RESULTATS DE L'ANALYSE DES RISQUES SSI. Modèle de présentation pour les MOA Territoriales



Documents pareils
L analyse de risques avec MEHARI

DSCG : UE5 - Management des Systèmes d'information CARTE HEURISTIQUE...2 POLITIQUE DE SÉCURITÉ...3 LES DISPOSITIFS TECHNIQUES DE PROTECTION...

27 mars Sécurité ECNi. Présentation de la démarche sécurité

s é c u r i t é Conférence animée par Christophe Blanchot

Les principes de la sécurité

RESUME NON TECHNIQUE DE L'ETUDE DES DANGERS

l informatique est vitale pour mon activité je protège mon matériel et mon entreprise

2 ASIP Santé/DSSIS : Guide Pratique - Règles de sauvegarde des Systèmes d Information de Santé (SIS) Juillet 2014 V0.3

L'AUDIT DES SYSTEMES D'INFORMATION

Prestations d audit et de conseil 2015

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

Sécurité des systèmes informatiques Introduction

CONDITIONS GENERALES DE VENTE ET D UTILISATION RELATIVES A L UTILISATION D AUTOBIZ-DIRECT

Ministère de la Culture et de la Communication

CONDITIONS PARTICULIERES D UTILISATION DES SERVICES EN LIGNE TANGO

CHARTE INFORMATIQUE LGL

Qu est-ce qu un système d Information? 1

CONDITIONS GENERALES D'UTILISATION DU LOGICIEL SYNCHRONISATION ET PARTAGEUBIKUBE / B CLOUD

CONDITIONS PARTICULIÈRES HÉBERGEMENT BLUE MIND

CONDITIONS PARTICULIÈRES SERVICE CDN WEBSITE Version en date du 10/10/2013

Article I. DÉFINITIONS

MV Consulting. ITIL & IS02700x. Club Toulouse Sébastien Rabaud Michel Viala. Michel Viala

La sécurité des systèmes d information

Maîtriser les risques au sein d une d PMI. Comment une PME-PMI peut-elle faire face à ses enjeux en toutes circonstances?

La sécurité physique et environnementale

Aspects juridiques des tests d'intrusion

Les nouveaux guides de la CNIL. Comment gérer des risques dont l impact ne porte pas sur l organisme

DDN/RSSI. Engagement éthique et déontologique de l'administrateur systèmes, réseaux et de système d'informations

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

Politique de Sécurité des Systèmes d Information

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

Sécurité informatique: introduction

Politique de sécurité de l information

R41 REGLE DE PRESCRIPTION. Télésécurité. Habitations Risques «standard» Edition (décembre 2000)

Cadre commun de la sécurité des systèmes d information et de télécommunications

TERMES D'UTILISATION :

VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

Sommaire AVANT PROPOS... 3 INTRODUCTION LA THEORIE : LES CONCEPTS DE GESTION DES RISQUES... 5

ISO la norme de la sécurité de l'information

Assistance matérielle HP Retour atelier

Gestion des incidents

I partie : diagnostic et proposition de solutions

REFERENTIEL DU CQPM. TITRE DU CQPM : Electricien maintenancier process 1 OBJECTIF PROFESSIONNEL DU CQPM

INSTRUCTION GENERALE. relative à l Hygiène, à la Sécurité et à l Environnement. Version initiale-1 1/14

Annexe I b. Référentiel de certification

=========== FEROS Types. Téléprocédure de référence. Paiement =========== VERSION 1.0

Les modules SI5 et PPE2

CONTRAT DE MAINTENANCE

Montrer que la gestion des risques en sécurité de l information est liée au métier

Bibliographie. Gestion des risques

INF 1160 Les réseaux d entreprise

Atelier A 26. Les Risques liés aux Systèmes d Information : comment les approcher, en avoir une vision objective et challenger les DSI?

Sécurité informatique : règles et pratiques

Solutions informatiques (SI) Semestre 1

Stratégie de gestion des cyber-risques dans les entreprises : Quelles (ré)actions?

