1 Ministère des affaires sociales, de la santé et des droits des femmes Ministère des finances et des comptes publics UNCAM UNOCAM ; FNMF ; FFSA ; CTIP.

Slides:



Advertisements
Présentations similaires
Séminaire UIT - Tunis - A.MAZINI / Mai 2001 Pour dvpt E-commerce un cadre r é glementaire appropri é International, harmonis é – pour ne pas entraver.
Advertisements

Système d’information : présentation et perspectives
Projet ROC de remboursement des organismes complémentaires
Journée du 22 février 2010 Université virtuelle de Tunis Dhafer Mezghanni THEME 2: Compétences du référentiel et profils des équipes pédagogiques.
Projet ROC - Remboursement des Organismes Complémentaires
Ministère des affaires sociales et de la santé Ministère de l’économie et des finances UNCAM UNOCAM ; FNMF ; FFSA ; CTIP Projet ROC Remboursement des.
Constitution d'un système de preuve de propriété d'un logiciel/progiciel et Valorisation d'un patrimoine IT AGORANOV 20 octobre 2015 Henri de Hauteclocque.
 ISO 9001:2000  Interprétation  Article 5 Responsabilité de la Direction.
21 octobre 2015 BeSt Address et structure TI 020 au Registre national Comité des utilisateurs Marc Ruymen.
Systèmes d ’ information Méthodologie et modélisation Marius Fieschi Faculté de Médecine de Marseille Octobre 2010.
Introduction de la 5 e édition du TP 312 (ébauche) Contexte Concept Droits acquis Consultation Transition.
Présentation de EAS Un logiciel distribuéé exclusivement par Brain2tech SARL.
Renforcement des capacités institutionnelles pour le pilotage et le suivi du secteur du Transport Séminaire de clôture Composante C Pilotage de la coopération.
RÉNOVATION BTS Comptabilité et Gestion 2015 Atelier situations professionnelles & PGI Cas Jupiter Média Chantal Bricard Jean-Marie Duplan.
Contrat de transport et lettre de voiture ferroviaire électroniques 5ème Symposium de l’IRU Droit des transports à l’ère électronique Lisbonne, 1er octobre.
1 Comment préparer un plan Document No. 2.1 Gestion des activités conjointes de lutte contre la tuberculose et le VIH: cours de formation pour responsables.
ABF Améliorer nos formations pour une microfinance plus sociale.
Formation DP Ruptures – Laboratoires exploitants Octobre 2014 Gestion des flux d’information de ruptures d'approvisionnement.
Question de gestion 13 : Le document peut-il être vecteur de coopération ? Le document : - Dématérialisation des documents - Partage, mutualisation, sécurisation.
DRH Groupe CONFIDENTIEL Plénière du 12 février 2016 Négociation sur le dialogue social et le droit syndical.
1 TECHNOLOGIE EN SEGPA Objets techniques instrumentés, didactisés et maquettisés que préconisent les nouveaux programmes Stage 10SEGDES2 du 14 et 15 décembre.
Bilan des projets COG Axe 1 - Améliorer la qualité de service 1.1 S’engager sur des niveaux de service Engagements de service formalisés.
Ministère des affaires sociales, de la santé et des droits de la femme Ministère des finances et des comptes publics SGMAP ANAP Programme SIMPHONIE Réunion.
23-24 mai Sécurité Informatique et Collectivités Territoriales COTER CLUB BULL n Le groupe de travail n Objectifs –Mener une réflexion continue.
1 FORMATION DES DIRECTEURS GENERAUX DES SERVICES 21/03/2016 L’ÉVALUATION INSTITUTIONNELLE DES ÉTABLISSEMENTS ET DES POLITIQUES DE SITE (NADINE LAVIGNOTTE)
Stratégie nationale du DEVELOPPEMENT DURABLE DU SPORT (SNDDS) Mission Sport et Développement Durable (SDD)
Symposium de Juristes Genève, 26 février 2010 © Union Internationale des Transports Routiers (IRU) 2010.
Séminaire de clôture Jumelage Emploi Appui au renforcement du Système de Management de la Qualité (SMQ) BILAN DU PROJET Béhija Mensi Ce projet est financé.
Vers la gestion globale des risques au travers de l’ISO : 2009 CLUSEL Sophie OMNES Air France – KLM Novembre 2011.
L E RNU ET DISPOSITIONS D ’ UTILISATION PAR LES SECTORIELS REPUBLIQUE DU SENEGAL Un Peuple – Un But – Une Foi  PRESIDENCE DE LA REPUBLIQUE.
« Appui à la construction d'un cadre régional de développement pour les mutuelles de santé dans les pays de l’UEMOA »
GPA – 19 novembre Groupe de pilotage des applications 21 janvier 2010 F. Rougerie – Onema / DCIE.
Réunion d'échange du CSTL 2015 SUIVI DES SERVICES DE SOINS ET SOUTIEN DANS LES ECOLES EN RDC Southern Sun Cape Sun – Cape Town, Afrique du Sud Novembre.
A RETOURNER À LA FEHAP - Service Adhésion 179 rue de Lourmel Paris - tél. O fax : O Madame, Monsieur le Pr é sident,
Quelques points de vigilance et exemples Le Plan de Formation Individualisé (PFI)  C’est un document de 10 pages environ  Il est rédigé par le stagiaire.
