Gestion des risques dans la santé

Documents pareils
La conformité et sa dérive par rapport à la gestion des risques

ISO 27001:2013 Béatrice Joucreau Julien Levrard

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ISO 27001:2013

THEORIE ET CAS PRATIQUES

MV Consulting. ITIL & IS02700x. Club Toulouse Sébastien Rabaud Michel Viala. Michel Viala

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

Cinq questions sur la vraie utilité de l'iso Alexandre Fernandez-Toro

SMSI et normes ISO 27001

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

Prestations d audit et de conseil 2015

Les clauses «sécurité» d'un contrat SaaS

ISO/CEI 27001:2005 ISMS -Information Security Management System

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

Montrer que la gestion des risques en sécurité de l information est liée au métier

Brève étude de la norme ISO/IEC 27003

Mise en œuvre de la certification ISO 27001

Etude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799

ISO/CEI NORME INTERNATIONALE. Technologies de l'information Techniques de sécurité Gestion des risques liés à la sécurité de l'information

Contractualiser la sécurité du cloud computing

Sécurité du cloud computing

D ITIL à D ISO 20000, une démarche complémentaire

METIERS DE L INFORMATIQUE

Mini-Rapport d Audit basé sur la méthode d analyse MEHARI

Les tableaux de bord de pilotage de nouvelle génération. Copyright PRELYTIS

Systèmes et réseaux d information et de communication

Menaces et sécurité préventive

L analyse de risques avec MEHARI

Gestion de parc et qualité de service

Gestion des incidents

SANS SEC 504 : Techniques de hacking, exploitation de failles et gestion des incidents

Gestion des identités

La sécurité applicative

Le Dossier Médical Personnel et la sécurité

Partie 1 : Introduction

Fiche méthodologique Rédiger un cahier des charges

Mise en œuvre d un système de management de la sécurité de l information (SMSI) au sein de l Ambassade du Royaume du Maroc à Tunis

PRÉVENIR ET DIMINUER VOS RISQUES ANTICIPATE AND REDUCE YOUR RISKS

STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI

Mise en place d'une démarche qualité et maintien de la certification ISO 9001:2008 dans un système d'information

PROGRAMME DU CONCOURS DE RÉDACTEUR INFORMATICIEN

Conseils et préconisations de mutualisation ISO 2700x et ISO / ITIL Groupe de travail du Club Toulouse 3 Avril 2012

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

ITIL V Préparation à la certification ITIL Foundation V3 (3ième édition)

ITIL V Préparation à la certification ITIL Foundation V3 (2ième édition)

Maîtriser ses données dans le cloud computing

Nom-Projet MODELE PLAN DE MANAGEMENT DE PROJET

A1 GESTION DE LA RELATION AVEC LA CLIENTELE

Consulter notre site : Network Telecom Security Solutions. en partenariat technique avec

L Audit selon la norme ISO27001

Excellence. Technicité. Sagesse

Formation en SSI Système de management de la SSI

Sécurité des Postes Clients

Annexe sur la maîtrise de la qualité

Les clauses sécurité dans un contrat de cloud

) ) ) ) Structure et optimisation des coûts de la conformité Analyse comparée de PCI DSS et ISO CNIS EVENT. 27 avril 2011.

Mise en place d un SMSI selon la norme ISO Wadi Mseddi Tlemcen, le 05/06/2013

Université de Lausanne

Recommandations sur les mutualisations ISO ISO & ISO ITIL

Conception et Réalisation d une Application de Gestion de Sécurité d Information pour la Poste Tunisienne

Piloter le contrôle permanent

A. À propos des annuaires

Atelier A7. Audit de la gestion globale des risques : efficacité ou conformité?

Les risques HERVE SCHAUER HSC

2. Activités et Modèles de développement en Génie Logiciel

PROFIL DE POSTE AFFECTATION. SERIA (service informatique académique) DESCRIPTION DU POSTE

2012 / Excellence. Technicité. Sagesse

Brique BDL Gestion de Projet Logiciel

BI2B est un cabinet de conseil expert en Corporate Performance Management QUI SOMMES-NOUS?

GESTION DE PROJET SÉANCE 2 : LES CYCLE DE VIE D'UN PROJET

Catalogue de critères pour la reconnaissance de plateformes alternatives. Annexe 4

2 nde édition Octobre 2008 LIVRE BLANC. ISO Le nouveau nirvana de la sécurité?