Malveillances Téléphoniques

Guide Pratique Règles pour les dispositifs connectés d un Système d Information de Santé

C ) Détail volets A, B, C, D et E. Hypothèses (facteurs externes au projet) Sources de vérification. Actions Objectifs Méthode, résultats

CHARTE WIFI ET INTERNET

Conditions Générales Location d équipements terminaux

Retour d expérience sur la mise en place d un Plan de Continuité des Activités PCA. James Linder

Conditions d usage du service. «MS Dynamics CRM On Demand» V1.4

Chap. I : Introduction à la sécurité informatique

Le Dossier Médical Personnel et la sécurité

Les clauses «sécurité» d'un contrat SaaS

Guide pratique spécifique pour la mise en place d un accès Wifi

CHARTE D UTILISATION DU SITE

Fiche de l'awt La sécurité informatique

Identification, évaluation et gestion des incidents

Réglement intérieur. Supélec Rézo

curité des TI : Comment accroître votre niveau de curité

PREAVIS DE LA MUNICIPALITE AU CONSEIL COMMUNAL

GUIDE INTERMINISTERIEL SUR LES SYSTEMES D'INFORMATION ET APPLICATIONS SENSIBLES

CHARTE D UTILISATION DE GÉOANJOU : PLATEFORME MUTUALISEE POUR LE PARTAGE

Quadra Entreprise On Demand

Conditions Générales d Utilisation de l Espace adhérent

RÈGLEMENT N O 9. Règlement sur l utilisation des actifs informatiques et de télécommunication. du Cégep de l'abitibi-témiscamingue

Systèmes et réseaux d information et de communication

Conditions Générales d Utilisation

Tech in One Machines et installations techniques. L assurance des objets techniques peut être si simple

Adresse 15 avenue du Hoggar Parc Victoria - Le Vancouver ZA de Courtaboeuf LES ULIS. Site web Téléphone

CONVENTIONS SPECIALES ANNULATION. 2) SINISTRE La réalisation de l événement susceptible de mettre en jeu la garantie de l assureur.

Référentiel de qualification de prestataires de services sécurisés d informatique en nuage (cloud computing) - référentiel d'exigences

L Agence nationale de la sécurité des systèmes d information

La politique de sécurité

Les autorités judiciaires françaises n ont pas mis en œuvre de politique nationale de prévention dans ce domaine.

Gestion des Incidents SSI

KIT PCA à l usage du chef d entreprise en cas de crise majeure

Conditions générales de ventes - Hébergement

ITIL Gestion de la continuité des services informatiques

ÉTUDE D IMPACT SUR LA VIE PRIVÉE (EIVP) PRIVACY IMPACT ASSESSMENT (PIA)

Conditions Générales de Vente SAUVEGARDE EXTERNALISÉE NANOXION - En vigueur au 27 / 07 /

LA SÉCURITÉ ÉCONOMIQUE, UN ENJEU-CLÉ POUR LES ENTREPRISES

CONDITIONS GENERALES DE VENTE DE LA LICENCE SERVEUR

FICHE TECHNIQUE : SANTE ET SECURTE AU TRAVAIL

CONDITIONS GENERALES DE VENTE PRODUITS & SERVICES SPGO HIGH TEC

Transcription:

RESULTATS DE L'ANALYSE DES RISQUES SSI Modèle de présentation pour les MOA Territoriales «ASIP Santé / Pôle Référentiels, Architecture et Sécurité» Identification du document Référence Outillage-Risques-SSI-V1.0.0 Date de création 19/11/09 Date de dernière mise à jour 08/07/10 Etat Rédaction Validé ASIP Santé / PRAS Version V 1.0.0 Classification Non sensible public Nombre de pages 11 Historique du document Version Date Auteur Commentaires V 1.0.0 08/07/10 ASIP Santé / PRAS Version pour publication

ASIP Santé Résultats de l'analyse des risques SSI Modèle de présentation 08/07/10 Sommaire 1 Objet du document... 3 2 Présentation des résultats de l analyse... 4 2.1 Méthodologie d analyse de risques utilisée... 4 2.2 Périmètre du système-cible de l analyse... 4 2.3 Expression des besoins de sécurité... 5 2.4 Inventaire des types de menace considérés... 6 2.5 Présentation des risques pesant sur le système... 7 2.5.1 Inventaire exhaustif des risques SSI... 7 2.5.2 Synthèse des risques résiduels... 7 3 Annexes... 8 3.1 Les critères de sécurité... 8 3.2 Les types de menace EBIOS (extrait de la méthode EBIOS)... 9 Classification : Non sensible public 2 / 11