Sécurité des SI Par Cronne Matthew / Ogryzek Robert / Frontin Teddy / Lambert Kevin.
Programme droit de la santé: Protection et Promotion de la santé par le droit P ERTINENCE DES S ERVICES J URIDIQUES DANS LA RIPOSTE AU VIH A TELIER DE.
Les méthodes de tests Les grands principes pour réaliser des tests efficaces.
Formation « Administrateur ATRIUM ». 1.Un accompagnement technique par la Région Formation des « administrateurs » Support technique Evolution des fonctions.
Atelier d’échange d’expériences et de capitalisation sur des projets d’électrification rurale en cours Schémas organisationnels Mardi 10 décembre 2002.
Mise en œuvre du plan d’action pour l’accompagnement du changement dans les services Prévention des Carsat.
2018 Information et communications Les sites Web et leur contenu sont conformes aux DACW de niveau AA, à l’exception des sous-titrages en temps réel et.
Master 2 Entrepreneuriat International Option Gestion des Risques L’APPRECIATION DES PLUS OU MOINS VALUES LATTENTES, LES ECARTS DE CONSOLIDATION ET D’ACQUISITIONS.
CLOTURE PROJET TRAINING COMPTABLES - avril Traning Avril 2010 Objectif général être capable de préparer la clôture du projets du point de vue administratifs.
Discussion sur la problématique de l’assurance maladie universelle Identifier les contraintes opérationnelles pour orienter PAODES – volet ‘demande’
DPC …le bout du tunnel ?. DPC, ce que l’on sait Le DPC est mis en œuvre par des organismes inscrits à l’OGDPC après avis de la CSI Agrément Tout organisme.
Accord de réduction de l’emploi précaire au sein de l’Inrap signé le 9 septembre 2013.
1 Projet d'établissement Action 10.2 Créer un portail intranet dédié aux agents de l’Inrap Présentation des choix technologiques de l’Inrap.
Ministère de l'Écologie, du Développement durable, des transports et du logement Évolution des listes de substances à surveiller dans les eaux de surface.
Observatoire économique, social et financier 1 FEHAP – Registre des patients en dialyse Registre des patients en dialyse Nicolas Ferrafiat Observatoire.
Comité d’Organisation Interop’Santé 2016 PRÉSENTATION DES PROPOSITIONS DE PROJETS Isabelle Gibaud 30/03/2016.
Communication du SGG sur le canevas de présentation d’une politique nationale et d’un plan stratégique à l’atelier national de révision de la politique.
Modèle de présentation Transition énergétique Ce modèle est celui de la présentation du rapport d’atelier lors de la plénière du 8 février à Lyon. La durée.
OBJECTIFS Identifier l’origine et la nature de la réglementation de la plongée de loisir en France Comprendre les principes sous-jacents à la modification.
Prochaine évolution de nos modèles bibliographiques : FRBR-LRM Pat Riva Présidente, FRBR Consolidation Editorial Group Séminaire.
Le management des professions et des formations RESEAU DE VEILLE METIER TRM Présentation des résultats Congrès suisse de radiologie 2016 Le management.
Système Intégré de Gestion de l’Etat Civil PROJET SIGIEC 1.
1 Rappel des objectifs d’Optiflux Objectifs Optimisation des flux financiers et des flux technico-comptables associés Accélération et fiabilisation des.
MEN-DGESCO Bureau des usages et des services numériques/ENT Espaces Numériques de Travail – Panorama 30 novembre 2010 Réunion des IANTE EPS.
CADRE SECTORIEL D’UNE POLITIQUE CONTRACTUELLE EMPLOI ET FORMATION PROFESSIONNELLE.
GPA – 19 novembre Révision du SNDE GPS mars 2016 L. Coudercy, Onema.
1 Comité économique et social européen. 2 DIRECTION DES AFFAIRES GÉNÉRALES (DAG) DIRECTION DES AFFAIRES GÉNÉRALES CESE 2012.
NOS RÉALISATIONS TRAVAUX À VENIR Nos objectifs Octobre 2013 : Formation des pilotes et cadrage du projet Novembre / décembre 2013 : Diagnostic Janvier.
Veille technologique Les objets connectés.
Toute représentation ou reproduction intégrale, ou partielle faite sans le consentement de l'auteur ou de ses ayants droit ou ayants cause est illicite"
Université Ferhat Abbas –Sétif 1 Centre des Systèmes et Réseaux d’Information Et de Communication, de Télé-enseignement et D’Enseignement à Distance Rapport.
Le contenu est basé aux transparents du 7 ème édition de «Software Engineering» de Ian Sommerville«Software Engineering» de Ian Sommerville B.Shishedjiev.
M. Fieschi Master EISIS Marseille 2005 Présentation Générale Systèmes d’informations et décisions en santé Marius Fieschi Université de la Méditerranée.
Opportunité de se différencier à coûts maîtrisés !!
Transcription de la présentation:

