Questionnaire 5/17

Mesure : Un ensemble approprié de procédures pour le marquage Le niveau de classification des supports d'informations est-il indiqué
et la manipulation de l'information doit être élaboré et mis en œuvre de manière visible sur chacun des supports?
conformément au plan de classification adopté par l'organisme.
Iso 27799 : Toutes les informations de santé ne sont pas
confidentielles et tous les systèmes d'information de santé ne
donnent pas aux utilisateurs l'accès aux informations personnelles
de santé. Les utilisateurs des systèmes d'informations de santé
doivent savoir lorsque les données qu'ils sont sur le point de
consulter contiennent des informations personnelles de santé.
Iso 27799 : Il convient que les copies en sortie soient étiquetées
comme confidentielles lorsqu'elles contiennent des informations de
santé.
Iso 27799 :pour des raisons pratiques il
serait parfois nécessaire d'identifier les dossiers de santé des sujets
de soins exposés à un risque élevé
d'accès non autorisé. Parmi ces individus se trouvent les employés
de l'organisme lui-même, les VIP...
ISO 27799 : il est important de prendre en compte l'attention
particulière qui doit être portée aux sujets de soins ne souhaitant
pas que leurs informations personnelles de santé soient accessibles
aux employés médicaux lorsque ceux-ci sont également des
voisins, des collègues
ou des proches. Ces problèmes constituent souvent une grande
partie des plaintes de la part de personnes craignant pour la
confidentialité de leurs informations personnelles de santé. Souvent,
les membres du personnel ne souhaitent pas être en contact, s'ils
n'en n'ont pas besoin, avec les informations concernant leurs amis,
leurs proches ou leurs voisins.
Iso 27799 : Il convient que toutes les informations personnelles de
santé soient unanimement classées confidentielles
Il convient que les organismes manipulant des informations
personnelles de santé classent ces données comme confidentielles
et ce, unanimement.
Iso 27799 : La classification en termes de disponibilité, intégrité et
importance doit également être appliquée aux processus, au
matériel informatique, logiciel, lieux et personnel
Iso 27799 : Il convient que tous les systèmes d'informations
personnelles de santé traitant des informations personnelles de
santé informent l'ensemble des utilisateurs de la confidentialité des
informations personnelles de santé accessibles depuis le système
(lors de son démarrage ou lors de la connexion au système)
8 SECURITE LIEE AUX RESSOURCES HUMAINES
Objectifs :
- Garantir que les salariés, contractants et utilisateurs tiers
connaissent leurs responsabilités et qu’ils conviennent pour les
8.1 Avant le recrutement fonctions qui leur sont attribuées
- Réduire le risque de vol, de fraude ou de mauvais usage des
équipements.
11 8.1.2 Sélection
Mesure : Des vérifications des informations concernant tous les Des critères spécifiques par rapport à la sensibilité des missions
candidats (postulants, contractants ou utilisateurs tiers) doivent être ont-ils été pris en compte lors du recrutement d'une personne pour
réalisées conformément aux lois, aux règlements et à l'étique. Elles le projet?
doivent être proportionnelles aux exigences métier, à la Sont-ils spécifiés dans les fiches de postes?
classification des informations accessibles et aux risques identifiés. (l'ISO 27799 précise que des vérifications des casiers judiciaires
sont possibles)
ISO 27799 : Il convient que tous les organismes dont les employés,
les sous-traitants ou les bénévoles en contact (ou en futur contact)
avec des informations personnelles de santé, vérifient, au minimum,
l'identité, l'adresse actuelle et les emplois précédents de ces
employés, sous-traitants
et bénévoles lorsque ceux-ci postulent
 601579795.xls - Questionnaire 6/17

ISO 27799 : Dès que possible, il convient que des vérifications du

casier judiciaire soient entreprises.
12 8.3.3 Retrait des droits d'accès
Mesure : Les droits d'accès de l'ensemble des salarié, contractants Avez-vous formalisé des procédures de retrait des droits d'accès
et utilisateurs tiers à l'information et aux moyens de traitement de des utilisateurs ainsi que des sous-traitants?
l'information doivent être supprimés à la fin de leur période d'emploi, (Ces procédures doivent être applicables aux sous-traitants s'ils
ou modifiés en cas de modification du contrat ou de l'accord. gèrent les droits d'accès).
Le personnel temporaire a-t-il des droits différents des droits des
autres utilisateurs?
La révocation des droits est-elle prise en compte dès la création
des comptes? (exemple : la date de fin de contrat est prise en
compte dès l'attribution des droits et le compte est supprimé à
cette date)
Les comptes sont-ils valables pendant une durée limitée? (pour une
personne en poste fixe, le compte doit-il être actualisé tous les 2
ans par exemple?)
ISO 27799 : Tous les organismes traitant des informations
personnelles de santé doivent, dès que possible, mettre un terme
aux privilèges d'accès des utilisateurs relatifs à ces informations et
ce, qu'il s'agisse du départ d'un employé en CDD ou en CDI, ou
encore d'un sous-traitant ou d'un bénévole étant arrivé aux termes
de ses activités contractuelles, de sous-traitance ou de bénévolat.
9 SECURITE PHYSIQUE ET ENVIRONNEMENTALE
Objectif : Empêcher tout accès physique non autorisé, tout
9.1 Zones sécurisées dommage ou intrusion dans les locaux et les informations de
l’organisme.
13 9.1.1 Périmètre de sécurité physique
Mesure : Les zones contenant des informations et des moyens de La plateforme matérielle du projet est-elle installée dans des locaux
traitement de l'information doivent être protégées par des sensibles?
périmètres de sécurité (obstacles tels que des murs, des portes Des mesures de protection (détection incendie, dégâts des eaux,
avec un contrôle d’accès par cartes, ou des bureaux de réception détecteur de fumée, etc.) ont-elles été mises en œuvre dans les
avec personnel d’accueil). locaux sensibles?
Les locaux sensibles sont-ils à accès restreint?
Si oui, comment se fait le contrôle d'accès?

ISO 27799 : Il convient que les organismes traitant des informations

personnelles de santé utilisent des périmètres de sécurité pour
protéger les zones contenant des équipements de traitement de
l'information constituant une aide aux applications médicales.