ASIP Santé Résultats de l'analyse des risques SSI Modèle de présentation 08/07/10 1 Objet du document L ASIP Santé souhaite répondre à l un des enjeux majeurs identifiés pour la réussite des projets de partage de données de santé : «garantir la confiance des utilisateurs». Pour ce faire, il a été demandé à chaque maîtrise d ouvrage territoriale de fournir les résultats de l'analyse des risques SSI pour les systèmes d'information sous sa responsabilité. Le présent document a pour objet de proposer un modèle de restitution des résultats de cette analyse et de structurer leur présentation. Le choix de la méthode utilisée pour cette analyse des risques SSI reste de la libre initiative de la maîtrise d ouvrage territoriale. Pour autant, l ASIP Santé souhaitant recommander aux maîtrises d ouvrage l utilisation des outils méthodologiques gouvernementaux, la méthode EBIOS 1 publiée par l Agence Nationale de la Sécurité des Systèmes d Information (ANSSI 2 ) est préconisée. Les informations renseignées en italique dans la suite du document sont données à titre d exemple ou d illustration. 1 Expression des Besoins et Identification des Objectifs de Sécurité. 2 http://www.ssi.gouv.fr, rubrique Publication. Classification : Non sensible public 3 / 11

ASIP Santé Résultats de l'analyse des risques SSI Modèle de présentation 08/07/10 2 Présentation des résultats de l analyse 2.1 Méthodologie d analyse de risques utilisée Le tableau ci-après identifie la méthodologie utilisée pour l analyse de risques SSI du système. Nom de la méthode Editeur/Promoteur Référence documentaire EBIOS Agence Nationale de la Sécurité des Systèmes d Information http://www.ssi.gouv.fr rubrique Publication. 2.2 Périmètre du système-cible de l analyse Le tableau ci-après présente de manière synthétique le périmètre fonctionnel du système pris en compte dans le cadre de cette analyse de risques SSI. Périmètre du système d information considéré Description macroscopique des principales fonctions du système et inventaires des catégories d informations manipulées Enjeux et finalités Description des bénéfices attendus de la mise en œuvre du système-cible, en particulier en réponse aux attentes du promoteur et des utilisateurs. Classification : Non sensible public 4 / 11

ASIP Santé Résultats de l'analyse des risques SSI Modèle de présentation 08/07/10 2.3 Expression des besoins de sécurité Le tableau ci-dessous présente pour les fonctions et les informations les plus sensibles une évaluation de l impact d une perte totale ou partielle pour chacun des critères DICA 3. Evènement redouté DICA Perte de Disponibilité Perte d Intégrité Fonction / Informations Fonction de téléconsultation. Informations médicales contenues dans les dossiers patient. Impact Perte de chance pour les patients. Erreur de diagnostic. Perte de chance pour les patients. Perte de Confidentialité Fonction d accès aux dossiers des patients. Atteinte à la vie privée, non respect des obligations légales et réglementaires. Perte Auditabilité Fonction d archivage de l historique des accès aux dossiers des patients. Impossibilité de fournir des éléments de preuves lors d un contentieux. 3 Une proposition de définition pour les critères de sécurité DICA (Disponibilité, Intégrité, Confidentialité, Auditabilité) est fournie en annexe. Classification : Non sensible public 5 / 11

ASIP Santé Résultats de l'analyse des risques SSI Modèle de présentation 08/07/10 2.4 Inventaire des types de menace considérés Le tableau ci-après présente la liste exhaustive des types de menaces issue de la méthodologie utilisée 4, est détermine pour chaque type de menace s il a été retenu dans l analyse. Dans le cas où un type de menace n'a pas été retenu, ce choix doit être justifié. Libellé type de menace Description du type de menace Retenu Oui / Non Si Non retenu Eléments de justification 27 - GÉOLOCALISATION Localisation géographique d'une personne à son insu, à partir des informations contenues dans le système Non Pas d information manipulée par le système qui permettrait une géolocalisation. 42 - ATTEINTE À LA DISPONIBILITÉ DU PERSONNEL Indisponibilité du personnel d'exploitation ou d'administration ou impossibilité pour celui-ci d'accéder au système effectuer les actions nécessaires (exemples : pandémie, évacuation d'un site, mouvement social) Oui Sans objet 4 Le référentiel des types de menace EBIOS est fourni à titre d illustration en annexe. Classification : Non sensible public 6 / 11

