Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
Publié parFernande Chrétien Modifié depuis plus de 8 années
1
1 Ministère des affaires sociales, de la santé et des droits des femmes Ministère des finances et des comptes publics UNCAM UNOCAM ; FNMF ; FFSA ; CTIP Projet ROC - Remboursement des Organismes Complémentaires Réunion du groupe des représentants hospitaliers n° 9 5 septembre 2014 Version 0
2
2 Groupe des représentants hospitaliers n°9 050914 V0Projet ROC Sommaire ROC - Phase transitoire ROC - Phase cible Rappel - Processus hospitaliers et web services AMC proposés Avancement des travaux sur les chantiers à mener Zoom sur le chantier 2 – Sécurité des échanges Roc cible dans les cliniques privées Annexes
3
3 Groupe des représentants hospitaliers n°9 050914 V0Projet ROC ROC - Phase transitoire - Avancement des travaux Début mars 2014 - Cahiers des charges de la phase transitoire à destination des organismes AMC et des établissements de santé publics et PNL finalisés et ayant donné lieu à appels à commentaires : Du groupe des représentants hospitaliers FIDES / ROC regroupant les fédérations hospitalières FHF, FEHAP, Unicancer et FNEHAD, ainsi que les représentants des conférences des présidents de CME, DG, DAF, DIM et DSI des CHU et CH Des éditeurs de logiciels de facturation hospitalière Des opérateurs AMC Des autres fédérations AMC (GEMA…) Retard de trois mois sur la validation des cahiers des charges et du DCE de la phase transitoire avant saisine de la CNIL
4
4 Groupe des représentants hospitaliers n°9 050914 V0Projet ROC ROC - Phase transitoire – Prochaines étapes Début septembre 2014 : Envoi de cette nouvelle version à la CNIL pour questions / réponses publication d’une nouvelle version des cahiers des charges, avec le commentaire : « version provisoire, en attente de saisine de la CNIL » avec les réponses aux questions des établissements de santé et des éditeurs de logiciel de facturation Octobre 2014 : saisine de la CNIL Décembre 2014 : saisine du conseil d’Etat Début 2015, après la publication du décret en conseil d’état, publication de la version « opposable » des cahiers des charges
5
5 Groupe des représentants hospitaliers n°9 050914 V0Projet ROC Sommaire ROC - Phase transitoire ROC - Phase cible Rappel - Processus hospitaliers et web services AMC proposés Avancement des travaux sur les chantiers à mener Zoom sur le chantier 2 – Sécurité des échanges Roc cible dans les cliniques privées Annexes
6
6 Groupe des représentants hospitaliers n°9 050914 V0Projet ROC ROC - Phase cible – Rappels – Processus hospitaliers et web services AMC proposés (1/3) Sortie du patient (ou fin de période de facturation) Processus hospitaliers Accueil Web Services AMC Processus obligatoire Processus obligatoire (garantie de paiement) Service IDB (Information Droits Bénéficiaire) Réponse de l’AMC obligatoire Service CLC (Calcul) Réponse de l’AMC obligatoire Demande d’information sur les droits AMC du bénéficiaire Calcul en local (à partir des informations issues du service IDB) ou demande de calcul en ligne de la part AMC Soins Pour les actes et consultations externes (ACE)
7
7 Groupe des représentants hospitaliers n°9 050914 V0Projet ROC ROC - Phase cible – Rappels – Processus hospitaliers et web services AMC proposés (2/3) Sortie du patient (ou fin de période de facturation) Pré-admission Processus hospitaliers Admission Web Services AMC Processus obligatoire Processus facultatif (tous les séjours ne peuvent pas être anticipés) Processus obligatoire (lorsque le calcul n’est pas local) (garantie de paiement) Service IDB Réponse de l’AMC obligatoire Service IDB Réponse de l’AMC obligatoire Service CLC Réponse de l’AMC obligatoire Demande d’information sur les droits AMC du bénéficiaire Demande de calcul en ligne de la part AMC (CLC) Soins Pour les séjours
8