1 Ministère des affaires sociales, de la santé et des droits des femmes Ministère des finances et des comptes publics UNCAM UNOCAM ; FNMF ; FFSA ; CTIP Projet ROC - Remboursement des Organismes Complémentaires Réunion du groupe des représentants hospitaliers n° 9 5 septembre 2014 Version 0

2 Groupe des représentants hospitaliers n° V0Projet ROC Sommaire  ROC - Phase transitoire  ROC - Phase cible  Rappel - Processus hospitaliers et web services AMC proposés  Avancement des travaux sur les chantiers à mener  Zoom sur le chantier 2 – Sécurité des échanges  Roc cible dans les cliniques privées  Annexes

3 Groupe des représentants hospitaliers n° V0Projet ROC ROC - Phase transitoire - Avancement des travaux Début mars Cahiers des charges de la phase transitoire à destination des organismes AMC et des établissements de santé publics et PNL finalisés et ayant donné lieu à appels à commentaires :  Du groupe des représentants hospitaliers FIDES / ROC regroupant les fédérations hospitalières FHF, FEHAP, Unicancer et FNEHAD, ainsi que les représentants des conférences des présidents de CME, DG, DAF, DIM et DSI des CHU et CH  Des éditeurs de logiciels de facturation hospitalière  Des opérateurs AMC  Des autres fédérations AMC (GEMA…) Retard de trois mois sur la validation des cahiers des charges et du DCE de la phase transitoire avant saisine de la CNIL

4 Groupe des représentants hospitaliers n° V0Projet ROC ROC - Phase transitoire – Prochaines étapes Début septembre 2014 : Envoi de cette nouvelle version à la CNIL pour questions / réponses publication d’une nouvelle version des cahiers des charges, avec le commentaire : « version provisoire, en attente de saisine de la CNIL » avec les réponses aux questions des établissements de santé et des éditeurs de logiciel de facturation Octobre 2014 : saisine de la CNIL Décembre 2014 : saisine du conseil d’Etat Début 2015, après la publication du décret en conseil d’état, publication de la version « opposable » des cahiers des charges

5 Groupe des représentants hospitaliers n° V0Projet ROC Sommaire  ROC - Phase transitoire  ROC - Phase cible  Rappel - Processus hospitaliers et web services AMC proposés  Avancement des travaux sur les chantiers à mener  Zoom sur le chantier 2 – Sécurité des échanges  Roc cible dans les cliniques privées  Annexes