ASIP Santé Résultats de l'analyse des risques SSI 08/07/10 2.5 Présentation des risques pesant sur le système 2.5.1 Inventaire exhaustif des risques SSI Le tableau présente les caractéristiques des risques SSI identifiés en appliquant la méthodologie d analyse mise en œuvre sur le périmètre du système-cible. Les impacts sur le système de la réalisation des risques sont exprimés suivants les critères traditionnels DICA. Libellé du risque Description détaillée du scénario du risque Impact D I C A Mesures de couverture du risque mise en œuvre Si risque partiellement couvert Eléments justifiant l acceptation du risque résiduel Arrêt du système par manque de personnel A la suite d une pandémie, le personnel d'exploitation ou d'administration est indisponible pour effectuer les actions nécessaires pour maintenir le système en fonctionnement. Type de menace prise en compte : 42 - ATTEINTE À LA DISPONIBILITÉ DU PERSONNEL X Sensibilisation du personnel aux mesures d hygiène. Fourniture de solution hydroalcoolique. Plan de continuité d activité prenant en compte la gestion des ressources humaines. Le risque ne peut être totalement couvert. Le risque résiduel est accepté par la MOA au regard des dispositions prises pour garantir la continuité des fonctions vitales du système. 2.5.2 Synthèse des risques résiduels Exposé synthétique des risques résiduels acceptés par la MOA. Ces risques résiduels pourront être présentés en les regroupant par critère D, I, C, A impacté. Classification : Non sensible public 7 / 11

ASIP Santé Résultats de l'analyse des risques SSI 08/07/10 3 Annexes 3.1 Les critères de sécurité Disponibilité, Intégrité, Confidentialité et Auditabilité Une proposition de définition des critères Disponibilité, Intégrité, Confidentialité et Auditabilité est présentée ci-dessous : Sigle Critère Définition D Disponibilité Propriété d'accessibilité en temps utile d'un élément essentiel, par les utilisateurs autorisés. Pour une fonction : garantie de la continuité du service offert ; respect des temps de réponse attendus. Pour une information : garantie de l'accès aux données dans les conditions prévues de délai ou d'horaire. I C A Intégrité Confidentialité Auditabilité Propriété d'exactitude et de complétude d'un élément essentiel. Pour une fonction : assurance de conformité de l'algorithme ou de la mise en œuvre des traitements, automatisés ou non, par rapport aux spécifications ; garantie de production de résultats corrects et complets par la fonction (sous réserve d'informations correctes et complètes en entrée). Pour une information : garantie d'exactitude et d'exhaustivité des données vis-à-vis d'erreurs de manipulation, de phénomènes accidentels ou d'usages non autorisés ; non-altération de l'information. Propriété d'un élément essentiel de ne pouvoir être connu que des utilisateurs autorisés. Pour une fonction : protection des algorithmes décrivant les règles de gestion et les résultats dont la divulgation à un tiers non autorisé porterait préjudice ; absence de divulgation d'un traitement ou mécanisme à caractère confidentiel. Pour une information : protection des données dont la connaissance par des tiers non autorisés porterait préjudice ; absence de divulgation de données à caractère confidentiel. Propriété d'un élément essentiel permettant de retrouver, avec une confiance suffisante, les circonstances dans lesquelles cet élément évolue. Pour une fonction : capacité à déterminer la personne ou le processus automatisé à l'origine de la demande de traitement et à déterminer les autres circonstances utiles associées à cette demande. Pour une information : capacité à déterminer la personne ou le processus automatisé à l'origine de l'accès à l'information et à déterminer les autres circonstances utiles associées à cet accès. Classification : Non sensible public 8 / 11