8 Groupe des représentants hospitaliers n°9 050914 V0Projet ROC ROC - Phase cible – Rappels – Processus hospitaliers et web services AMC proposés (3/3) Dans le cadre du processus hospitalier de pré-admission, le service AMC IDB proposé est comparable aux réponses de prises en charge actuelles des organismes AMC aux agents hospitaliers (fax, téléphone…) Ce service modernise le service actuellement proposé par les organismes AMC aux établissements de santé En revanche, il ne permet pas de simplifier de bout en bout le processus de pré-admission, l’agent hospitalier (et le patient) doivent encore simuler avec une calculette le montant total pris en charge par l’organisme AMC, à partir des informations transmises, pour simuler le montant total le reste à charge pour le patient. Le Ministère de la santé demande qu’une fonction de simulation du montant total qui serait pris en charge par les organismes AMC, en fonction des caractéristiques prévisionnelles du séjour en pré-admission transmises par l’établissement de santé, soit intégrée aux cahiers des charges ROC, a minima sous forme facultative (ou obligatoire en fonction des évolutions législatives), afin que les organismes AMC soient en mesure de proposer ce service, à fort impact simplificateur pour les établissements de santé (rappel : cette fonction serait informative, sans garantie de paiement) Travaux de faisabilité de cette fonction par le groupe projet à partir de septembre 2014 Sous forme codifiée (correspondant au service de demande de prise en charge)
9
9 Groupe des représentants hospitaliers n°9 050914 V0Projet ROC Sommaire ROC - Phase transitoire ROC - Phase cible Rappel - Processus hospitaliers et web services AMC proposés Avancement des travaux sur les chantiers à mener Zoom sur le chantier 2 – Sécurité des échanges Roc cible dans les cliniques privées Présentation du programme SIMPHONIE Annexes
10
10 Groupe des représentants hospitaliers n°9 050914 V0Projet ROC ROC - Phase cible - Avancement des travaux sur les chantiers à mener Rappel des 7 chantiers à mener : Chantier 1 – Finalisation du cadrage dans le périmètre ciblé (Séjours et ACE en MCOO pour Ets publics et PNL) Chantier 2 – Sécurité des échanges Chantier 3 – Plan de déploiement (y compris le dispositif de certification / accrochage des éditeurs de logiciel de facturation hospitalière, des établissements de santé des organismes et des opérateurs AMC) Chantier 3 bis – Contractualisation (accord cadre, conventions, …) Chantier 4 – Cahier des charges hors dictionnaires des données Chantier 4 bis – Validation des normes Retour Chantier 5 – Validation juridique des cahiers des charges (dont dictionnaires) par le Ministère (notamment DSS sur les données utilisées)
11
11 Groupe des représentants hospitaliers n°9 050914 V0Projet ROC ROC - Phase cible - Avancement des travaux sur les chantiers à mener Chantier 1 – Finalisation du cadrage dans le périmètre ciblé (Séjours et ACE en MCOO pour les établissements de santé publics et PNL) : Le groupe projet est en cours de finalisation d’un macro modèle conceptuel des données qui soit : le plus près possible des logiciels existants de facturation hospitalière et des organismes et opérateurs AMC robuste pour les 10 ans à venir commun à tous les types d’établissements de santé et tous les types d’activité hospitalière (MCOO, SSR et PSY) globalisant pour l’ensemble de la facturation hospitalière (parts AMO, AMC et particulier) commun aux ACE et aux séjours La DGFiP est en cours d’approfondissement des modalités d’intégration du SNN dans le dispositif ROC cible (quels contrôles ?…) Il restera à approfondir la fonction de simulation des montants AMC dans le cadre du processus hospitalier de pré-admission
12
12 Groupe des représentants hospitaliers n°9 050914 V0Projet ROC ROC - Phase cible - Avancement des travaux sur les chantiers à mener Chantier 3 – Plan de déploiement (y compris le dispositif de certification / accrochage des éditeurs de logiciel de facturation hospitalière, des établissements de santé des organismes et des opérateurs AMC) : Les travaux ont commencé, avec notamment des réflexions sur : Quel dispositif de certification ? Quel cadre juridique ? Quel dispositif de pilotage du déploiement ? …