ISO 27799 : Il convient de protéger ces zones sécurisées par des

contrôles adéquats à l'entrée pour s'assurer que seul le personnel
habilité est admis.

ISO 27799 : Il convient que les mesures de sécurité physique

relatives à l'information soit associées aux mesures de sécurité
physique et de sûreté relatives aux sujets de soins. Les organismes
de santé ont le devoir d'assurer la protection de ces deux aspects

Objectif : Empêcher la perte, l’endommagement, le vol ou la

9.2 Sécurité du matériel compromission des biens et l’interruption des activités de
l’organisme.
14 9.2.1 Choix de l'emplacement et protection du matériel
Mesure : Le matériel doit être situé et protégé de manière à réduire Les matériels sensibles de la plateforme du projet ont-ils été
les risques de menaces et de dangers environnementaux et les stockés en fonctions des risques potentiels de menaces extérieures
possibilités d'accès non autorisé. et environnementales (vandalisme au rez de chaussée, crue
centennale, etc.)
ISO 27799 : Il convient que les organismes traitant des informations
personnelles de santé placent tout poste de travail permettant
l'accès aux informations personnelles de santé d'une façon qui
empêche les regards non-attentionnés ou l'accès aux sujets de
soins et au public.
 601579795.xls - Questionnaire 7/17

ISO 27799 : Il convient que les organismes de santé et

particulièrement les hôpitaux s'assurent que le choix de
l'emplacement et les lignes directrices en matière de protection du
matériel informatique réduisent le plus possible les expositions à de
telles émissions.
ISO 27799 : Le matériel médical qui enregistre ou consigne des
données peut également exiger des considérations spéciales en
termes de sécurité qui sont en relation avec l'environnement dans
lequel elles opèrent et avec les émissions électromagnétiques qui
surviennent lors de leur fonctionnement
15 9.2.2 Services généraux
Mesure : Le matériel doit être protégé des coupures de courant et Le niveau de disponibilité du système demande-t-il à bénéficier d'un
d'autres perturbations dues à une défaillance des services secours électrique?
généraux. Si oui, comment est-il mis en place?
16 9.2.4 Maintenance du matériel
Mesure : Le matériel doit être entretenu correctement pour garantir Avez-vous pris en compte une gestion de la maintenance pour les
sa disponibilité permanente et son intégrité. matériels du projet?
17 9.2.5 Sécurité du matériel hors de locaux
Mesure : La sécurité doit être appliquée au matériel utilisé hors des Le projet prend-il en compte des postes de travail nomades ou des
locaux de l'organisme en tenant compte des différents risques PDA?
associés au travail hors site. Si oui, une étude a-t-elle été faite pour garantir un niveau de
confidentialité optimum (durcissement de la configuration, système
d'authentification robuste, etc.)?
ISO 27799 : les organismes traitant des informations personnelles
de santé doivent garantir que toute utilisation du matériel médical
enregistrant ou consignant des données a été autorisée en dehors
des locaux adéquats
ISO 27799 : Il convient que cela comprenne des équipements
utilisés par des travailleurs à distance, même lorsque cette
utilisation est perpétuelle
18 9.2.6 Mise au rebut ou recyclage sécurisé(e) du matériel
Mesure : Tout le matériel contenant des supports de stockage doit Existe-t-il une procédure de gestion des supports d'informations?
être vérifié pour s'assurer que toute donné sensible a bien été Si oui, intègre-t-elle la mise au rebut des supports de stockage
supprimée et que tout logiciel sous licence a bien été désinstallé ou (avec procédure d'effacement définitif des données sensibles)?
écrasé de façon sécurisée, avant sa mise au rebut.
ISO 27799 : Les organismes traitant des applications contenant des
informations de santé doivent écraser de façon sécurisée ou bien
détruire tous les supports contenant des logiciels d'application
d'informations de santé ou d'informations personnelles de santé
quand l'utilisation du support n'est plus nécessaire.
10 GESTION DE L'EXPLOITATION ET DES TELECOMMUNICATIONS

10.1 Procédures et responsabilités liées à l'exploitation Objectif : Assurer l’exploitation correcte et sécurisée des moyens
de traitement de l’information
19 10.1.1 Procédures d'exploitation documentées
Mesure : Les procédures d'exploitation doivent être documentées, Avez-vous formalisé les procédures d'exploitation de la plate forme?
tenues à jour et disponibles pour tous les utilisateurs concernés
20 10.1.4 Séparation des équipements de développement, de test et d'exploitation
Mesure : Les équipements de développement, d'essai et Avez-vous prévu de mettre en place des plateformes différentes
d'exploitation doivent être séparés pour réduire les risque d'accès pour la recette, la pré-production et la production?
ou de changements non autorisés dans le système d'information en Si oui, ce cycle de vie du projet est-il mis en place?
exploitation.
ISO 27799 : Les organismes traitant des informations personnelles
de santé doivent séparer (physiquement ou virtuellement) les
environnements de développement et d'essai relatifs aux systèmes
d'information de santé traitant de telles opérations des
environnements d'exploitation abritant ces systèmes d'informations
de santé.
ISO 27799 : Les règles relatives à la migration des logiciels de l'état
de développement à l'état d'exploitation doivent être définies et
documentées par l'organisme abritant l(es) application(s)
concernée(s).
 601579795.xls - Questionnaire 8/17

Objectif : Réduire le plus possible le risque de pannes du système.

10.3 Planification et acceptation du système
21 10.3.2 Acceptation du système
Mesure : Lors de la réception des matériels et logiciels, des tests sont-ils
- Les critères d'acceptation doivent être fixés pour les nouveaux effectués, notamment des tests spécifiques de sécurité ?
systèmes d'information, les nouvelles versions et les mises à
niveau, Toute modification de configuration ou de version fait-elle l'objet
- Des tests adaptés au système doivent être réalisés au moment du d'un plan de conduite de changement appliqué au système?
développement et préalablement à leur acceptation