6 Groupe des représentants hospitaliers n° V0Projet ROC ROC - Phase cible – Rappels – Processus hospitaliers et web services AMC proposés (1/3) Sortie du patient (ou fin de période de facturation) Processus hospitaliers Accueil Web Services AMC Processus obligatoire Processus obligatoire (garantie de paiement) Service IDB (Information Droits Bénéficiaire) Réponse de l’AMC obligatoire Service CLC (Calcul) Réponse de l’AMC obligatoire Demande d’information sur les droits AMC du bénéficiaire Calcul en local (à partir des informations issues du service IDB) ou demande de calcul en ligne de la part AMC Soins Pour les actes et consultations externes (ACE)

7 Groupe des représentants hospitaliers n° V0Projet ROC ROC - Phase cible – Rappels – Processus hospitaliers et web services AMC proposés (2/3) Sortie du patient (ou fin de période de facturation) Pré-admission Processus hospitaliers Admission Web Services AMC Processus obligatoire Processus facultatif (tous les séjours ne peuvent pas être anticipés) Processus obligatoire (lorsque le calcul n’est pas local) (garantie de paiement) Service IDB Réponse de l’AMC obligatoire Service IDB Réponse de l’AMC obligatoire Service CLC Réponse de l’AMC obligatoire Demande d’information sur les droits AMC du bénéficiaire Demande de calcul en ligne de la part AMC (CLC) Soins Pour les séjours

8 Groupe des représentants hospitaliers n° V0Projet ROC ROC - Phase cible – Rappels – Processus hospitaliers et web services AMC proposés (3/3) Dans le cadre du processus hospitalier de pré-admission, le service AMC IDB proposé est comparable aux réponses de prises en charge actuelles des organismes AMC aux agents hospitaliers (fax, téléphone…)  Ce service modernise le service actuellement proposé par les organismes AMC aux établissements de santé  En revanche, il ne permet pas de simplifier de bout en bout le processus de pré-admission, l’agent hospitalier (et le patient) doivent encore simuler avec une calculette le montant total pris en charge par l’organisme AMC, à partir des informations transmises, pour simuler le montant total le reste à charge pour le patient. Le Ministère de la santé demande qu’une fonction de simulation du montant total qui serait pris en charge par les organismes AMC, en fonction des caractéristiques prévisionnelles du séjour en pré-admission transmises par l’établissement de santé, soit intégrée aux cahiers des charges ROC, a minima sous forme facultative (ou obligatoire en fonction des évolutions législatives), afin que les organismes AMC soient en mesure de proposer ce service, à fort impact simplificateur pour les établissements de santé (rappel : cette fonction serait informative, sans garantie de paiement)  Travaux de faisabilité de cette fonction par le groupe projet à partir de septembre 2014  Sous forme codifiée (correspondant au service de demande de prise en charge)

9 Groupe des représentants hospitaliers n° V0Projet ROC Sommaire  ROC - Phase transitoire  ROC - Phase cible  Rappel - Processus hospitaliers et web services AMC proposés  Avancement des travaux sur les chantiers à mener  Zoom sur le chantier 2 – Sécurité des échanges  Roc cible dans les cliniques privées  Présentation du programme SIMPHONIE  Annexes

10 Groupe des représentants hospitaliers n° V0Projet ROC ROC - Phase cible - Avancement des travaux sur les chantiers à mener Rappel des 7 chantiers à mener :  Chantier 1 – Finalisation du cadrage dans le périmètre ciblé (Séjours et ACE en MCOO pour Ets publics et PNL)  Chantier 2 – Sécurité des échanges  Chantier 3 – Plan de déploiement (y compris le dispositif de certification / accrochage des éditeurs de logiciel de facturation hospitalière, des établissements de santé des organismes et des opérateurs AMC)  Chantier 3 bis – Contractualisation (accord cadre, conventions, …)  Chantier 4 – Cahier des charges hors dictionnaires des données  Chantier 4 bis – Validation des normes Retour  Chantier 5 – Validation juridique des cahiers des charges (dont dictionnaires) par le Ministère (notamment DSS sur les données utilisées)