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015

PEPI GPI (Gestion de Projet Informatique) - Note de Cadrage décembre

GUIDE SUR L ASSISTANCE A LA MAÎTRISE D'OUVRAGE EN INFORMATIQUE

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?

REF01 Référentiel de labellisation des laboratoires de recherche_v3

DÉMATÉRIALISATION DES DOCUMENTS ET AUTOMATISATION DES PROCESSUS UN PREMIER PAS VERS LA BANQUE SANS PAPIER

Panorama général des normes et outils d audit. François VERGEZ AFAI

ITIL : Premiers Contacts

Aligner le SI sur la stratégie de l entreprise

Copyright Société PRONETIS Droits d'utilisation ou de reproduction réservés.

Information Technology Services - Learning & Certification.

PRÉSENTATION DE L OFFRE

ITIL V3. Objectifs et principes-clés de la conception des services

Vers un nouveau modèle de sécurité

Audit du PCA de la Supply Chain en conformité avec la norme ISO GUIDE ADENIUM BUSINESS CONTINUITY

Sécurité des applications Retour d'expérience

Jean-Louis FELIPE (Né le 20/11/1960) Consultant sénior ITSM

2.La bibliothèque ITIL est composé de 2 ouvrages La bibliothèque : Dans sa version actuelle, ITIL est composé de huit ouvrages :

ERP5. Gestion des Services Techniques des Collectivités Locales

ITIL, quel impact dans nos laboratoires? Pourquoi se poser cette question? Geneviève Romier, CNRS UREC

DSCG : UE5 - Management des Systèmes d'information CARTE HEURISTIQUE...2 POLITIQUE DE SÉCURITÉ...3 LES DISPOSITIFS TECHNIQUES DE PROTECTION...

INDICATIONS DE CORRECTION

Club toulousain

M Études et développement informatique

Transcription:

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Gestion des risques dans la santé Illustration avec le DMP1 CNSSIS, Le Mans, 22 avril 2011 Hervé Schauer Hervé Schauer <Herve.Schauer@hsc.fr>

Sommaire Projet DMP1 SMSI Gestion de risques dans le projet Etude EBIOS Gestion de risque ISO 27005 Processus ISO 27005 Intégration dans le SMSI Démarche dans le cadre du DMP1 Collaboration avec l'équipe projet Outils Pourquoi la méthode ISO 27005 Conclusion Conseils 2/28

Projet DMP1 Rappel du contexte du projet DMP1 3/28 Mettre à disposition un socle d'hébergement des dossiers patients Créer une interface patients et une interface professionnels de santé (web, logiciel) pour l'accès et l'utilisation des dossiers Permettre la qualification et les tests de compatibilité des logiciels des professionnels de santé avec le socle d'hébergement Mettre en place un support niveau 2 Posséder un environnement de tests et de formation similaire au service d'hébergement Proposer un espace de communication Site web, services complémentaires Avoir un outil de pilotage des services fournis Garantir la sécurité des données et des services dans le temps en mettant en place un SMSI sur le périmètre et en l'exploitant

Projet DMP1 Acteurs Cahier des charges : Ministère de la santé Maîtrise d'ouvrage du projet : ASIP Maîtrise d'oeuvre du projet : Groupement DMP1 français : Outil de partage entre professionnels de santé, sans limite de contenu Dossier patient potentiellement complet «DMP» écossais : Historique des feuilles de soins, médecine et pharmacie Allergies Beaucoup plus proche du dossier médico-administratif de la CNAM-TS que d'un dossier médical partagé 4/28

SMSI : Système de Management Attentes et exigences en terme de sécurité Partenaires Fournisseurs Modèle PDCA : Plan-Do-Check- Act Planification Plan Sécurité effective fournie Partenaires Fournisseurs Patients Pouvoirs publics Action Do Correction Act Patients Pouvoirs publics Services Vérification Check Services 5/28

SMSI Phase PLAN (4.2.1) Périmètre du SMSI Plan Act Politique de sécurité et politique du SMSI Plan de gestion des risques Méthodologie d'appréciation des risques (critères, échelles, etc) Identification, estimation et évaluation des risques Traitement des risques Réduction des risques par la sélection de mesures de sécurité Maintien des risques Refus des risques Transfert des risques à tiers qui saura mieux le maîtriser Objectifs de sécurité et mesures de sécurité Déclaration d'applicabilité : DdA (Statement of applicability ou SoA) Do Check 6/28

SMSI 7/28 Phase DO (4.2.2) Plan de Traitement du Risque opérationnel Allocation et gestion de ressources Personnes, temps, argent, etc. Formation du personnel concerné Gestion du risque Pour les risques à réduire : Implémenter les mesures de sécurité identifiées dans la phase précédente Assignation des responsabilités Identifier des risques résiduels Pour les risques transférés : assurance, sous-traitance, etc. Pour les risques acceptés et refusés : rien à faire Mettre en place le SMSI et l'exploiter Plan Do Act Check

SMSI Phase CHECK (4.2.3) Vérifications de routine Apprendre des autres Audit du SMSI Audits réguliers Sur la base de Documents Traces ou enregistrements Tests techniques Réexamen régulier Retour des parties prenantes Changements Risques Plan Do Act Check 8/28...