ISO 27799 : Les organismes traitant des informations personnelles

de santé doivent établir des critères d'acceptation pour les
nouveaux systèmes d'information prévus, les mises à jour à venir et
les nouvelles versions à installer
ISO 27799 : Ils doivent réaliser des essais convenables du système
avant l'acceptation.
ISO 27799 : Il convient que l'étendue et la rigueur de ces essais soit
adaptée au niveau correspondant aux risques identifiés de la
modification.
10.4 Protection contre les codes malveillants et mobiles Objectif : Protéger l’intégrité des logiciels et de l’information.
22 10.4.1 Mesures contre les codes malveillants
Mesure : Des mesures de détection, de prévention et de Existe-t-il au sein du projet des mesures de détection, de
récupération ainsi que des procédures appropriées de prévention et de récupération afin de se protéger des codes
sensibilisation des utilisateurs doivent être mise en œuvre afin de se malveillants?
protéger des codes malveillants.
ISO 27799 : Les organismes traitant des informations personnelles
de données doivent mettre en place des contrôles adéquats de
prévention, de détection et de réponse afin de se protéger des
logiciels malicieux
ISO 27799 : Ils doivent mettre en place des formations adéquates
de sensibilisation des utilisateurs.
Objectif : Maintenir l’intégrité et la disponibilité des informations et
10.5 Sauvegardes
des moyens de traitement de l’information.
23 10.5.1 Sauvegarde des informations
Mesure : Des copies de sauvegarde des informations et logiciels Les données sont-elles sauvegardées de manière à garantir leur
doivent être réalisées et soumises régulièrement à essai niveau de confidentialité ?
conformément à la politique de sauvegarde convenue Les données sauvegardées et les supports de sauvegarde
bénéficient-ils des mêmes moyens de protection que les données
courantes (en intégrité et confidentialité particulièrement) ?
ISO 27799 : Afin de protéger leur confidentialité, il convient que les
informations personnelles de santé soient sauvegardées sous un
format chiffré.
ISO 27799 : Les organismes traitant des informations personnelles
de santé doivent sauvegarder les informations personnelles de
santé et les stocker dans un environnement physique sécurisé pour
garantir leur disponibilité future.
Objectif : Assurer la protection des informations sur les réseaux et
10.6 Gestion de la sécurité des réseaux
la protection de l’infrastructure sur laquelle ils s’appuient.
24 10.6.2 Sécurité des services réseau
Mesure : Pour tous les services réseau, les fonctions réseau, les Un niveau de disponibilité des moyens de télécommunication a-t-il
niveaux de service et les exigences de gestion doivent être êté déterminé dans le cadre de ce projet?
identifiés et intégrés dans tout accord sur les services réseau, qu'ils
soient fournis en interne ou en externe
ISO 27799 : Il convient que les organismes traitant des informations
personnelles de santé prennent en compte avec précaution les
conséquences que la perte de la disponibilité du service réseau
aurait sur la pratique clinique
Objectif : Empêcher la divulgation, la modification, le retrait ou la
10.7 Manipulation des supports destruction non autorisé(e) de biens et l’interruption des activités de
l’organisme.
25 10.7.1 Gestions des supports amovibles
 601579795.xls - Questionnaire 9/17

Mesure : Des procédures doivent être mises en place pour la Des exigences de sécurité ont-elles été définies pour la gestion des
gestion des supports amovibles supports amovibles (comment réagir en cas de perte, de vol, etc.)?
ISO 27799 : Il convient que les organismes traitant des informations Si oui, ont-elles fait l'objet d'une communication?
personnelles de santé garantissent que toutes les informations
personnelles de santé stockées sur des supports amovibles sont :
a - chiffrées lorsque leur support est en transit, Objectif : Maintenir la sécurité des informations et des logiciels
10.8 Echanges des informations
b - protégées du vol lorsque leur support est en transit. échangés au sein de l’organisme et avec une entité extérieure
26 10.8.1 Politiques et procédures d'échange des informations
Mesure : Des politiques, procédures et mesures d'échange Existe-t-il des échanges avec l'extérieur de la plate forme autre que
formelles doivent être mises en place pour protéger les échanges les échanges avec les PS ?
d'informations transitant par tous types d’équipements de Si oui, sont-ils protégés et comment?
télécommunication.
ISO 27799 : Les organismes doivent garantir que la sécurité de tels
échanges d'informations est le sujet de l'audit de la politique de
développement et de conformité
ISO 27799 : La sécurité des échanges d'informations peut être
assistée de manière très efficace par l'utilisation d'accords sur les
échanges d'informations qui stipulent le minimum requis en matière
de mise en place d'un ensemble de contrôles.
Doctrine de sécurité : Tous les échanges qu'ils soient réalisés à
partir d'un logiciel de professionnel de santé (LPS) ou à partir de
l'ordinateur personnel du patient seront sécurisés en terme
d'intégrité et de confidentialité (mécanisme de construction d'un
canal sécurisé SSL/TLS)

27 10.8.3 Supports physiques en transit

Mesure : Les supports contenant des informations doivent être Les supports en transit contenant des données de santé sont-ils
protégés contre les accès non autorisés, le mauvais usage ou protégés? Si oui, par quels moyens (chiffrement par CPS, par
l'altération lors du transport hors des limites physiques de certificats numériques, ...)?
l'organisme.
28 10.8.4 Messagerie électronique
Mesure : Les informations transitant par la messagerie électronique Un service de messagerie est-il utilisé dans le cadre de ce projet?
doivent être protégées de manière adéquate. La confidentialité des mails stockés sur les serveurs de messagerie
est-elle garantie, comment ?
Comment la confidentialité des mails stockés sur les postes de
travail fixes et nomades est-elle assurée?
La carte CPS est-elle utilisée pour assurer la confidentialité et la
non répudiation des messages ?
Si non, quelle est la solution mise en place?
Comment assurez-vous la confidentialité des pièces jointes? Sont-
elles stockées sur les serveurs ou bien les utilisateurs les
suppriment-ils systématiquement des serveurs?
Un antivirus est-il déployé spécifiquement pour le serveur de
messagerie?
ISO 27799 : Il est important de remarquer que la sécurité des
courriers électroniques et des messages instantanés contenant des
informations personnelles de santé peut impliquer des modes
opératoires pour le personnel médical qui ne peuvent pas être
imposées aux sujets de soins et au public.
ISO 27799 : Il convient que les organismes transmettant des
informations personnelles de santé par messagerie électronique
prennent des mesures pour garantir leur confidentialité et leur
intégrité
ISO 27799 et décret Confidentialité: Il convient que les
organismes transmettant des informations personnelles de santé
par messagerie électronique prennent des mesures pour garantir
leur confidentialité et leur intégrité
ISO 27799 et décret Confidentialité: Il convient que les
organismes transmettant des informations personnelles de santé
par messagerie électronique prennent des mesures pour garantir
leur confidentialité et leur intégrité
 601579795.xls - Questionnaire 10/17