13
13 Groupe des représentants hospitaliers n°9 050914 V0Projet ROC ROC - Phase cible - Avancement des travaux sur les chantiers à mener Chantier 3 bis – Contractualisation (accord cadre, conventions…) : Les travaux ont commencé, avec notamment des réflexions sur : Le schéma juridique Le périmètre Les engagements des établissements de santé Les engagements des organismes AMC Les engagements de la DGFiP Les indicateurs de suivi …
14
14 Groupe des représentants hospitaliers n°9 050914 V0Projet ROC Sommaire ROC - Phase transitoire ROC - Phase cible Rappel - Processus hospitaliers et web services AMC proposés Avancement des travaux sur les chantiers à mener Zoom sur le chantier 2 – Sécurité des échanges Roc cible dans les cliniques privées Annexes
15
15 Groupe des représentants hospitaliers n°9 050914 V0Projet ROC Analyse des risques du dispositif d’échanges ROC Rappel des demandes de la CNIL concernant le projet ROC : Analyse des risques du dispositif ROC, en application du référentiel général de sécurité (pour les autorités publiques) Démarche mise en oeuvre par le groupe projet ROC pour répondre aux demandes de la CNIL : L’analyse des risques du dispositif ROC est effectuée par un groupe technique composé des représentants des fédérations d’AMC et de la DGOS, assisté d’un expert de l’ASIP-santé détaché sur le projet Méthode d’analyse retenue : méthode EBIOS recommandée par l’Agence Nationale de Sécurité des Systèmes d’information (ANSSI) Les critères de sécurité retenus sont ceux couramment utilisés : la Disponibilité, l’Intégrité, la Confidentialité et l’Auditabilité des services ROC Les mesures de protection pour lever les risques ont été définies par le groupe technique
16
16 Groupe des représentants hospitaliers n°9 050914 V0Projet ROC Analyse des risques du dispositif d’échanges ROC 4 services AMC identifiés dans ROC : 3 en temps réel et 1 en asynchrone Les 3 services temps réel dans les échanges ROC sont : Le Service technique « Annuaire des AMC » (transparent pour les agents hospitaliers) Le Service « IDB » Le Service « CLC » Rappel : les comptables publics hospitaliers ne sont pas concernés par ces services temps réels Le service asynchrone (messagerie) concerne le transport des flux de facturation et paiements / rejets ROC et leur notification Les besoins fonctionnels étant similaires, il y a un consensus sur l’utilisation à priori (sous réserve de validation CNIL) de l’infrastructure de messagerie sécurisée Sesam Vitale (utilisée pour FIDES) pour transporter le flux de factures ROC et de leur notification => les exigences de sécurité applicables à FIDES sont reprises dans ROC Rappel : les échanges de flux facturants concernent les trois acteurs : établissements de santé, comptables publics et organismes AMC Point en cours d’analyse par la DGFiP : modalités d’intégration du SNN dans le dispositif ROC cible
17
17 Groupe des représentants hospitaliers n°9 050914 V0Projet ROC Analyse des risques des 3 services temps réel ROC (1) Modèle fonctionnel retenu pour l’analyse des risques : des demandes de service effectuées par les établissements de santé et des réponses à ces demandes par les AMC Le modèle distingue : 2 domaines de responsabilité : les systèmes d’information des établissements de santé d’un côté, les systèmes d’information des AMC de l’autre Des échanges de flux de données entre ces 2 domaines, via Internet Un élément central : le service « Annuaire des AMC » WWW Annuaire Inter-AMC Etablissement de santé Logiciel De facturation hospitalière Demande service Réponse à la demande de service AMC 1 AMC 2 AMC n AMC Agent hospitalier
18