11 Groupe des représentants hospitaliers n° V0Projet ROC ROC - Phase cible - Avancement des travaux sur les chantiers à mener Chantier 1 – Finalisation du cadrage dans le périmètre ciblé (Séjours et ACE en MCOO pour les établissements de santé publics et PNL) :  Le groupe projet est en cours de finalisation d’un macro modèle conceptuel des données qui soit : le plus près possible des logiciels existants de facturation hospitalière et des organismes et opérateurs AMC robuste pour les 10 ans à venir commun à tous les types d’établissements de santé et tous les types d’activité hospitalière (MCOO, SSR et PSY) globalisant pour l’ensemble de la facturation hospitalière (parts AMO, AMC et particulier) commun aux ACE et aux séjours  La DGFiP est en cours d’approfondissement des modalités d’intégration du SNN dans le dispositif ROC cible (quels contrôles ?…)  Il restera à approfondir la fonction de simulation des montants AMC dans le cadre du processus hospitalier de pré-admission

12 Groupe des représentants hospitaliers n° V0Projet ROC ROC - Phase cible - Avancement des travaux sur les chantiers à mener Chantier 3 – Plan de déploiement (y compris le dispositif de certification / accrochage des éditeurs de logiciel de facturation hospitalière, des établissements de santé des organismes et des opérateurs AMC) :  Les travaux ont commencé, avec notamment des réflexions sur : Quel dispositif de certification ? Quel cadre juridique ? Quel dispositif de pilotage du déploiement ? …

13 Groupe des représentants hospitaliers n° V0Projet ROC ROC - Phase cible - Avancement des travaux sur les chantiers à mener Chantier 3 bis – Contractualisation (accord cadre, conventions…) : Les travaux ont commencé, avec notamment des réflexions sur :  Le schéma juridique  Le périmètre  Les engagements des établissements de santé  Les engagements des organismes AMC  Les engagements de la DGFiP  Les indicateurs de suivi  …

14 Groupe des représentants hospitaliers n° V0Projet ROC Sommaire  ROC - Phase transitoire  ROC - Phase cible  Rappel - Processus hospitaliers et web services AMC proposés  Avancement des travaux sur les chantiers à mener  Zoom sur le chantier 2 – Sécurité des échanges  Roc cible dans les cliniques privées  Annexes

15 Groupe des représentants hospitaliers n° V0Projet ROC Analyse des risques du dispositif d’échanges ROC Rappel des demandes de la CNIL concernant le projet ROC :  Analyse des risques du dispositif ROC, en application du référentiel général de sécurité (pour les autorités publiques) Démarche mise en oeuvre par le groupe projet ROC pour répondre aux demandes de la CNIL :  L’analyse des risques du dispositif ROC est effectuée par un groupe technique composé des représentants des fédérations d’AMC et de la DGOS, assisté d’un expert de l’ASIP-santé détaché sur le projet  Méthode d’analyse retenue : méthode EBIOS recommandée par l’Agence Nationale de Sécurité des Systèmes d’information (ANSSI)  Les critères de sécurité retenus sont ceux couramment utilisés : la Disponibilité, l’Intégrité, la Confidentialité et l’Auditabilité des services ROC  Les mesures de protection pour lever les risques ont été définies par le groupe technique

16 Groupe des représentants hospitaliers n° V0Projet ROC Analyse des risques du dispositif d’échanges ROC 4 services AMC identifiés dans ROC : 3 en temps réel et 1 en asynchrone Les 3 services temps réel dans les échanges ROC sont :  Le Service technique « Annuaire des AMC » (transparent pour les agents hospitaliers)  Le Service « IDB »  Le Service « CLC »  Rappel : les comptables publics hospitaliers ne sont pas concernés par ces services temps réels Le service asynchrone (messagerie) concerne le transport des flux de facturation et paiements / rejets ROC et leur notification  Les besoins fonctionnels étant similaires, il y a un consensus sur l’utilisation à priori (sous réserve de validation CNIL) de l’infrastructure de messagerie sécurisée Sesam Vitale (utilisée pour FIDES) pour transporter le flux de factures ROC et de leur notification => les exigences de sécurité applicables à FIDES sont reprises dans ROC Rappel : les échanges de flux facturants concernent les trois acteurs : établissements de santé, comptables publics et organismes AMC Point en cours d’analyse par la DGFiP : modalités d’intégration du SNN dans le dispositif ROC cible