ISO 27799 : Il convient que les courriers électroniques contenant

des informations personnelles de santé soient chiffrés pour le
transit. Une approche de cette directive implique l'utilisation de
certificats électroniques.
10.10 Surveillance Objectif : Détecter les traitements non autorisés de l’information.
29 10.10.1 Rapport d'audit
Mesure : Les rapports d'audit, qui enregistrent les activités des Une politique de traçabilité a-t-elle été élaborée au sein du projet?
utilisateurs, les exceptions et les événements liés à la sécurité Si oui, fait-elle une différence entre les traces techniques et les
doivent être produits et conservés pendant une période traces métier?
préalablement définie afin de faciliter les investigations ultérieures et
la surveillance du contrôle d'accès. Une étude a-t-elle été menée afin de déterminer quelles étaient les
traces à conserver?
Quelles sont les mesures de protection mises en place pour
protéger les traces en intégrité?
Quelles sont les mesures de protection mises en place pour
protéger les traces en confidentialité?
Quelle est la durée prévue pour la conservation des traces?
Quels sont les moyens mis en place afin de s'assurer de la non
répudiation d'une action?
ISO 27799 : Il convient que les systèmes d'information de santé
traitant des informations personnelles de santé créent un compte
rendu d'audit sécurisé à chaque fois qu'un utilisateur accède, crée,
met à jour ou archive des informations personnelles de santé par le
biais du système.
ISO 27799 : Il convient que le journal d'audit identifie de manière
univoque l'utilisateur, le sujet des données (soit le sujet de soins),
qu'il identifie la fonction exercée par l'utilisateur (création d'un
compte rendu, accès et mise à jour entre autres) et qu'il identifie
l'heure et la date auxquelles la fonction a été effectuée.
ISO 27799 : Lorsque les informations personnelles de santé sont
mises à jour, il convient qu'un compte rendu de l'ancien contenu des
données et le compte rendu de l'audit associé (soit l'identité de la
personne ayant entré les données et la date) soit effectué.
ISO 27799 : Il convient que les systèmes de messagerie utilisés
pour transmettre des messages contenant des informations
personnelles de santé gardent un journal des transmissions de
messages (il convient qu'un tel journal contienne l'heure, la date,
l'origine et la destination du message, mais pas son contenu).
ISO 27799 : Il convient que l'organisme évalue et détermine avec
précaution la période de conservation de ces journaux d'audit, avec
une référence particulière aux normes professionnelles cliniques et
aux obligations légales, dans le but de permettre la réalisation
d'enquêtes lorsque nécessaire et de fournir des preuves de mauvais
usage si nécessaire.

Doctrine technique : A tout document de santé déposé dans un

DMP doit être associé une signature électronique du document par
son « auteur ». La validité de cette signature est contrôlée avant
l'intégration du document dans le DMP. Elle garantit l'imputabilité du
document dans le temps.
30 10.10.2 Surveillance de l'exploitation du système
Mesure : Existe-t-il des outils de centralisation et de journalisation des
- Des procédures permettant de surveiller l'utilisation des moyens de fichiers de journalisation?
traitement de l'information doivent être établies. Si oui, existe-t-il un outil d'analyse de ces fichiers de journalisation?
- Les résultats des activités de surveillance doivent être réexaminés
périodiquement.
Une étude a-t-elle été menée afin de déterminer quels fichiers de
journalisation sont analysés?
Y a-t-il des mesures mises en place pour assurer l'intégrité de ces
logs?
Toutes les activités des exploitants du système sont-elles tracées?
 601579795.xls - Questionnaire 11/17

ISO 27799 : Il convient que les équipements relatifs au rapport

d'audit du système d'informations de santé soient toujours
fonctionnels pendant que le système d'information de santé en
cours d'audit est disponible à l'utilisation.
ISO 27799 : Il convient que les systèmes contenant des
informations personnelles de santé soient pourvus d'installations
permettant l'analyse des journaux et des traces d'audit qui :
a - permettent l'identification de tous les utilisateurs système qui
ont accédé ou modifié le(s) dossier(s) d'un sujet de soins donné sur
une période de temps donnée,
b - permettent l'identification de tous les sujets de soins dont les
dossiers ont été visités ou modifiés par un utilisateur système donné
sur une période de temps donnée.
31 10.10.6 Synchronisation des horloges
Mesure : Les horloges des différents systèmes de traitement de S'il y a plusieurs serveurs au sein de l'architecture du projet, sont-ils
l'information d'un organisme ou d'un domaine de sécurité doivent tous synchronisés sur la même base de temps? (tous les serveurs
être synchronisées à l'aide d'une source de temps précise et doivent être à la même heure pour des contraintes de cohérence et
préalablement définie. d'exploitation)
ISO 27799 : Les systèmes d'informations de santé liés à des
activités de soins partagés pour lesquelles le facteur temps est
essentiel doivent fournir des services de synchronisation du temps
afin d'aider à la recherche et à la reconstitution de l'emploi du temps
de certaines activités si besoin est.
11 CONTRÔLE D'ACCES
11.1 Exigences métier relatives au contrôle d'accès Objectif : Maîtriser l’accès à l’information.
32 11.1.1 Politique de contrôle d'accès
Mesure : Une politique de contrôle d'accès doit être établie, Avez-vous élaboré une politique de contrôle d'accès?
documentée et réexaminée sur la base des exigences d’exploitation
et de sécurité.
ISO 27799 : il est important de remarquer que, dans le but de ne
pas retarder ni entraver la délivrance des soins médicaux, il existe
des exigences plus fortes que d'habitude permettant en cas
d'urgence, après autorisation, de passer outre les règles
«normales» de contrôle d'accès,
grâce à une politique et à un processus clairs.
ISO 27799 + Décret confidentialité:
Les organismes de santé sont encouragés à considérer la mise en
place d'une solution de gestion de l'identité et de l'accès fédérée car
elle constituerait une aide potentielle supplémentaire et des coûts
d'administration moindres à la politique de contrôle d'accès. Cette
solution permettra en plus de bénéficier de processus d'accès à la
sécurité renforcée tels que des accès fondés sur des cartes à puces
et une capacité de connexion unique.
ISO 27799 + Décret Confidentialité : Les organismes traitant des
informations personnelles de santé doivent posséder une politique
de contrôle d'accès régissant l'accès à ces données.
Il convient que la politique de contrôle d'accès de l'organisme soit
établie sur la base de rôles prédéfinis de la part d'autorités
associées qui conviendraient à ce rôle tout en se limitant à ces
fonctions.
La politique de contrôle d'accès doit refléter les exigences
professionnelles, éthiques, légales et relatives au sujet de soins
Il convient qu'elle tienne compte des activités effectuées par les
professionnels de la santé ainsi que du flux de travail des tâches qui
leur incombent.
Décret Confidentialité : En cas d’accès par des professionnels de
santé aux informations médicales à caractère personnel conservées
sur support informatique ou de leur transmission par voie
électronique, l’utilisation de la carte de professionnel de santé
mentionnée au dernier alinéa de l’article L. 161-33 du code de la
sécurité sociale est obligatoire
 601579795.xls - Questionnaire 12/17