18 Groupe des représentants hospitaliers n°9 050914 V0Projet ROC Analyse des risques des 3 services temps réel ROC (2) 3 catégories de menaces identifiées : menaces liées aux systèmes d’information des AMC qui implantent les services ROC menaces liées aux systèmes d’information des établissements de santé (ES) qui implantent les services ROC menaces liées aux flux réseau échangés entre ES et AMC Les catégories 1 et 2 des menaces (usurpation d’identités, abus des droits…) sont « bien connues »: Leurs risques sont traités soit dans les déclarations CNIL, soit dans la mise en œuvre des politiques de sécurité des systèmes d’information des ES ou des AMC Il est prévu de rappeler dans l’accord cadre national l’exigence de mise en conformité des traitements vis-à-vis de la CNIL et la nécessité de mettre en place des politiques de sécurité sous la responsabilité respective des établissements de santé et des organismes AMC La catégorie 3 des menaces fait l’objet d’une étude détaillée des risques et des mesures de protection
19
19 Groupe des représentants hospitaliers n°9 050914 V0Projet ROC Mesures de protection envisagées pour les 3 services temps réel (1/3) Toutes les mesures envisagées s’appuient sur les standards existants reconnus et déjà utilisés Protéger les données transmises sur les réseaux contre leur capture et leur modification (TLS) : Chiffrement du canal de communication entre deux machines basé sur l’échange réciproque de certificats Authentification réciproque des connexions Point encore en cours d’instruction : Usage des certificats délivrés par l’Asip-Santé (pour les services AMC et les ES) : Avantages : Facilité de déploiement (unicité pour l’ensemble du dispositif) Chaine de confiance connue des acteurs de la sphère santé Gratuité des certificats Inconvénient : conditions juridiques de l’utilisation exclusive des certificats délivrés par l’Asip-santé aux AMC restant à analyser
20
20 Groupe des représentants hospitaliers n°9 050914 V0Projet ROC Mesures de protection envisagées (2/3) 2 niveaux de contrôle d’accès des utilisateurs : Vérification de l’identifiant structure ES ou AMC (enregistré dans les certificats) Autorisations d’accès sous la responsabilité du directeur de l’ES ou de l’AMC + Traçabilité des accès applicatifs Protéger les composants informatiques contre les attaques externes via Internet (codes malveillants, saturation des équipements) Des recommandations à rappeler dans les cahiers des charges informatiques : Mise en place de Pare-feux, Détecteur d’intrusions (IDS) avec mise à jour régulière de bases de signature Prise en compte de la sécurité dans la conception et le développement des logiciels
21
21 Groupe des représentants hospitaliers n°9 050914 V0Projet ROC Mesures de protection envisagées (3/3) Imposer que certains contenus échangés soient opposables à leur émetteur : Scellement / signature des messages « IDB » et « CLC » par l'émetteur initial des messages, quels que soient les intermédiaires traversés Tracer des échanges au niveau des SI des AMC et des établissements de santé : Contenu et format commun des traces à instruire Durée de conservation : à instruire
22
22 Groupe des représentants hospitaliers n°9 050914 V0Projet ROC Couverture des risques avec les mesures de protection proposées Chiffrement canal + Authentification Contrôle d’accès des utilisateurs Recommandations de bonnes pratiques Scellement/ signature Trace des échanges R1 : Risques liés à l’interception des données échangées XXx R2 : Risques liés à la saturation des équipements xxx R3 : Risques liés à l’usurpation d’identité (via logiciel métier) pour obtention de données xxxxX R3-1 : Risques liés à l’usurpation d’identité (via logiciel métier) pour générer des réponses abusives ou malveillantes XXxxX R4 : Risques liés à l’injection des codes malveillants via Internet XXXx R5 : Risques liées au reniement d’actionsxxXX Des mesures qui couvrent l’ensemble des risques identifiés
23
