G

Exigences de scurit des Systmes

dInformation pour les quipements
biomdicaux des tablissements de sant
Prsentation du travail issu du groupe de travail
RSSI/Ingnieurs biomdicaux/HFSSI

Guillaume Deraedt - RSSI CHRU de Lille Animateur du Groupe de Travail

Franois Faure IBMH CHU dAngers Reprsentant lAFIB

Toulouse, 7 et 8 juin 2010

Scuriser les dispositifs biomdicaux, pourquoi ?

Des quipements biomdicaux de plus en plus
informatique
(logiciel = Dispositif Mdical)
Des quipements biomdicaux de plus en plus vulnrable
CONFICKER 2009 - Apprendre du retour dexprience
Mission confie par la FHF au travers du
CNSI au RSSI du CHU de Lille de
coordonner un groupe de travail sur ce
thme en lien avec lAFIB

Participants au groupe de travail

Participants, cordacteurs, et relecteurs
AFIB
ANAP

Franois Faure (CHU dAngers) - Reprsentant de lAssociation Franaise des Ingnieurs Biomdicaux
Dominique Lepere, Directeur de projet
Pierre Duclos, Directeur de projet
AP HM
Julien Martinez, RSSI
AP HP
Astrid.Lang, RSSI
Marc Degrain, Ingnieur biomdical
Jean-Eric Lefevre, Ingnieur biomdical
CHU dAmiens
Julien Rousselle, RSSI
CHU de Bordeaux
Alex Franco, RSSI
CHU de Clermont-Ferrand
Jol Langlois, RSSI
CHRU de Lille
Guillaume Deraedt, RSSI et CIL
CHU de Limoges
Claude Delhaye, charg de mission RSSI
CHU de Montpellier
Christian Capelle, Ingnieur informatique, Cellule Scurit du SIH
Marc Fantoni, Ingnieur biomdical,
Thierry Thibout, Ingnieur biomdical,
CHU de Nancy
Jean-Stanislas Tyzo, RSSI
CHU de Nantes
Cedric Cartau, RSSI
CHU de Rennes
Paul LeMagoarou, RSSI
CHU de Toulouse
Yan Morvezen, RSSI
Hpitaux Universitaires de Strasbourg
Jean-Pierre LAURENT, ingnieur biomdical
Fabrice Stalter, RSSI;
Institut Curie
Mylne Jarossay, DSI adjoint - RSSI
Ministre de la Sant
Eric Grospeiller, Fonctionnaire de SSI des ministres chargs des affaires sociales
Philippe Loudenot, fonctionnaire de SSI des ministres chargs des affaires sociales
Laurent Treluyer (MISS)
Hiep Vu Thanh, Charg de mission la DHOS
Service de Sant des Arme
Michel Dubois, Capitaine, Officier de Scurit des Systmes dInformation

Participants au groupe de travail

Comit de validation
AFIB
ANAP
CHU dAmiens
CHU de Nancy
CHU de Montpellier
CHRU de Lille
Hospices Civils de Strasbourg
Institut Curie
Ministre de la Sant

Service de Sant des Arme

Franois FAURE (CHU dAngers)

- Reprsentant de lAFIB
Pierre Duclos, Directeur de projet
Julien Roussel, RSSI
Jean-Stanislas Tyzo, RSSI
Christian Capelle, Ingnieur informatique, Cellule Scurit du SIH
Guillaume Deraedt, RSSI et CIL
Fabrice Stalter, RSSI;
Mylne Jarossay, DSIO adjoint - RSSI
Eric Grospeiller, Fonctionnaire de SSI des ministres chargs des affaires sociales
Philippe Loudenot, fonctionnaire de SSI des ministres chargs des affaires sociales
Laurent Treluyer, MISS
Michel Dubois, Capitaine, Officier de Scurit des Systmes dInformation

Logistique et compte-rendu de runion

AFIB
ANAP
Hospices Civils de Strasbourg
CHRU de Lille

Franois FAURE (CHU dAngers)

Pierre Duclos, Directeur de projet
STALTER Fabrice, RSSI;
Guillaume Deraedt, RSSI et CIL

- Reprsentant de lAFIB

Direction de projet et animation

CHRU de Lille
Guillaume Deraedt, RSSI et CIL
Agissant sous mandat de la Commission Nationale des Systmes DInformation pour la FHF.

Les objectifs fixs au Groupe de Travail :

1. Rapprocher les IBMH et les RSSI
renforcer la comprhension mutuelle des
contraintes lies leurs activits rciproques,
les former un langage commun

Les objectifs fixs au Groupe de Travail :

2. Leur apporter des outils adapts et volutifs
pour scuriser les dispositifs biomdicaux
intgrant le SIH,
pour dfinir ou intgrer les PCA et PRA

Les objectifs fixs au Groupe de Travail :

3. Rendre lisible et homogne les attentes des
tablissements de sant
en proposant le mme outils,
outils adapt au niveau de maturit des
organisations,

Les objectifs fixs au Groupe de Travail :

4. Crer des documents qui pourraient servir
de base un futur cadre normatif ou
rglementaire

Le Cadre de rfrence :

La norme de scurit ISO 27002

Le Rfrentiel Gnral de Scurit cr par larticle 9 de lordonnance
n 2005-1516 du 8 dcembre 2005
La Loi n 78-17 du 6 janvier 1978 (CNIL)
Les alertes issus du Centre d'Expertise Gouvernemental de Rponse
et de Traitement des Attaques informatiques CERTA
Draft de la PGSSI (anc. Dcret confidentialit)

et pour les DM :
La Directive europenne 2007/47 sur les dispositifs mdicaux
(ordonnance de transposition du 12 mars 2010),
Le Dcret n 2001-1154 du 5 dcembre 2001 relatif lobligation de
maintenance

Le travail ralis :
La construction dun outils constitu dune liste dexigences
et dune grille de pondration et dvaluation rpondant
aux objectifs fixs.