Doctrine technique : L'identifiant de santé doit donc être pris en

compte par les professionnels de santé pour l'ensemble des
dossiers médicaux (professionnels, partagés, médical personnel).

Objectif : Maîtriser l’accès utilisateur par le biais d’autorisations et

11.2 Gestion de l'accès utilisateur
empêcher les accès non autorisés aux systèmes d’information.
33 11.2.1 Enregistrement des utilisateurs
Mesure : Une procédure formelle d'enregistrement de désinscription Avez-vous mis en place une procédure d'enregistrement d'un
des utilisateurs, destinée à accorder et à supprimer l’accès à tous nouvel utilisateur (PS, patient)?
les systèmes et services d’information doit être définie.
Tous les nouveaux utilisateurs sont-ils créés avec un profil par
défaut ?
Comment sont gérés les profils au sein du projet?
Comment les utilisateurs ( patients et PS) ont-ils créé leur comptes
au sein du système?
ISO 27799 : L'accès aux systèmes relatifs aux informations
personnelles de santé traitant d'informations personnelles de santés
doit être soumis à un processus officiel d'enregistrement de
l'utilisateur.
ISO 27799 + décret confidentialité: Les modes opératoires
d'enregistrement de l'utilisateur doivent garantir que le niveau
d'authentification exigé en matière d'identité déclarée par l'utilisateur
est cohérent avec les niveaux d'accès obtenu ensuite par ce même
utilisateur.
ISO 27799 : Les détails de l'enregistrement de l'utilisateur doivent
être révisés régulièrement afin de garantir leur contenu et leur
exactitude mais aussi dans le but de vérifier que l'utilisateur a
toujours réellement besoin de cet accès.
Décret Confidentialité : Le responsable du traitement est chargé
de veiller au respect du référentiel. Il lui appartient notamment de
mettre en œuvre les procédés assurant l’identification et la
vérification de la qualité des professionnels de santé dans les
conditions garantissant la cohérence entre les données
l’identification gérées localement et celles recensées par le
groupement d’intérêt public

ISO 27799 : il convient qu'un intérêt particulier soit porté aux

contrôles techniques permettant l'authentification sécurisée d'un
sujet de soins lorsqu'il accède à ses propres informations (grâce à
ces systèmes d'information de santé qui permettent ces accès).
Il convient également de souligner la facilité d'utilisation de ces
mesures, tout particulièrement pour les sujets de soins handicapés
et les dispositions d'accès pour des décideurs de substitution.

34 11.2.2 Gestion des privilèges

Mesure : L'attribution et l'utilisation des privilèges doivent être Avez-vous identifié le besoin de mettre en œuvre un mode "brise
restreints et contrôlés glace"?
Si oui, quels sont les moyens mis en œuvre pour gérer les
autorisations dans des modes de type "brise glace" ?
Ces opérations en mode "brise glace" font-elles l'objet d'un fichier
de journalisation spécifique ?
Comment la légitimité d'accès au système est-elle vérifiée lors de la
création d'un compte ?
Quels sont les moyens mis en œuvre pour autoriser les accès aux
dossiers patients par les PS?
Le patient a-t-il fait l'objet d'une communication sur la stratégie
d'accès à ses données?
ISO 27799 : il convient que les systèmes d'information de santé
traitant d'informations personnelles de santé soient pourvus d'un
contrôle d'accès spécifique selon le rôle (RBAC, rôle-based access
control) capable d'attribuer un ou plusieurs rôles à chaque utilisateur
et chaque rôle à une ou plusieurs fonctions du système.
 601579795.xls - Questionnaire 13/17