17 Groupe des représentants hospitaliers n° V0Projet ROC Analyse des risques des 3 services temps réel ROC (1)  Modèle fonctionnel retenu pour l’analyse des risques : des demandes de service effectuées par les établissements de santé et des réponses à ces demandes par les AMC  Le modèle distingue :  2 domaines de responsabilité : les systèmes d’information des établissements de santé d’un côté, les systèmes d’information des AMC de l’autre  Des échanges de flux de données entre ces 2 domaines, via Internet  Un élément central : le service « Annuaire des AMC » WWW Annuaire Inter-AMC Etablissement de santé Logiciel De facturation hospitalière Demande service Réponse à la demande de service AMC 1 AMC 2 AMC n AMC Agent hospitalier

18 Groupe des représentants hospitaliers n° V0Projet ROC Analyse des risques des 3 services temps réel ROC (2)  3 catégories de menaces identifiées :  menaces liées aux systèmes d’information des AMC qui implantent les services ROC  menaces liées aux systèmes d’information des établissements de santé (ES) qui implantent les services ROC  menaces liées aux flux réseau échangés entre ES et AMC Les catégories 1 et 2 des menaces (usurpation d’identités, abus des droits…) sont « bien connues »:  Leurs risques sont traités soit dans les déclarations CNIL, soit dans la mise en œuvre des politiques de sécurité des systèmes d’information des ES ou des AMC  Il est prévu de rappeler dans l’accord cadre national l’exigence de mise en conformité des traitements vis-à-vis de la CNIL et la nécessité de mettre en place des politiques de sécurité sous la responsabilité respective des établissements de santé et des organismes AMC La catégorie 3 des menaces fait l’objet d’une étude détaillée des risques et des mesures de protection

19 Groupe des représentants hospitaliers n° V0Projet ROC Mesures de protection envisagées pour les 3 services temps réel (1/3) Toutes les mesures envisagées s’appuient sur les standards existants reconnus et déjà utilisés Protéger les données transmises sur les réseaux contre leur capture et leur modification (TLS) :  Chiffrement du canal de communication entre deux machines basé sur l’échange réciproque de certificats  Authentification réciproque des connexions  Point encore en cours d’instruction : Usage des certificats délivrés par l’Asip-Santé (pour les services AMC et les ES) : Avantages :  Facilité de déploiement (unicité pour l’ensemble du dispositif)  Chaine de confiance connue des acteurs de la sphère santé  Gratuité des certificats Inconvénient : conditions juridiques de l’utilisation exclusive des certificats délivrés par l’Asip-santé aux AMC restant à analyser

20 Groupe des représentants hospitaliers n° V0Projet ROC Mesures de protection envisagées (2/3) 2 niveaux de contrôle d’accès des utilisateurs :  Vérification de l’identifiant structure ES ou AMC (enregistré dans les certificats)  Autorisations d’accès sous la responsabilité du directeur de l’ES ou de l’AMC + Traçabilité des accès applicatifs Protéger les composants informatiques contre les attaques externes via Internet (codes malveillants, saturation des équipements)  Des recommandations à rappeler dans les cahiers des charges informatiques : Mise en place de Pare-feux, Détecteur d’intrusions (IDS) avec mise à jour régulière de bases de signature Prise en compte de la sécurité dans la conception et le développement des logiciels

21 Groupe des représentants hospitaliers n° V0Projet ROC Mesures de protection envisagées (3/3) Imposer que certains contenus échangés soient opposables à leur émetteur :  Scellement / signature des messages « IDB » et « CLC » par l'émetteur initial des messages, quels que soient les intermédiaires traversés Tracer des échanges au niveau des SI des AMC et des établissements de santé :  Contenu et format commun des traces à instruire  Durée de conservation : à instruire

22 Groupe des représentants hospitaliers n° V0Projet ROC Couverture des risques avec les mesures de protection proposées Chiffrement canal + Authentification Contrôle d’accès des utilisateurs Recommandations de bonnes pratiques Scellement/ signature Trace des échanges R1 : Risques liés à l’interception des données échangées XXx R2 : Risques liés à la saturation des équipements xxx R3 : Risques liés à l’usurpation d’identité (via logiciel métier) pour obtention de données xxxxX R3-1 : Risques liés à l’usurpation d’identité (via logiciel métier) pour générer des réponses abusives ou malveillantes XXxxX R4 : Risques liés à l’injection des codes malveillants via Internet XXXx R5 : Risques liées au reniement d’actionsxxXX Des mesures qui couvrent l’ensemble des risques identifiés

