Gestion des risques dans la santé

Transcription

1 HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Gestion des risques dans la santé Illustration avec le DMP1 CNSSIS, Le Mans, 22 avril 2011 Hervé Schauer Hervé Schauer

2 Sommaire Projet DMP1 SMSI Gestion de risques dans le projet Etude EBIOS Gestion de risque ISO Processus ISO Intégration dans le SMSI Démarche dans le cadre du DMP1 Collaboration avec l'équipe projet Outils Pourquoi la méthode ISO Conclusion Conseils 2/28

3 Projet DMP1 Rappel du contexte du projet DMP1 3/28 Mettre à disposition un socle d'hébergement des dossiers patients Créer une interface patients et une interface professionnels de santé (web, logiciel) pour l'accès et l'utilisation des dossiers Permettre la qualification et les tests de compatibilité des logiciels des professionnels de santé avec le socle d'hébergement Mettre en place un support niveau 2 Posséder un environnement de tests et de formation similaire au service d'hébergement Proposer un espace de communication Site web, services complémentaires Avoir un outil de pilotage des services fournis Garantir la sécurité des données et des services dans le temps en mettant en place un SMSI sur le périmètre et en l'exploitant

4 Projet DMP1 Acteurs Cahier des charges : Ministère de la santé Maîtrise d'ouvrage du projet : ASIP Maîtrise d'oeuvre du projet : Groupement DMP1 français : Outil de partage entre professionnels de santé, sans limite de contenu Dossier patient potentiellement complet «DMP» écossais : Historique des feuilles de soins, médecine et pharmacie Allergies Beaucoup plus proche du dossier médico-administratif de la CNAM-TS que d'un dossier médical partagé 4/28

5 SMSI : Système de Management Attentes et exigences en terme de sécurité Partenaires Fournisseurs Modèle PDCA : Plan-Do-Check- Act Planification Plan Sécurité effective fournie Partenaires Fournisseurs Patients Pouvoirs publics Action Do Correction Act Patients Pouvoirs publics Services Vérification Check Services 5/28

6 SMSI Phase PLAN (4.2.1) Périmètre du SMSI Plan Act Politique de sécurité et politique du SMSI Plan de gestion des risques Méthodologie d'appréciation des risques (critères, échelles, etc) Identification, estimation et évaluation des risques Traitement des risques Réduction des risques par la sélection de mesures de sécurité Maintien des risques Refus des risques Transfert des risques à tiers qui saura mieux le maîtriser Objectifs de sécurité et mesures de sécurité Déclaration d'applicabilité : DdA (Statement of applicability ou SoA) Do Check 6/28

7 SMSI 7/28 Phase DO (4.2.2) Plan de Traitement du Risque opérationnel Allocation et gestion de ressources Personnes, temps, argent, etc. Formation du personnel concerné Gestion du risque Pour les risques à réduire : Implémenter les mesures de sécurité identifiées dans la phase précédente Assignation des responsabilités Identifier des risques résiduels Pour les risques transférés : assurance, sous-traitance, etc. Pour les risques acceptés et refusés : rien à faire Mettre en place le SMSI et l'exploiter Plan Do Act Check

8 SMSI Phase CHECK (4.2.3) Vérifications de routine Apprendre des autres Audit du SMSI Audits réguliers Sur la base de Documents Traces ou enregistrements Tests techniques Réexamen régulier Retour des parties prenantes Changements Risques Plan Do Act Check 8/28...

9 SMSI Phase ACT (4.2.4) Prendre les mesures résultant des constatations faites lors de la phase de vérification Actions possibles Passage à la phase de planification Si de nouveaux risques ont été identifiés Passage à la phase d'action Si la phase de vérification en montre le besoin Si constatation de non conformité Actions correctives ou préventives Actions entreprises immédiatement Planification d'actions sur le moyen et long terme Plan Do Act Check 9/28

10 Gestion des risques dans le projet Position de la gestion des risques dans le projet Appel d'offre du Ministère de la Santé Etude EBIOS Détermine les besoins Permet au Ministère de formuler ses exigences Modélise les métiers en fonctions Identifie les informations sensibles Réalisation par le Groupement titulaire du marché d'une appréciation des risques pour tous les services du DMP1 Gestion des risques ISO Gestion des risques dans le cadre du SMSI Dans la durée 10/28

11 Etude EBIOS Détermine les besoins de sécurité du système à construire Travail sur un système qui n'existe pas encore Etude effectuée une fois au départ du projet Formalise les engagements de sécurité, les objectifs de sécurité contractuels entre la maîtrise d'ouvrage et la maîtrise d'oeuvre Macroscopique, général Détermine et formalise les critères d'acceptation des risques pour le ministère Impose aux réalisateurs (ASIP + groupement) de traiter les risques qui sont pas acceptés par le Ministère 11/28

12 Gestion des risques ISO Gère les risques du système construit Travail sur un système qui existe et qui évolue Gestion effectuée continuellement au cours la vie du système Détermine les risques devant être traités Granulaire, détaillé Intégrée au processus de gestion du changement Appel d'offre Réalisation et exploitation du DMP1 EBIOS ISO Temps 12/28

13 Processus ISO ISO Chap 6 Processus de gestion du risque Découpé en activités et sous-activités Avec des entréessorties Identique à l'iso Objectif : optimiser, équilibrer, prioritiser, responsabiliser Communication du risque Etablissement du contexte Appréciation du risque Analyse de risque Identification du risque Estimation du risque Evaluation du risque Appréciation non satisfaisante? oui Traitement du risque Risque non acceptable? oui Acceptation du risque Surveillance et réexamen du risque 13/28