ISO 27799 : Plusieurs des stratégies de contrôle d'accès abordées

ci-dessous sont considérées comme pouvant aider de manière
significative à assurer la confidentialité et l'intégrité des informations
personnelles
ISO 27799 : Un de utilisateur
santé. Celles-ci sont : d'informations de santé
d'un système
a - un contrôle
contenant d'accès en fonction
des informations du rôle
personnelles dedéfinit
santé pardoit les titres
avoir accès à
professionnels
ses services enetendossant
les intitulésunde fonction
seul des rôle
et unique utilisateurs établis lors
(les utilisateurs qui
de
ontl'enregistrement
été enregistrés avec en vue de restreindre
plusieurs les privilèges
rôles doivent présenter d'accès
un seul des
utilisateurs
rôle lors de aux privilèges
chaque session requis pourà l'accomplissement
d'accès un système d'informations d'un ou de de
plusieurs
santé). rôles bien définis,
b - un contrôle d'accès spécifique au groupe de travail qui repose
sur l'affectation des utilisateurs à des groupes de travail (tels que
Décret Confidentialité
des équipes cliniques) en : Le
vue responsable
d'établir lesdu traitement
dossiers est chargé
auxquels ils
de veilleraccéder,
peuvent au respect et du référentiel. Il lui appartient notamment de
gérer
c - unlacontrôle
liste nominative des professionnels
d'accès discrétionnaire habilitésaux
permettant à accéder
utilisateursaux
informations
des systèmesmédicales relevant
d'information de cequi
de santé traitement et la tenir
ont une relation à la
légitime
disposition des personnes
avec les informations concernées
personnelles par ces
de santé informations
d'un sujet de soins (par
exemple
ISO 27799 un: médecin
Il convient deque
famille) d'accorder
les systèmes l'accès à d'autres
d'information de santé
utilisateursles
associent quiutilisateurs
n'ont pas encore établi
(y compris lesde relation avec de
professionnels les la santé et
informations
le personnel personnelles de santé
de soutien clinique, de autres)
entre ce sujetavec
de soins (par
les dossiers du
exemple un spécialiste).
sujet de soins en vue de permettre un futur accès fondé sur cette
association.
35 11.2.3 Gestion du mot de passe utilisateur
Mesure : L'attribution de mots de passe doit être réalisée dans le Une procédure d'attribution des mots de passe a-t-elle été
cadre d'un processus formel. envisagée? (transmission par courrier du mot de passe, par
SMS, ...)
36 11.2.4 Réexamen des droits d'accès utilisateur
Mesure : La direction doit revoir les droits d’accès utilisateurs à La politique d'habilitation prend-elle en compte des révisions des
intervalles réguliers par le biais d’un processus formel. comptes? (vérifier que des comptes obsolètes ne soient pas
conservés)
Objectif : Empêcher les accès utilisateurs non habilités et la
11.3 Responsabilités utilisateurs compromission ou le vol d’informations et de moyens de traitement
de l’information.
37 11.3.1 Utilisation du mot de passe
Mesure : Il doit être demandé aux utilisateurs de respecter les Les bonnes pratiques d'utilisation de mots de passe ont-elles fait
bonnes pratiques de sécurité lors de la sélection et de l'utilisation de l'objet d'une sensibilisation des utilisateurs?
mots de passe.
38 11.3.2 Matériel utilisateur laissé sans surveillance
Mesure : Les utilisateurs doivent s'assurer que tout matériel laissé Les utilisateurs ont-ils été sensibilisés sur la protection des matériel
sans surveillance doit être doté d'un dispositif de protection sous leur responsabilité ? (poste de travail, protection de la carte
approprié. CPS, ne pas donner le code PIN, ...)
39 11.4.2 Authentification de l'utilisateur pour les connexions externes
Mesure : Des méthodes d'authentification appropriées doivent être Existe-t-il au sein de ce projet, des connexions depuis l'extérieur
utilisées pour contrôler l'accès des utilisateurs distants. (patient, PS, télétravail)?
Si oui, comment sont-elles établies et protégées?
Les PS peuvent-ils accéder à la plateforme depuis l'extérieur? Si
oui, des moyens ont-ils été mis en place pour l'authentification du
matériel du PS?
40 11.4.5 Cloisonnement des réseaux
Mesure : Les groupes de services d'information, d'utilisateurs et de Est-il prévu que des entités externes puissent accéder à des
systèmes d'information doivent être séparés sur le réseau réseaux partagés situés sur la plateforme du projet?
Le réseau sur lequel est implanté la plateforme du projet
bénéficient-ils de protection particulière?
Si oui, de quelles natures sont ces protections?
Y a-t-il un pare-feu entre le réseau interne et le réseau de la
plateforme?
 601579795.xls - Questionnaire 14/17

Le projet fait-il intervenir un hébergeur externe?

Décret Hébergement : Si oui, existe-t-il un contrat particulier pour l'hébergeur?
Toute personne physique ou morale souhaitant assurer Le serveur d'hébergement est-il dédié aux données médicales?
l’hébergement de données de santé à caractère personnel, Existe-t-il une politique de confidentialité avec l'hébergeur?
mentionné à l’article L. 1111-8, et bénéficier d’un agrément à ce titre Connaît-il toutes les contraintes le liant à des données médicales?
doit remplir les conditions suivantes :
1 - Offrir toutes les garanties pour l’exercice de cette activité,
notamment par le recours à des personnels qualifiés en matière de
sécurité et d’archivage des données et par la mise en oeuvre de
solutions techniques, d’une organisation et de procédures de
contrôle assurant la sécurité, la protection, la conservation et la
restitution des données confiées, ainsi qu’un usage conforme à la
loi ;
2 - Définir et mettre en oeuvre une politique de confidentialité et de
sécurité, destinée notamment à assurer le respect des exigences de
confidentialité et de secret prévues par les articles L. 1110-4 et L.
1111-7, la protection contre les accès non autorisés ainsi que la
pérennité des données, et dont la description doit être jointe au
dossier d’agrément dans les conditions fixées par l’article R. 1111-
14 ;
3 - Le cas échéant, identifier son représentant sur le territoire
national au sens de l’article 5 de la loi du 6 janvier 1978 ;
4 - Individualiser dans son organisation l’activité d’hébergement et
les moyens qui lui sont dédiés, ainsi que la gestion des stocks et
des flux de données ;
5 - Définir et mettre en place des dispositifs d’information sur
l’activité d’hébergement à destination des personnes à l’origine du
dépôt, notamment en cas de modification substantielle des
conditions de réalisation de cette activité ;
6 - Identifier les personnes en charge de l’activité d’hébergement,
dont un médecin, en précisant le lien contractuel qui les lie à
l’hébergeur

Objectif : Empêcher les accès non autorisés aux systèmes

11.5 Contrôle d'accès au système d'exploitation
d’exploitation.
41 11.5.1 Ouverture de sessions sécurisées
Mesure : L’accès aux systèmes d’exploitation doivent être soumis à Les accès au SI sont-ils soumis à des procédures sécurisées?
une procédure sécurisée d'ouverture de session. Les exploitants sont-ils authentifiés par des mécanismes
d'authentification forte ?

