Montrer que la gestion des risques en sécurité de l information est liée au métier

Montrer que la gestion des risques en sécurité de l information est liée au métier Missions de l entreprise Risques métier Solutions pragmatiques et adaptées Savoir gérer la différence Adapter à la norme à votre contexte Favoriser la transversalité 2

Rappels sur la norme ISO27005 Cas pratiques Perspectives de la gestion des risques N hésitez pas à m interrompre si vous avez des questions! 3

Établissement du contexte Communication du risque Appréciation du risque Analyse du risque Identification des risques Estimation des risques Évaluation des risques Traitement des risques Surveillance et réexamen du risque Acceptation des risques Norme ISO27005 4

Sécurité de l information Confidentialité Intégrité Disponibilité La gestion des risques est un processus transverse 5

Laboratoire d analyses médicales Laboratoire d analyses du dopage Anne Lupfer - Club27001 Marseille 03/12/2010

Définir les objectifs Définir le périmètre Définir la méthode Définir l organisation Communication du risque Appréciation du risque Analyse du risque Identification des risques Estimation des risques Évaluation des risques Surveillance et réexamen du risque No n Traitement des risques Acceptation des risques Anne Lupfer - Club27001 Marseille 03/12/2010

Certification ou conformité? Conformité Améliorer le niveau de sécurité Maintenir le niveau de sécurité Certification Demande des clients Exigences réglementaires Culture de la normalisation 8

Suivre les exigences des normes internationales ISO 17025:2005 (1) et ISO 15189:2007 (2) Fournir aux clients, dans des délais convenus, des résultats d analyse précis et fiables Privilégier une communication avec les clients, les autres laboratoires et diverses équipes de recherche impliquées dans des projets similaires Œuvrer en tout objectivité et impartialité Promouvoir une mise à jour permanente des compétences techniques et scientifiques Garantir la confidentialité des dossiers patients (1) L'ISO/CEI 17025:2005 établit les exigences générales de compétence pour effectuer des essais et/ou des étalonnages, y compris l'échantillonnage. (2) L ISO/CEI 15189:2007 spécifie les exigences de qualité et de compétence propres aux laboratoires d'analyses de biologie médicale. 9

Laboratoire d analyses médicales Laboratoire d analyse du dopage Standard International pour l autorisation d usage à des fins thérapeutiques «gestion des informations sur la localisation des sportifs et les contrôles manqués [ ]» «Le prélèvement, l entreposage, le traitement, la divulgation et la rétention des renseignements personnels [ ] devront respecter le Standard international pour la protection de la vie privée et des renseignements personnels» «Le personnel concerné de l organisation antidopage concernée mèneront toutes leurs activités en toute confidentialité.» «Les organisations antidopage s assureront que les renseignements personnels obtenus dans la procédure sont conservées durant une période de huit (8) ans» Guide de bonne exécution des analyses des biologies médicales «Toutes les informations relatives aux patients sont confidentielles et doivent être protégées par le secret professionnel. Les résultats des analyses de biologie médicale ne peuvent être communiqués qu'au patient lui-même, à une tierce personne dûment mandatée par le patient, au praticien prescripteur et à tout autre praticien désigné par le patient sauf dérogation ou règles spécifiques prévues par la loi et les règlements en vigueur.» «Le traitement automatisé d'informations nominatives doit être conçu, réalisé et utilisé de façon à respecter la confidentialité, à éviter les erreurs ou les pertes de données. Une procédure doit être établie pour éviter la perte des informations en cas de panne du système informatique. L'accès total ou partiel aux données doit être limité au personnel autorisé. Le système informatique doit comprendre des dispositifs efficaces de protection contre toute tentative d'accès par des personnes non autorisées.» 10

Laboratoire d analyses de dopage Laboratoire d analyses médicales Confidentialité des informations Des patients, des employés Des procédés Intégrité Des résultats Disponibilité Traçabilité Confidentialité des informations Des sportifs Des procédés Des analyses en cours Intégrité Des résultats Des échantillons Disponibilité Traçabilité 11

Avant/après : Exemple : l intégrité de l échantillon avant analyse et après analyse Avant Après 12

Développement d un processus d analyse Recherche d un nouveau procédé Test du procédé Validation du procédé d analyse Exploitation d un processus d analyse Planification du contrôle Collecte de l échantillon à analyser Analyse de l échantillon Contrôle des résultats Transmission des résultats Audiences Suppression d un processus d analyse Préparer la suppression Suppression du procédé Valider la suppression Anne Lupfer - Club27001 Marseille 03/12/2010

Échantillon Résultat des analyses Date de collecte Date d analyse Client Information client Serveur Site Internet Méthode d analyses Savoir-faire Procédé Procédures Analyses Appareil de mesures Personnel Comptes-rendus 14

Entrées Échantillon Données sur le sujet Demande d analyses Procédé, savoir-faire Procédures et modes opératoires Activités Réalisation des tests médicaux Analyse des résultats Saisie des résultats dans le système d information Sorties Échantillon (réduit) Résultats d analyse Preuves (enregistrements) Déchets Acteurs Secrétaire Biologiste Médecin Processus d analyse de l échantillon 15