23 Groupe des représentants hospitaliers n°9 050914 V0Projet ROC Travaux restant à approfondir pour le chantier 2 – Sécurité des échanges TâchesQui Etude des conditions juridique sur l’exclusivité d’utilisation des certificats délivrés par l’Asip-santé aux AMC Fédérations AMC Rédaction des exigences de sécurité des ES ou des AMC dans les cahiers des charges informatiques Groupe projet Définition des indicateurs de performance de sécurité du dispositif Groupe projet Etude d’opportunité d’un dispositif centralisé de collecte et de supervision des indicateurs de performance Groupe projet Contenu et format des traces + Durée de conservationGroupe projet Etude d’opportunité du recours au cadre d’interopérabilité des web services santé (également envisagé pour CDR-i) Groupe projet
24
24 Groupe des représentants hospitaliers n°9 050914 V0Projet ROC Sommaire ROC - Phase transitoire ROC - Phase cible Rappel - Processus hospitaliers et web services AMC proposés Avancement des travaux sur les chantiers à mener Zoom sur le chantier 2 – Sécurité des échanges Roc cible dans les cliniques privées Annexes
25
25 Groupe des représentants hospitaliers n°9 050914 V0Projet ROC Roc cible dans les cliniques privées Fin mai 2014 : Accord de la FHP sur le principe de l’extension de ROC aux cliniques privées, suite à l’invitation de la DGOS de rejoindre le projet 12 Septembre 2014 : Présentation de ROC au CA de la FHP par la DGOS Janvier 2015, sous réserve d’avoir finalisé les travaux sur les établissements de santé publics et les PNL qui serviront de base pour adaptation aux spécificités (base tarifaire séjours…) : démarrage des travaux de conception Des cliniques privées pilotes rejoindraient le groupe projet pour traiter de leurs spécificités
26
26 Groupe des représentants hospitaliers n°9 050914 V0Projet ROC Sommaire ROC - Phase transitoire ROC - Phase cible Rappel - Processus hospitaliers et web services AMC proposés Avancement des travaux sur les chantiers à mener Zoom sur le chantier 2 – Sécurité des échanges Roc cible dans les cliniques privées Annexes
27
27 Groupe des représentants hospitaliers n°9 050914 V0Projet ROC Méthode EBIOS d’analyse des risques appliquée au projet ROC Module 1 Etude du contexte Module 2 Etude des événements redoutés Module 3 Etude des scénarii de menaces Module 4 Etude des risques Module 5 Etude des mesures de sécurité - Périmètre de l’analyse des risques - Modélisation fonctionnelle - Définir les échelles de mesure - Identifier les biens essentiels - Identifier les événements redoutés (Perte de DICA) - Evaluation des besoins de sécurité - Inventaire des sources de menace - Identifier les menaces - Evaluer les menaces - Identifier et évaluer les risques liés aux flux réseau (confronter les menaces et les impacts métiers) - Couverture des risques par des exigences de sécurité - Travaux à approfondir avec les maitrises d’œuvre pour la spécification des mesures de sécurité
28
28 Groupe des représentants hospitaliers n°9 050914 V0Projet ROC Identification des risques liés aux échanges de flux réseau RisqueNiveau Service Annuaire Niveau services AMC Impacts principaux du risque CNIL R1 : Risques liés à l’interception des données échangées FortModéréPerte de confidentialitéX R2 : Risques liés à la saturation des équipementsTrès fortTrès FortService(s) offert(s) indisponibles R3 : Risques liés à l’usurpation d’identité (via le logiciel métier) pour obtention de données Fort Perte de confidentialitéX R3-1 : Risques liés à l’usurpation d’identité (via le logiciel métier) pour générer des réponses abusives ou malveillantes Modéré Mise en panne du (des) services X R4 : Risques liés à l’injection des codes malveillants (via Internet) Fort Mise en panne du (des) services R5 : Risques liées au reniement d’actionsSans objetFortLitiges entre ES et AMC les niveaux de risques sont cotés de 1 à 4 (limité, modéré, fort et Très fort) le risque R3-1 concerne également les établissements de santé, le dispositif ROC étant susceptible d’être utilisé comme vecteur d’attaque
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.