Quels sont les moyens mis en œuvre pour gérer les autorisations
d'accès au système ?
42 11.5.5 Déconnexion automatique des sessions inactives
Mesure : Les sessions inactives doivent être déconnectées après Est-il prévu que les sessions inactives aient une durée limitée?
une période d’inactivité définie.
Objectif : Empêcher les accès non autorisés aux informations
11.6 Contrôle d'accès aux applications et à l'information
stockées dans les applications.
43 11.6.1 Restriction d'accès à l'information
Mesure : L’accès aux informations et aux fonctions applicatives doit Les professionnels de santé utilisent-ils la CPS comme moyen
être restreint pour les utilisateurs et le personnel chargé de d'authentification?
l’assistance technique, conformément à la politique de contrôle Avez-vous mené une étude sur la gestion des identifiants au sein
d’accès. du projet? A partir de quoi sont-ils créés? Sont-ils facilement
prédictibles?
Est-il prévu que les patients puissent accéder à leur dossiers?
Si oui, quels sont les moyens mis en place pour que les patients
puissent accéder à leur dossier? (serveur web, client lourd, etc.)
Quels sont les principes d'identification et d'authentification des
patients ?
12 ACQUISITION, DEVELOPPEMENT ET MAINTENANCE DES SYSTEMES D'INFORMATION
Objectif : Empêcher toute erreur, perte, modification non autorisée
12.2 Bon fonctionnement des applications ou tout mauvais usage des informations dans les applications.

44 12.2.1 Validation des données d'entrée

 601579795.xls - Questionnaire 15/17

Mesure : Les données entrées dans les applications doivent être Si des éléments sont rapatriés depuis l'extérieur, quelles sont les
validées afin de vérifier si elles sont correctes et appropriées. mesures permettant de garantir l'authenticité et de l'intégrité des
informations?
45 12.2.4 Validation des données de sortie
Mesure : Les données de sortie d’une application doivent être Quelles mesures permettraient à un utilisateur de vérifier
validées pour vérifier que le traitement des informations stockées l'authenticité et l'intégrité des informations mises à disposition?
est correct et adapté aux circonstances.
ISO 27799 : Les systèmes d'information de santé traitant des
informations personnelles de santé doivent fournir des informations
personnelles d'identification pour aider les professionnels de la
santé à confirmer que le dossier médical électronique correspond
bien au sujet de soins sous traitement.
ISO 27799 : Il convient que les systèmes d'information de santé
donnent la possibilité de vérifier que les impressions électroniques
sont complètes ((par exemple «page 3 de 5»)
Objectif : Protéger la confidentialité, l’authenticité ou l’intégrité de
12.3 Mesures cryptographiques
l’information par des moyens cryptographiques
46 12.3.1 Politique d'utilisation des mesures cryptographiques
Mesure : Une politique d’utilisation des mesures cryptographiques Avez-vous mené une réflexion sur les moyens cryptographiques à
doit être élaborée et mise en œuvre en vue de protéger l’information mettre en œuvre? Existe-il une politique de gestion de clés
(responsabilités, procédures)?
Objectif : Garantir la sécurité du logiciel et des informations
12.5 Sécurité en matière de développement et d'assistance technique
d’application.
47 12.5.1 Procédure de contrôle des modifications
Mesure : La mise en œuvre des modifications doit être contrôlée Lorsque des modification de code ou de configuration doivent avoir
par le biais de procédures formelles. lieu, des procédures formelles sont-elles appliquées afin d'en
contrôler le bon déroulement?
48 12.5.4 Fuite d'informations
Mesure : Toute possibilité de fuite d’informations doit être Avez-vous pris en compte les risques de vol / fuite d'information ?
empêchée. Si oui, quels sont les moyens mis en œuvre?
13 GESTION DES INCIDENTS LIES A LA SECURITE DE L'INFORMATION
Objectif : Garantir que le mode de notification des événements et
13.1 Signalement des événements et des failles liés à la sécurité de l'information failles liés à la sécurité de l’information permette la mise en œuvre
d’une action corrective, dans les meilleurs délais.
49 13.1.1 Signalement des événements liés à la sécurité de l'information
Mesure : Les événements liés à la sécurité de l’information doivent Existe-t-il une cellule de veille d'alerte de sécurité? Si oui, à qui les
être signalés, dans les meilleurs délais, par les voies hiérarchiques rapport de veille sont-ils destinés?
appropriées.
En cas d'incident de sécurité, des fiches d'incident sont-elles
créées? Si oui, à qui sont destinées ces fiches?
ISO 27799 : il convient que les organismes manipulant des
informations personnelles de santé établissent les responsabilités et
les procédures en termes de gestion des incidents en vue de :
a - garantir une réponse rapide, efficace et ordonnée aux incidents
de sécurité,
b - garantir l'existence d'une communication efficace hiérarchisée
en matière d'incidents de telle sorte que les plans de gestion des
crises et de continuité de l'activité peuvent être invoqués en des
circonstances appropriées et au bon moment,
c - regrouper et préserver les données relatives aux incidents tels
que les traces d'audit, les journaux d'audit et autres preuves.

Il convient que la politique soit révisée après l'apparition d'un

incident de sécurité important.
ISO 27799 : Il convient que les organismes informent les sujets de
soins à chaque fois que des informations personnelles de santé ont
été involontairement divulguées.
ISO 27799 : Il convient que les organismes informent les sujets de
soins à chaque absence de disponibilité des systèmes d'information
de santé ayant des répercussions sur l'efficacité des soins qui leur
ont été apportés.
 601579795.xls - Questionnaire 16/17