Définition du processus de gestion des risques Création de l équipe Définition des rôles et responsabilités Formation des intervenants Responsable de la gestion des risques Intervenants opérationnels Dirigeant Définition des canaux de communication Comités existants Création de nouveaux comités Processus d escalade Communication avec les parties prenantes 16

Identification des scénarios de risques Établissement du contexte Appréciation du risque Communication du risque Analyse du risque Estimation des risques Évaluation des risques No n Traitement des risques Surveillance et réexamen du risque Acceptation des risques Anne Lupfer - Club27001 Marseille 03/12/2010

En sélectionnant les trios (actifs, menaces, vulnérabilités) pertinents En étudiant les scénarios avec les équipes métiers En combinant les deux solutions ci-dessus 18

Scénario n 1 Description du risque Divulgation des résultats d analyses avant la communication au patient, suite à une attaque du site Internet du laboratoire. Actifs concernés Site Internet Résultats d analyse Base de données Administrateur Mesures de sécurité existantes Pare-feu Contrôle d accès Authentification forte Anne Lupfer - Club27001 Marseille 03/12/2010 19

Laboratoire d analyses de dopage Laboratoire d analyses médicales Plaintes des patients concernés respect de la règlementation sur la protection des données personnelles Pertes à moyen termes de clientèle Impacts financiers moyens Incapacité à fournir le service pendant un délais inconnu Impacts financiers faibles Plaintes des sportifs concernés respect de la réglementation sur la protection des données personnelles Pertes à long termes de tout ou partie de la clientèle Impacts financiers forts Parution dans la presse grand publique Perte de l image de marque 20

Méthode qualitative Méthode quantitative Établissement du contexte Appréciation du risque Communication du risque Analyse du risque Identification des risques Évaluation des risques No n Traitement des risques Surveillance et réexamen du risque Acceptation des risques Anne Lupfer - Club27001 Marseille 03/12/2010

Priorisation des risques Établissement du contexte Appréciation du risque Communication du risque Analyse du risque Identification des risques Estimation des risques No n Traitement des risques Surveillance et réexamen du risque Acceptation des risques Anne Lupfer - Club27001 Marseille 03/12/2010

En fonction de : Des objectifs fixés Des moyens alloués Du contexte Des contraintes règlementaires Possibilité de retour à l établissement du contexte pour redéfinir : Les objectifs fixés Les critères établis 23

Scénario n 1 Description du risque Divulgation des résultats d analyses avant la communication au patient, suite à une attaque du site Internet du laboratoire. Scénario n 2 Description du risque Attribution des résultats d un patient A au patient B suite à une erreur de saisie dans la base de données. Scénario n 3 Description du risque Suite à une panne informatique, perte des résultats nécessitant d obtenir un nouvel échantillon pour analyses. Le premier échantillon a été totalement utilisé pour les analyses et leurs contrôles. 24

Est-ce que les résultats précédents sont satisfaisants? Anne Lupfer - Club27001 Marseille 03/12/2010

Choix des solutions de traitement des risques Établissement du contexte Appréciation du risque Communication du risque Analyse du risque Identification des risques Estimation des risques Évaluation des risques No n Surveillance et réexamen du risque Acceptation des risques Anne Lupfer - Club27001 Marseille 03/12/2010

Quatre choix de traitement du risque Réduction du risque Maintien du risque Transfert du risque Refus du risque Penser à des mesures faciles à mettre en œuvre et à maintenir 27

Scénario n 1 Description du risque Divulgation des résultats d analyses avant la communication au patient, suite à une attaque du site Internet du laboratoire. Refus : Suppression du site interne Maintien du risque Maintien du site internet Transfert du risque Hébergement du site chez un prestataire Réduction du risque Ne pas donner l ensemble des informations Embaucher une personne compétente 28

Est-ce que les actions proposées sont réalisables? Est-ce que les risques résiduels sont amenés à un niveau acceptable? Anne Lupfer - Club27001 Marseille 03/12/2010

Valider les choix de traitement des risques avec la direction Communication du risque Établissement du contexte Appréciation du risque Analyse du risque Identification des risques Estimation des risques Évaluation des risques No n Traitement des risques Surveillance et réexamen du risque Anne Lupfer - Club27001 Marseille

Établissement du contexte Appréciation du risque Analyse du risque Identification des risques Estimation des risques Évaluation des risques No n Traitement des risques Surveillance et réexamen du risque Acceptation des risques Anne Lupfer - Club27001 Marseille 03/12/2010

A tous les niveaux hiérarchiques Décideurs Responsables d entités, de services Opérationnels Tous les moyens sont bons! Séance de sensibilisation Présentations Articles dans l intranet En fonction de la sensibilité au risque des équipes 32

Établissement du contexte Appréciation du risque Analyse du risque Communication du risque Identification des risques Estimation des risques Évaluation des risques No n Traitement des risques Acceptation des risques Anne Lupfer - Club27001 Marseille 03/12/2010

Planifier la revue des risques et des mesures proposées Audit Revue Suivi Plan Do Act Check Définition des nouvelles actions Modification des critères Validation des résultats 34

Anne Lupfer - Club27001 Marseille 03/12/2010