Exigences de sécurité de base pour les systèmes informatiques

Actualités

Les hôpitaux suisses ont approuvé des exigences communes de base pour les systèmes informatiques, que les établissements de santé pourront exiger pour les produits des fournisseurs de systèmes et appliquer à l’avenir dans les procédures d’acquisition. Ces exigences reposent sur les lois et prescriptions en vigueur des autorités de régulation ainsi que sur des normes reconnues.

Par ces exigences techniques et organisationnelles, les établissements de santé définissent un référentiel uniforme permettant de comparer les aspects de sécurité informatique des produits de différents fabricants, soulignant ainsi l’importance de produits sûrs et de fabricants qui prennent la sécurité de l’information au sérieux.

Public cible

Le document « Exigences de sécurité de base pour les systèmes informatiques » s’adresse en premier lieu aux fournisseurs des établissements de santé. Des documents spécifiques sont disponibles pour les établissements de santé sur la plateforme H-CSC.

Avantages pour toutes les parties prenantes

Les exigences de sécurité de base pour les systèmes informatiques définissent des exigences uniformes et transsectorielles. Cette base apporte des avantages significatifs tant aux fournisseurs qu’aux établissements de santé :

  • Dans les processus d’acquisition des établissements de santé, les fonctions de protection des produits sont davantage prises en compte et évaluées. Les produits plus sûrs se distinguent des produits concurrents moins sûrs.
  • Les investissements des fournisseurs dans la sécurité de l’information de leurs produits portent leurs fruits et peuvent être utilisés comme arguments de vente sur le marché.
  • Les investissements des fournisseurs dans la sécurité de l’information de leurs produits portent leurs fruits et peuvent être utilisés comme arguments de vente sur le marché.
  • Grâce à l’harmonisation des exigences, les catalogues d’exigences individuels des établissements de santé auxquels les fournisseurs doivent répondre deviennent inutiles. Les fournisseurs peuvent évaluer leurs produits une seule fois et réutiliser cette documentation pour plusieurs établissements de santé.
  • Les établissements de santé disposent d’une spécification standardisée pour exiger la sécurité de base pour les systèmes informatiques et n’ont plus besoin d’élaborer des exigences individuelles.
  • Globalement, les exigences de sécurité de base pour les systèmes informatiques contribueront à renforcer la sécurité de l’information dans les établissements de santé et à réduire les incidents de sécurité. Les patients, les établissements de santé et les fournisseurs en bénéficieront.

Fonctionnement des exigences de sécurité de base pour les systèmes informatiques :

Les fournisseurs de systèmes qui investissent dans la sécurité informatique de leurs produits doivent être évalués équitablement par rapport aux fournisseurs dont les systèmes présentent des vulnérabilités, en rendant visibles et en cumulant les coûts supplémentaires. Les exigences de sécurité de base définissent la référence uniforme.

Procédure

La norme soutient à la fois les processus d’acquisition proactifs (acquisition proactive) et les processus d’acquisition réactifs (acquisition sur demande).

Pour les processus d’acquisition proactifs, une autodéclaration est mise à disposition des fournisseurs, c’est-à-dire un formulaire électronique standardisé reflétant la norme.

  • Les fournisseurs, respectivement les fabricants des produits, établissent une autodéclaration unique pour leurs produits sur la base des exigences publiquement disponibles. Ils peuvent compenser eux-mêmes les fonctions de protection manquantes par des mesures complémentaires, valorisant ainsi leur produit.
  • Les fournisseurs transmettent l’autodéclaration avec les autres documents d’offre à l’établissement de santé demandeur.
  • Les catalogues d’exigences individuels à compléter ultérieurement deviennent inutiles.
  • L’établissement de santé évalue le produit et l’autodéclaration dans le cadre de ses processus d’évaluation et prend sa décision.

Dans les processus d’acquisition réactifs, les établissements de santé définissent leurs exigences sous la forme d’une spécification, c’est-à-dire un formulaire électronique standardisé reflétant la norme et permettant, selon l’objet de l’acquisition, de déclarer certaines exigences comme non pertinentes ou obligatoires.

  • Les établissements de santé établissent, sur la base des exigences publiquement disponibles, la spécification standardisée pour leur procédure d’acquisition sur demande.
  • Les fournisseurs peuvent répondre à cette spécification en s’appuyant sur l’« autodéclaration » de leurs produits. Les deux formulaires — « spécification » et « autodéclaration » — sont compatibles, reposent sur la même norme et comportent des références identiques.
  • Pour les fournisseurs disposant déjà d’une autodéclaration pour leurs produits, la réponse aux spécifications implique un effort minimal.
  • Les fournisseurs peuvent intégrer dans la spécification les fonctions de protection supplémentaires prévues dans leur autodéclaration, valorisant ainsi leur produit.
  • Les catalogues d’exigences individuels par établissement deviennent inutiles. La norme simplifie le processus tant pour les fournisseurs que pour les établissements de santé.
  • Les fournisseurs envoient la spécification complétée avec les autres documents d’offre à l’établissement de santé demandeur.
  • L’établissement de santé évalue le produit en comparant les exigences complétées. Selon la définition de la procédure d’acquisition, les fonctions de protection manquantes seront compensées par des mesures supplémentaires de la part de l’établissement de santé. Ces coûts seront intégrés à l’évaluation en étant ajoutés aux prix proposés par les fournisseurs. Les offres peuvent ainsi être comparées selon des exigences uniformes de sécurité informatique de base.

Lien vers les documents

Exigences de sécurité de base pour les systèmes informatiques
Autodéclaration pour les fournisseurs (formulaire electronique)

Remarque : Afin de pouvoir utiliser correctement le formulaire électronique, veuillez sélectionner « Télécharger une copie → Excel » après l’ouverture du fichier.

Les documents spécifiques pour les établissements de santé sont disponibles pour les membres sur la plateforme H-CSC.

Personnes de contact

Pour toute question, veuillez vous adresser à vos personnes de contact au sein de l’établissement de santé concerné.

Large soutien

Les établissements de santé mentionnés ci-dessous appliquent les exigences de sécurité de base dans leurs processus d’acquisition.

Cette liste de logos est actuellement en cours d’élaboration. Ont déjà confirmé leur participation :