ASIP Santé Résultats de l'analyse des risques SSI 08/07/10 3.2 Les types de menace EBIOS (extrait de la méthode EBIOS) Type de menace référentiel EBIOS 01- INCENDIE Destruction ou altération de ressources techniques, de supports de stockage, de documents ou de locaux du système, liée à un incendie dans ou à proximité des locaux du système 02- DÉGÂTS DES EAUX Destruction ou altération de ressources techniques, de supports de stockage, de documents ou de locaux du système, liée à des infiltrations ou des écoulements d'eau dans ou à proximité des locaux du système 03 POLLUTION Propagation, dans ou proximité du site d'une plate-forme, d'une pollution chimique, nucléaire ou biologique, de fumées ou de poussières conduisant à endommager ou à rendre inaccessible une plate-forme du système 04 - SINISTRE MAJEUR Dommages physiques occasionnés à une plate-forme du système ou à son environnement, par un phénomène majeur naturel, un accident industriel ou un acte volontaire survenu à proximité du site de la plate-forme 05 - DESTRUCTION DE MATÉRIELS OU DE SUPPORTS Destruction ou altération d'un équipement ou d'un support de stockage d'une plate-forme du système, due à un accident ou une négligence ou encore à un acte délibéré, par une personne ayant accès à cet élément 06 - PHÉNOMÈNE CLIMATIQUE Perturbation du fonctionnement d'une plate-forme ou altération des éléments stockés en raison de conditions climatiques dépassant la limite des caractéristiques de fonctionnement ou de stockage des ressources Techniques. Le site est placé dans une zone géographiquement sensible à des conditions climatiques extrêmes 07 - PHÉNOMÈNE SISMIQUE Dommages physiques occasionnés à une plate-forme du système ou à son environnement, par un phénomène sismique 08 - PHÉNOMÈNE VOLCANIQUE Dommages physiques occasionnés à une plate-forme du système ou à son environnement, par un phénomène volcanique 09 - PHÉNOMÈNE MÉTÉOROLOGIQUE Dommages physiques d'une plate-forme du système ou de son environnement ou perturbations de fonctionnement, occasionnées par un phénomène météorologique d'ampleur inhabituelle (foudre, pluie, neige, vent) 10 CRUE Inondation des locaux d'une plate-forme, de ceux de stockage de supports, de documents ou de d'équipements, de ceux d'exploitation, de ceux d'alimentation électrique ou de télécommunication, ou inondation à proximité empêchant l'accès physique du personnel d'exploitation 11 - DÉFAILLANCE DE LA CLIMATISATION Arrêt ou dysfonctionnement de la climatisation dans les locaux d'une plate-forme, de ceux de stockage de supports, de documents ou de d'équipements, suite à une panne ou un acte volontaire 12 - PERTE D'ALIMENTATION ÉNERGÉTIQUE Surtensions, perturbations ou arrêt de l'alimentation électrique d'une plate-forme du système 13 - PERTE DES MOYENS DE TÉLÉCOMMUNICATION Incident rendant indisponibles les moyens de télécommunication nécessaires au fonctionnement du système ou à son utilisation 14 - RAYONNEMENTS ÉLECTROMAGNÉTIQUES Perturbation du fonctionnement d'équipements d'une plate-forme du système ou des communications, en raison d'incompatibilités électromagnétiques entre équipements ou à cause d'une source de rayonnement à proximité Classification : Non sensible public 9 / 11

ASIP Santé Résultats de l'analyse des risques SSI 08/07/10 Type de menace référentiel EBIOS 15 - RAYONNEMENTS THERMIQUES Effet thermique provoqué par un sinistre ou des conditions météorologiques exceptionnelles (incendie de forêt), Engin provoquant un effet thermique entrainant un dysfonctionnement ou une destruction des matériels (déchets nucléaires, explosion thermo nucléaire) 16 - IMPULSIONS ÉLECTROMAGNÉTIQUES Destruction ou altération des équipements d'une plateforme du système ou de ses servitudes (alimentation électrique, climatisation, télécommunications), à la suite d'une impulsion électromagnétique d'origine nucléaire ou industrielle à proximité du site 17 - INTERCEPTION DE SIGNAUX PARASITES COMPROMETTANTS Capture et exploitation de signaux conduits ou émis par les équipements, signaux pouvant être porteurs d'informations confidentielles 18 - ESPIONNAGE A DISTANCE Observation des activités d'exploitation ou d'administration du système par des personnes non autorisées (visiteurs, caméras cachées, observateurs par des fenêtres) 19 - ÉCOUTE PASSIVE Au niveau des réseaux ou des supports de communication utilisés, interception des échanges entre un utilisateur et le système, entre deux plates-formes du système, entre deux équipements d'une même plate-forme 20 - VOL DE SUPPORTS OU DE DOCUMENTS Vol de documents du système, vol ou substitution d'un support de stockage d'informations dans un site du système, dans un site de stockage (sauvegarde par exemple) lors d'un transport de support; ou lors de la restitution partielle ou totale du dossier sur support papier ou support informatique 21 - VOL DE MATÉRIELS Vol ou substitution d'équipements dans les locaux d'une plate-forme, ou dans ceux de stockage, ou à la faveur de la maintenance ou de transport de ces équipements, avec capture éventuelle de données résiduelles 22 RECUPERATION DE SUPPORTS RECYCLES OU MIS AU REBUT Exploitation de données résiduelles sur les supports de stockage ou les équipements retirés du système avant réemploi par ailleurs ou mise au rebut 23 DIVULGATION Personne interne à l'organisme qui, par négligence diffuse de l'information à d'autres personnes de l'organisme n'ayant pas le besoin d'en connaître, ou à l'extérieur. Personne diffusant consciemment de l'information à d'autres personnes de l'organisme n'ayant pas le besoin d'en connaître, ou à l'extérieur. 24 - INFORMATIONS SANS GARANTIE DE L'ORIGINE Réception et exploitation dans le système d'information de l'organisme de données externes ou de matériels non adaptés provenant de sources extérieures. Personne transmettant des informations fausses, destinées à être intégrées au système d'information, pour désinformer le destinataire et porter atteinte à la fiabilité du système ou la validité des informations. 25 - PIÉGEAGE DU MATÉRIEL Implantation de fonctionnalités illicites dans un équipement ou une plate-forme du système, en vue de provoquer des dysfonctionnements ou des détournements d'information 26 - PIÉGEAGE DU LOGICIEL Implantation et activation de fonctions illicites (cheval de Troie, bombe logique, virus, keylogger...) dans les logiciels du système ou propagation de telles fonctions à partir des dispositifs d'accès des utilisateurs ou des postes de travail des autres accédants 27 - GÉOLOCALISATION Localisation géographique d'une personne à son insu, à partir des informations contenues dans le système 28 - PANNE MATÉRIELLE Panne d'un matériel du système, entraînant la dégradation de service ou l'indisponibilité du système 29 - DYSFONCTIONNEMENT DU MATÉRIEL Dysfonctionnement d'un matériel du système, entraînant la dégradation de service ou l'indisponibilité du système Classification : Non sensible public 10 / 11