ISO 27799 : il convient qu'une évaluation de la sécurité soit

effectuée soit sur la totalité des incidents, soit sur le plus
représentatif,
Mesure de Santé pour :évaluer au mieux
Les incidents l'efficacité
relatifs des contrôles
à la sécurité de établis
et de l'appréciation
l'information du risque
comprennent qui a conduit
la divulgation à leur mise
involontaire ouen place.
corrompue
des informations personnelles de santé ou l'absence de disponibilité
des systèmes d'information de santé, dans des cas où cette
50 13.1.2 Signalement des failles
absence a des de sécurité
répercussions sur les soins apportés aux patients ou
Mesure : Tous les salariés,
sur des événements contractants et utilisateurs tiers des
cliniques. Est-il prévu que les utilisateurs du système fasse remonter les
systèmes et services d’information doivent noter et signaler toute informations sur les failles de sécurité?
faille de sécurité observée ou soupçonnée dans les systèmes ou
services
Objectif : Garantir la mise en place d’une politique cohérente et
13.2 Gestion des améliorations et incidents liés à la sécurité de l'information efficace pour la gestion des incidents liés à la sécurité de
l’information.
51 13.2.1 Responsabilités et procédures
Mesure : Des responsabilités et des procédures permettant de Avez-vous formalisé une procédure de gestion des incidents? Si
garantir une réponse rapide, efficace et pertinente en cas d’incident oui, a-t-elle fait l'objet d'un plan de sensibilisation auprès des
lié à la sécurité de l’information doivent être établies. acteurs?
14 GESTION DU PLAN DE CONTINUITE DE L'ACTIVITE
Objectif : Neutraliser les interruptions des activités de l’organisme,
protéger les processus métier cruciaux des effets causés par les
14.1 Aspects de la sécurité de l'information en matière de gestion de la continuité de l'activit principales défaillances des systèmes d’information ou par des
sinistres et garantir une reprise de ces processus dans les meilleurs
délais
52 14.1.1 Intégration de la sécurité de l'information dans le processus de gestion du PCA
Mesure : Un processus de continuité de l’activité dans l’ensemble La sensibilité du projet doit-elle prévoir un plan de reprise de
de l’organisme qui satisfait aux exigences en matière de sécurité de service/d'activité?
l’information requises pour la continuité de l’activité de l’organisme Si oui, un plan ou une procédure de continuité d'activité a-t-il été
doit être élaboré et géré. formalisé? Quelles sont les principales caractéristiques décrites (les
responsables à contacter, les matériels critiques, etc.)?
ISO 27799 : En réponses aux rigoureuses exigences de
disponibilité dans le secteur santé, un effort majeur doit être fourni
dans les dispositifs de récupération et de renouvellement, non
seulement en matière de technologie mais aussi de formation du
personnel médical.
Les organismes de santé doivent être sûrs que leurs plans de
gestion de la continuité des activités comprennent des plans de
gestion des crises de santé.
ISO 27799 : Les organismes de santé doivent également garantir
que les plans développés sont régulièrement mis à l'essai sur la
base d'un programme. Il convient que les essais inclus dans ce
programme soient imbriqués les uns dans les autres, effectuant des
essais sur les ordinateurs de bureau, mais aussi des essais
modulaires et des synthèses du temps probable de récupération et
finalement des répétitions complètes. Un tel programme est donc à
risque faible et procure une amélioration certaine du niveau général
de sensibilisation de la population utilisatrice.
15 CONFORMITE
15.1 Conformité avec les exigences légales Objectif : Eviter toute violation des obligations légales, statutaires,
réglementaires ou contractuelles et des exigences de sécurité.
53 15.1.1 Identification de la législation en vigueur
Mesure : Toutes les exigences légales, réglementaires et Quels sont les moyens mis en œuvre pour garantir que les
contractuelles en vigueur, ainsi que la procédure utilisée par obligations légales sont bien prises en compte au sein du projet?
l’organisme pour satisfaire à ces exigences doivent être
explicitement définies, documentées et mises à jour. Des moyens techniques sont-ils mis en œuvre pour répondre aux
obligations légales?
Avez-vous pensé à mettre en place une cellule de veille pour les
obligations légales?
54 15.1.5 Mesure préventive à l'égard du mauvais usage des moyens de traitement de l'information
 601579795.xls - Questionnaire 17/17

Mesure : Les utilisateurs doivent être dissuadés de toute utilisation Un message de mise en garde indiquant un accès à des données
de moyens de traitement de l’information à des fins illégales. sensibles est-il montré à l'écran de l'ordinateur avant de se
connecter ? L'utilisateur doit-il accepter cette mise en garde avant
de se connecter ?
ISO 27799 : Si possible, il convient que le consentement des sujets
de soins vis-à-vis de leurs informations soit obtenu avant que toute
information personnelle de santé ne soit envoyée électroniquement,
faxée ou communiquée lors d'une conversation téléphonique ou
divulguée d'une quelconque façon à des personnes externes à
l'organisme de santé.

ISO 27799 :
Avant qu'une analyse génétique soit effectuée, la personne
concernée devrait être informée des objectifs de l'analyse et de
l'éventualité de découvertes inattendues. La personne soumise à
une analyse génétique devrait être informée des découvertes
inattendues si les conditions suivantes ont été remplies:
a. le droit interne n'interdit pas une telle information
b. la personne a fait la demande explicite de cette information
c. l'information n'est pas susceptible de porter une atteinte grave:
i. à la santé de la personne
ii. à un parent consanguin ou utérin de la personne, à un membre
de sa famille sociale, ou à une personne ayant un lien direct avec la
lignée génétique de la personne, à moins que le droit interne ne
prévoie d'autres garanties appropriées
d. Sous réserve de l'alinéa a, la personne devrait également être
informée si ces découvertes revêtent
pour elle une importance thérapeutique ou préventive directe.

Objectif : S’assurer de la conformité des systèmes avec les

15.2 Conformité avec les politiques et normes de sécurité et conformité technique
politiques et normes de sécurité de l’organisme.
55 15.2.1 Conformité avec les politiques et les normes de sécurité
Mesure : Les responsables doivent s’assurer de l’exécution L'hébergeur des données de santé est-il certifié ISO 27001 ?
correcte de l’ensemble des procédures de sécurité placées sous
leur responsabilité en vue de garantir leur conformité avec les L'hébergeur des données de santé est-il certifié ISO9001, CMMI
politiques et normes de sécurité. (quel niveau), ITIL ?
Un processus d'agrément de l'hébergeur a-t-il été initié ?
ISO 27799 : Une attention spéciale est portée à la conformité dans
le but de l'interopérabilité technique, étant donné que les systèmes
d'information de santé des grands organismes consistent en général
en plusieurs systèmes interopérables.
Décret Confidentialité : Le responsable du traitement est chargé
de veiller au respect du référentiel. Il lui appartient notamment de
porter à la connaissance de toute personne concernée par les
informations médicales relevant du traitement les principales
dispositions prises pour garantir la conformité au référentiel
correspondant.
Objectif : Optimiser l’efficacité et réduire le plus possible
15.3 Prises en compte de l'audit du système d'information l’interférence avec le/du processus d’audit du système
d’information.
56 15.3.2 Protection des outils d'audit du système d'information
Mesure : L’accès aux outils d’audit du système d’information doit Des contrôles (audits) réguliers du projet sont-ils mis en œuvre
être protégé afin d’empêcher tous mauvais usage ou (afin de vérifier que l'application répond bien aux exigences de la
compromission éventuels. MOA)?
Les rapports sont-ils à accès restreints? Quelles sont les actions
mises en œuvre suite à ces contrôles?