SMSI Phase ACT (4.2.4) Prendre les mesures résultant des constatations faites lors de la phase de vérification Actions possibles Passage à la phase de planification Si de nouveaux risques ont été identifiés Passage à la phase d'action Si la phase de vérification en montre le besoin Si constatation de non conformité Actions correctives ou préventives Actions entreprises immédiatement Planification d'actions sur le moyen et long terme Plan Do Act Check 9/28

Gestion des risques dans le projet Position de la gestion des risques dans le projet Appel d'offre du Ministère de la Santé Etude EBIOS Détermine les besoins Permet au Ministère de formuler ses exigences Modélise les métiers en fonctions Identifie les informations sensibles Réalisation par le Groupement titulaire du marché d'une appréciation des risques pour tous les services du DMP1 Gestion des risques ISO 27005 Gestion des risques dans le cadre du SMSI Dans la durée 10/28

Etude EBIOS Détermine les besoins de sécurité du système à construire Travail sur un système qui n'existe pas encore Etude effectuée une fois au départ du projet Formalise les engagements de sécurité, les objectifs de sécurité contractuels entre la maîtrise d'ouvrage et la maîtrise d'oeuvre Macroscopique, général Détermine et formalise les critères d'acceptation des risques pour le ministère Impose aux réalisateurs (ASIP + groupement) de traiter les risques qui sont pas acceptés par le Ministère 11/28

Gestion des risques ISO 27005 Gère les risques du système construit Travail sur un système qui existe et qui évolue Gestion effectuée continuellement au cours la vie du système Détermine les risques devant être traités Granulaire, détaillé Intégrée au processus de gestion du changement Appel d'offre Réalisation et exploitation du DMP1 EBIOS ISO 27005... Temps 12/28

Processus ISO 27005 ISO 27005 Chap 6 Processus de gestion du risque Découpé en activités et sous-activités Avec des entréessorties Identique à l'iso 31000 Objectif : optimiser, équilibrer, prioritiser, responsabiliser Communication du risque Etablissement du contexte Appréciation du risque Analyse de risque Identification du risque Estimation du risque Evaluation du risque Appréciation non satisfaisante? oui Traitement du risque Risque non acceptable? oui Acceptation du risque Surveillance et réexamen du risque 13/28

Intégration dans le SMSI Hiérarchie documentaire Approche descendante (top-down) Périmètre et Politique du SMSI Appréciation des risques ISO 27001 4.2.1.a, 4.2.1.b ISO 27002 5.1.1.a,.b,.d.1,.e ISO 27003 6.1, 6.6 ISO 27001 4.2.1.d, 4.2.1.e ISO 27005 8 Plan de traitement des risques ISO 27001 4.2.1.f, 4.2.1.g ISO 27005 9 ISO 27003 8.3 Déclaration d'applicabilité ISO 27001 4.2.1.j ISO 27003 8.4 14/28

Intégration dans le SMSI (ISO 27001) Processus du SMSI 15/28

Démarche dans le cadre du DMP1 Reprise des fonctions et informations issues du découpage de l'appel d'offre, qui deviennent les actif primordiaux Recopie des besoins de chaque fonction exprimés dans l'appel d'offre Identification des actifs en support de chaque fonction Identification des besoins en sécurité de l'information (DICA) pour chaque actif en support Déroulement de la gestion des risques ISO 27005 Construction de matrices de couverture des risques Pilotage par le CDP risques en coordination avec le responsable du SMSI 16/28

Démarche dans le cadre du DMP1 Déroulement de la gestion des risques classique conformément à la méthode ISO 27005 Rappel : identification & estimation des actifs, menaces, vulnérabilités, scénarios d'incident, vraisemblance, impacts DICA & conséquences Critères de sécurité : Disponibilité, Intégrité, Confidentialité, Auditabilité Base de connaissances des risques adaptée au contexte des services du DMP Approfondissement des sujets techniques Plan de traitement des risques 17/28