ASIP Santé Résultats de l'analyse des risques SSI 08/07/10 Type de menace référentiel EBIOS 30 - SATURATION DU SYSTÈME INFORMATIQUE Saturation des équipements du système liée à un défaut de capacité ou de conception ou à une sollicitation anormale du système (attaque de type déni de service par exemple) 31 - DYSFONCTIONNEMENT LOGICIEL Fonctionnement non conforme du logiciel du système, résultant d'un défaut de réalisation, d'installation, de maintenance ou d'exploitation 32 - ATTEINTE À LA MAINTENABILITÉ DU SYSTÈME D'INFORMATION Impossibilité ou difficulté à assurer le maintien en condition opérationnelle du système, du fait de défauts de conception du système, d'insuffisances du dispositif de soutien, de défaillances de fournisseurs, d'obsolescence de ressources techniques 33 - UTILISATION ILLICITE DES MATÉRIELS Accès à un équipement du système par une personne non autorisée et utilisation de cet équipement pour accéder aux fonctions ou aux données du système 34 - COPIE FRAUDULEUSE DE LOGICIELS Copie de logiciels du système en vue de leur utilisation par ailleurs 35 - UTILISATION DE LOGICIELS CONTREFAITS OU COPIÉS Mise en oeuvre dans le système de logiciels dont les droits d'utilisation ou d'exploitation sont insuffisants 36 - ALTÉRATION DES DONNÉES Modification/altération des données échangées entre les équipements ou les plates-formes du système ou entre le système et les dispositifs d'accès des utilisateurs (menace de type Man in the middle), ou modification/altération des données sur les supports de stockage (voire substitution de support) ou dans les équipements du système 37 - TRAITEMENT ILLICITE DES DONNÉES Utilisation des données de santé ou des données personnelles à d'autres fins que celles autorisées par la législation ou un règlement 38 - ERREUR D'UTILISATION Erreur d'exploitation ou d'intervention, erreur d'utilisation. 39 - ABUS DE DROIT Utilisation ou exploitation du système par une personne autorisée, dans but malintentionné (exemples : pour un administrateur ou un exploitant : accord de droits d'administration ou d'exploitation à des personnes non habilitées, rapprochement de données ; pour un PS : accès selon un mode techniquement utilisable mais en dehors du contexte légitime d'emploi) 40 - USURPATION DE DROIT Usurpation de l'identité ou des droits d'accès d'une personne autorisée, par une personne malintentionnée 41 RENIEMENT D'ACTIONS Contestation, par une personne autorisée, des actions effectuées sur le système ou ses informations 42 - ATTEINTE À LA DISPONIBILITÉ DU PERSONNEL Indisponibilité du personnel d'exploitation ou d'administration ou impossibilité pour celui-ci d'accéder au système effectuer les actions nécessaires (exemples : pandémie, évacuation d'un site, mouvement social) Classification : Non sensible public 11 / 11

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back