14 Intégration dans le SMSI Hiérarchie documentaire Approche descendante (top-down) Périmètre et Politique du SMSI Appréciation des risques ISO a, b ISO a,.b,.d.1,.e ISO , 6.6 ISO d, e ISO Plan de traitement des risques ISO f, g ISO ISO Déclaration d'applicabilité ISO j ISO /28

15 Intégration dans le SMSI (ISO 27001) Processus du SMSI 15/28

16 Démarche dans le cadre du DMP1 Reprise des fonctions et informations issues du découpage de l'appel d'offre, qui deviennent les actif primordiaux Recopie des besoins de chaque fonction exprimés dans l'appel d'offre Identification des actifs en support de chaque fonction Identification des besoins en sécurité de l'information (DICA) pour chaque actif en support Déroulement de la gestion des risques ISO Construction de matrices de couverture des risques Pilotage par le CDP risques en coordination avec le responsable du SMSI 16/28

17 Démarche dans le cadre du DMP1 Déroulement de la gestion des risques classique conformément à la méthode ISO Rappel : identification & estimation des actifs, menaces, vulnérabilités, scénarios d'incident, vraisemblance, impacts DICA & conséquences Critères de sécurité : Disponibilité, Intégrité, Confidentialité, Auditabilité Base de connaissances des risques adaptée au contexte des services du DMP Approfondissement des sujets techniques Plan de traitement des risques 17/28

18 Démarche dans le cadre du DMP1 Construction de matrices de couverture des risques Contrôle entre l'appel d'offre et la mise en oeuvre par le projet Applicables Auditables 18/28

19 Collaboration avec l'équipe projet Chefs de projet En attente de la décision «sécurité» pour : Environnement des fonctionnalités Choix de l'implémentation Conditions d'exploitation Respect de la réglementation Niveau de décision Gestion des utilisateurs et règles d'authentification Mode d'accès aux services Stockage et communication des données Procédures à appliquer Contrôles intégrés 19/28 Architecture technique

20 Echelles Mise en cohérence les échelles de la maîtrise d'ouvrage et de la maîtrise d'oeuvre Détailler chaque échelle Exprimer chaque niveau en français Formuler dans le contexte métier de chacun Donner des exemples à chaque fois Seule garantie de reproductibilité et comparabilité 20/28

21 Outils Spécifications fonctionnelles et détaillées des services du DMP1 Microsoft Excel Base de connaissance d'hsc Normes ISO 27001, ISO et ISO Outils de dialogues avec les équipes projets 21/28

22 Pourquoi la méthode ISO 27005? Compréhensible Aucune notion trop complexe Vocabulaire conforme au langage courant Vocabulaire cohérent de bout en bout Pragmatique et accessible à tous Aucune étape infaisable même si la précédente n'est pas terminée Production d'un travail exploitable et utile rapidement Modélisable 22/28

23 Pourquoi la méthode ISO 27005? Gestion des risques dans la durée Intègre la notion du temps, pas juste une appréciation des risques à un instant "t" Adaptée aux changements Evite de refaire plusieurs fois les mêmes analyses Application de l'amélioration continue Possible de commencer petit et de faire de mieux en mieux progressivement Impose à la direction d'être parfaitement informée Lui impose de prendre ses responsabilités en toute connaissance de cause Clarifie les arbitrages budgétaires 23/28

24 Pourquoi la méthode ISO 27005? Approche systématique (ISO27005 chapitre 5) Approche méthodique, répétable, apprenable par une procédure pas à (Business Dictionnary) pas Management des risques cohérent avec l'organisation d'entreprise (ISO ) Alignement sur le management des risques en général (risques opérationnels, risques du CHSCT, risques dans la santé, etc) Pas d'échelles ni de critères imposés Pas de méthode d'estimation des risques préconisée (calcul du niveau de risque) Strictement alignée sur ISO Pilotage du management des risques en sécurité de l'information par le RSSI 24/28

25 Pourquoi la méthode ISO 27005? Consensus international sur le management des risques SI Reprise du meilleur de ce qui avait été fait partout dans le monde Compréhension mutuelle mondiale Mutualisation des efforts Comparaisons plus faciles Seule méthode adaptée à la mise en œuvre d'un SMSI selon l'iso Applicable à d'autres types de contexte : PCA, projets, systèmes embarqués, infrastructures vitales, etc Seule méthode dans la durée comme l'iso /28

26 Conclusion Chaque méthode à sa place et aucune ne peut remplacer l'autre Aucune méthode ne permet d'identifier de manière exhaustive les risques pesant sur un système. Méthode d'appréciation des risques = modélisation Plus il y a de facteurs pour estimer le niveau de risque, plus on Ajoute du flou dans le calcul Réduit la capacité à reproduire l'appréciation des risques Réduit la maintenabilité de l'appréciation des risques Adaptez le niveau de granularité Aux besoins Au temps disponible Aux contraintes 26/28

27 Conclusion Formez les parties prenantes à la gestion des risques Transfert de compétence point clé de la réussite Collaborez dès le début avec les acteurs métiers et les futurs responsables de la mise en œuvre des mesures de sécurité Conservez les enregistrements permettant de ré-expliquer à chacun l'historique de la démarche, de justifier Passez autant de temps sur le plan de traitement des risques que sur l'appréciation des risques Toujours trop de temps passé sur l'appréciation et pas assez sur le plan de traitement 27/28

28 Conseils Après 3 jours de congrès, quelques fondamentaux indispensables Formez-vous Faites vous-même et ne faites pas faire à des prestataires Faites relire et contrôler par vos pairs et si seuleument si nécessaire par des prestataires Pensez à organiser la continuité ISO N'utilisez que le chapitre 7 de l'iso DLP organisation similaire à celle d'un PCA, en aucun cas un outil Questions? 28/28