Démarche dans le cadre du DMP1 Construction de matrices de couverture des risques Contrôle entre l'appel d'offre et la mise en oeuvre par le projet Applicables Auditables 18/28

Collaboration avec l'équipe projet Chefs de projet En attente de la décision «sécurité» pour : Environnement des fonctionnalités Choix de l'implémentation Conditions d'exploitation Respect de la réglementation Niveau de décision Gestion des utilisateurs et règles d'authentification Mode d'accès aux services Stockage et communication des données Procédures à appliquer Contrôles intégrés 19/28 Architecture technique

Echelles Mise en cohérence les échelles de la maîtrise d'ouvrage et de la maîtrise d'oeuvre Détailler chaque échelle Exprimer chaque niveau en français Formuler dans le contexte métier de chacun Donner des exemples à chaque fois Seule garantie de reproductibilité et comparabilité 20/28

Outils Spécifications fonctionnelles et détaillées des services du DMP1 Microsoft Excel Base de connaissance d'hsc Normes ISO 27001, ISO 27002 et ISO 27005 Outils de dialogues avec les équipes projets 21/28

Pourquoi la méthode ISO 27005? Compréhensible Aucune notion trop complexe Vocabulaire conforme au langage courant Vocabulaire cohérent de bout en bout Pragmatique et accessible à tous Aucune étape infaisable même si la précédente n'est pas terminée Production d'un travail exploitable et utile rapidement Modélisable 22/28

Pourquoi la méthode ISO 27005? Gestion des risques dans la durée Intègre la notion du temps, pas juste une appréciation des risques à un instant "t" Adaptée aux changements Evite de refaire plusieurs fois les mêmes analyses Application de l'amélioration continue Possible de commencer petit et de faire de mieux en mieux progressivement Impose à la direction d'être parfaitement informée Lui impose de prendre ses responsabilités en toute connaissance de cause Clarifie les arbitrages budgétaires 23/28

Pourquoi la méthode ISO 27005? Approche systématique (ISO27005 chapitre 5) Approche méthodique, répétable, apprenable par une procédure pas à (Business Dictionnary) pas Management des risques cohérent avec l'organisation d'entreprise (ISO27005 5) Alignement sur le management des risques en général (risques opérationnels, risques du CHSCT, risques dans la santé, etc) Pas d'échelles ni de critères imposés Pas de méthode d'estimation des risques préconisée (calcul du niveau de risque) Strictement alignée sur ISO 31000 Pilotage du management des risques en sécurité de l'information par le RSSI 24/28

Pourquoi la méthode ISO 27005? Consensus international sur le management des risques SI Reprise du meilleur de ce qui avait été fait partout dans le monde Compréhension mutuelle mondiale Mutualisation des efforts Comparaisons plus faciles Seule méthode adaptée à la mise en œuvre d'un SMSI selon l'iso 27001 Applicable à d'autres types de contexte : PCA, projets, systèmes embarqués, infrastructures vitales, etc Seule méthode dans la durée comme l'iso 27001 25/28

Conclusion Chaque méthode à sa place et aucune ne peut remplacer l'autre Aucune méthode ne permet d'identifier de manière exhaustive les risques pesant sur un système. Méthode d'appréciation des risques = modélisation Plus il y a de facteurs pour estimer le niveau de risque, plus on Ajoute du flou dans le calcul Réduit la capacité à reproduire l'appréciation des risques Réduit la maintenabilité de l'appréciation des risques Adaptez le niveau de granularité Aux besoins Au temps disponible Aux contraintes 26/28

Conclusion Formez les parties prenantes à la gestion des risques Transfert de compétence point clé de la réussite Collaborez dès le début avec les acteurs métiers et les futurs responsables de la mise en œuvre des mesures de sécurité Conservez les enregistrements permettant de ré-expliquer à chacun l'historique de la démarche, de justifier Passez autant de temps sur le plan de traitement des risques que sur l'appréciation des risques Toujours trop de temps passé sur l'appréciation et pas assez sur le plan de traitement 27/28

Conseils Après 3 jours de congrès, quelques fondamentaux indispensables Formez-vous Faites vous-même et ne faites pas faire à des prestataires Faites relire et contrôler par vos pairs et si seuleument si nécessaire par des prestataires Pensez à organiser la continuité ISO 22301 N'utilisez que le chapitre 7 de l'iso 27799 DLP organisation similaire à celle d'un PCA, en aucun cas un outil Questions? www.hsc.fr 28/28

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back