Le1erdocumentlistelesexigencesdescurit applicablesauxquipementsbiomdicaux
dsqu'ilstraitentouchangentdesinformationsdesant.
Cettelisteetlagrilledvaluationassocieformentuntoutcohrentetdoiventtre
considrsdansleurensemble.
Cedocumentetlagrilled'valuationassociepeuventservirdebaseauxservices
biomdicauxetauxRSSIouchargsdelascurit duSystmedInformation,pourdfinir la
politiquedescurit appliquerauxquipementsbiomdicauxsurleurtablissementpuis
fairevoluercettepolitiquedansletemps.
Ilspeuventgalementservirdanslecadredeconsultationpourl'acquisition denouveaux
quipementsbiomdicaux prciserlesattentesdel'tablissemententermesdescurit de
l'information.

10

Exigences + grille
dvaluation

11

Utilisation de la grille de
pondration et dvaluation :

La grille de pondration et dvaluation va permettre :

Dadapter chaque critre son propre environnement,

De dfinir ses exigences vis--vis dun fournisseur,
De dfinir ainsi sa politique de scurit

Lesexigencessontpondresselon3niveauxconformesauRfrentiel
GnraldInteroprabilit (RGI)et laRFC2119.
0:
1:
2:

Nonconcern,aucuneexigencenestdemande.
Recommand,bienqu'ilnes'agissepasd'uneexigence,
ltablissementestimececritrescurit commeimportant.
Obligatoire.Lanonconformit aucritrescurit correspondant
entranedesmesurescorrectivesimmdiates,oudanslecadre
d'uneoprationd'achat,lanullit deloffre.

12

Utilisation de la grille de pondration et dvaluation :

La politique de scurit appliquer aux quipements
biomdicaux peut tre dcrite laide de plusieurs
grilles :
une premire grille dcrivant les exigences minimales
applicables la majorit des quipements biomdicaux
des grilles complmentaires spcifiques certaines
catgories dquipement.

13

Les Exigences :
1- Intgrer les quipements dans le parc informatique
de ltablissement

Exploitationetgestiondescommunications,Interconnexionsrseau
Matrisedesfluxrseauxetlesattaquesextrieures(Scurit
primtrique)
Configurationdebase
Inventorier, Maintenabilit ,gestiondesvolutionsdOS(Connatre
pourprotger)
Protectioncontrelescodesmalveillants
(Dfenseenprofondeur):Protgerledispositifdansunenvironnement
corrompu

14

Les Exigences :
2- Assurer confidentialit et traabilit
Contrledaccs
CNIL/PGSSI anc.Dcretconfidentialit

Authentification
Cartedtablissement/CarteCPS/authentification

Habilitations
Gestiondesmtiers/affectationsetrlesapplicatifs
Matricedesdroits/AES

Traabilit
RGS/PGSSI/CNIL
15

Les Exigences :
3- Garantir la confidentialit des changes inter applicatif,
lintgrit et la prennit de leur conservation
Export,extractionetchangededonnes
Garantirlanonymatdespatientsetrduirelesfuitesdedonnes

Interfaces
SassurerdelaprsencedI/Onormalisesetmaintenuespour
communiqueravecdautresapplicatifs

Identitovigilance
Sassurerdelinterconnexionaveclidentit patientvhiculeparleSIH

Stockage/Sauvegarde/Destruction
Pourlesdonneslencessitant

16

Les Exigences :
4- Grer les correctifs, la maintenance distance et les
liens avec lOS

Acquisition,dveloppementetmaintenancedessystmesd'information
Matriserlesvolutionstechnologiquesetlareprisedinformationencasde
dfaillancedelditeuroudvolutionforceduSystmedExploitation
Imposerlesupportdescorrectifscritiques(alertesduCERTA)

Maintenance
Doittrecompatibleaveclapolitiquedemaintenancebiomdicale
AccsVPNuniquement
Seprmunirdesfuitesdedonnes

17

Les Exigences :
5- Intgrer les quipements biomdicaux dans les PCA
et les PRA des processus auquel ils participent
Gestiondelacontinuit dactivit
Sassurerpourlesquipementscritiquesdelaredondancedes
fonctionsassuresparlquipementbiomdical
Prvoirenaccordaveclefournisseurdelquipementdesmodesde
fonctionnementdgrad encasdepanne
Ycomprisavecdestablissementspartenaires

18

LETAPE SUIVANTE

Assurerunedynamiqueaudel delaconceptiondesoutils
proposs
LeclubRSSI,quiregroupetrimestriellementlesRSSIetFFdeRSSI,va
proposerenlienaveclAFIB:
Unkitpdagogique destinationdesingnieursbiomdicaux
UnpartagedesdclinaisonsdescritresdeSSIexigsparcatgoriededispositif

LAFIBsefaitlerelaisauprsdelacommunaut biomdicaleetparticipe
lacrationetdiffusiondesoutilscomplmentairesdontdesactionsde
formation destinationdesesmembres.

_LeFSSI,assurelerelaissurleplanextrahospitalier:

DocumentstransmisauSyndicatdesditeursbiomdicaux(SNITEM)
DocumentsrutilissparlANSSI surleplaneuropen(anc.DGSSI)
Volont politiquedescuris lesdispositifsbiomdicauxdepuis
Conficker
Vocation fairevoluerlemarquageCE
19

Merci de votre attention