23 Groupe des représentants hospitaliers n° V0Projet ROC Travaux restant à approfondir pour le chantier 2 – Sécurité des échanges TâchesQui Etude des conditions juridique sur l’exclusivité d’utilisation des certificats délivrés par l’Asip-santé aux AMC Fédérations AMC Rédaction des exigences de sécurité des ES ou des AMC dans les cahiers des charges informatiques Groupe projet Définition des indicateurs de performance de sécurité du dispositif Groupe projet Etude d’opportunité d’un dispositif centralisé de collecte et de supervision des indicateurs de performance Groupe projet Contenu et format des traces + Durée de conservationGroupe projet Etude d’opportunité du recours au cadre d’interopérabilité des web services santé (également envisagé pour CDR-i) Groupe projet

24 Groupe des représentants hospitaliers n° V0Projet ROC Sommaire  ROC - Phase transitoire  ROC - Phase cible  Rappel - Processus hospitaliers et web services AMC proposés  Avancement des travaux sur les chantiers à mener  Zoom sur le chantier 2 – Sécurité des échanges  Roc cible dans les cliniques privées  Annexes

25 Groupe des représentants hospitaliers n° V0Projet ROC Roc cible dans les cliniques privées Fin mai 2014 : Accord de la FHP sur le principe de l’extension de ROC aux cliniques privées, suite à l’invitation de la DGOS de rejoindre le projet 12 Septembre 2014 : Présentation de ROC au CA de la FHP par la DGOS Janvier 2015, sous réserve d’avoir finalisé les travaux sur les établissements de santé publics et les PNL qui serviront de base pour adaptation aux spécificités (base tarifaire séjours…) : démarrage des travaux de conception  Des cliniques privées pilotes rejoindraient le groupe projet pour traiter de leurs spécificités

26 Groupe des représentants hospitaliers n° V0Projet ROC Sommaire  ROC - Phase transitoire  ROC - Phase cible  Rappel - Processus hospitaliers et web services AMC proposés  Avancement des travaux sur les chantiers à mener  Zoom sur le chantier 2 – Sécurité des échanges  Roc cible dans les cliniques privées  Annexes

27 Groupe des représentants hospitaliers n° V0Projet ROC Méthode EBIOS d’analyse des risques appliquée au projet ROC Module 1 Etude du contexte Module 2 Etude des événements redoutés Module 3 Etude des scénarii de menaces Module 4 Etude des risques Module 5 Etude des mesures de sécurité - Périmètre de l’analyse des risques - Modélisation fonctionnelle - Définir les échelles de mesure - Identifier les biens essentiels - Identifier les événements redoutés (Perte de DICA) - Evaluation des besoins de sécurité - Inventaire des sources de menace - Identifier les menaces - Evaluer les menaces - Identifier et évaluer les risques liés aux flux réseau (confronter les menaces et les impacts métiers) - Couverture des risques par des exigences de sécurité - Travaux à approfondir avec les maitrises d’œuvre pour la spécification des mesures de sécurité

28 Groupe des représentants hospitaliers n° V0Projet ROC Identification des risques liés aux échanges de flux réseau RisqueNiveau Service Annuaire Niveau services AMC Impacts principaux du risque CNIL R1 : Risques liés à l’interception des données échangées FortModéréPerte de confidentialitéX R2 : Risques liés à la saturation des équipementsTrès fortTrès FortService(s) offert(s) indisponibles R3 : Risques liés à l’usurpation d’identité (via le logiciel métier) pour obtention de données Fort Perte de confidentialitéX R3-1 : Risques liés à l’usurpation d’identité (via le logiciel métier) pour générer des réponses abusives ou malveillantes Modéré Mise en panne du (des) services X R4 : Risques liés à l’injection des codes malveillants (via Internet) Fort Mise en panne du (des) services R5 : Risques liées au reniement d’actionsSans objetFortLitiges entre ES et AMC  les niveaux de risques sont cotés de 1 à 4 (limité, modéré, fort et Très fort)  le risque R3-1 concerne également les établissements de santé, le dispositif ROC étant susceptible d’être utilisé comme vecteur d’attaque