Accueil / Les articles WELIOM / LA MÉTHODE EBIOS-RM ADAPTÉE AUX ENJEUX DE LA SANTÉ

LA MÉTHODE EBIOS-RM ADAPTÉE AUX ENJEUX DE LA SANTÉ

La règle n°1 de la directive NIS applicable aux OSE précise : « L’opérateur de services essentiels effectue et tient à jour, dans le cadre de l’homologation de sécurité prévue à la règle 3, une analyse de risque de ses systèmes d’information essentiels (SIE) ». Dans le but d’accompagner ses clients dans ces analyses des risques, WELIOM s’est doté de l’outil Agile Risk Manager de la société ALL4TEC, solution leader sur la méthode EBIOS RM, premier outil labellisé par l’ANSSI en 2019, et a consacré une année à l’adapter aux établissements de santé.

10 SI ont été prédéfinis : SI Technique, SAMU / SMUR, Imagerie, Biologie, Pharmacie, Urgences, Anesthésie / Réanimation, Blocs / Stérilisation, DPI, Radiothérapie / Cancérologie. Les valeurs métiers (données de santé, macro-processus) ont été définies et paramétrées, ainsi que la liste des actifs associés (actifs techniques, progiciels métiers spécifiques, matériel biomédical, IoT…), puis celle des parties prenantes, et ce pour chacun des 10 SI.

Dans le cadre de l’atelier 1 de la méthode EBIOS RM, plusieurs référentiels ont été intégrés : les règles de la norme ISO 27002 (associées à l’annexe A de la norme ISO 27001), les 42 mesures du Guide d’hygiène informatique de l’ANSSI, les 23 règles détaillées de la directive NIS applicables aux SIE ainsi qu’un référentiel de règles générales produit par WELIOM, pour les structures les plus matures ou certifiées. Nos équipes prévoient d’y intégrer en 2022 les règles pertinentes du futur référentiel MaturiN-H.

Dans le cadre de l’atelier 2, les échelles de gravité et de conséquences issues de la PGSSI-S de l’ANS ont été intégrées, ainsi que les sources de risques. Dans le cadre de l’atelier 3, plusieurs scénarios stratégiques ont été élaborés, applicables pour tout établissement de santé, en se référant à nos expériences et aux rapports du CERT Santé « Observatoire des signalements d’incidents de sécurité pour le secteur de la santé ». On trouvera par exemple : le vol de données de santé à caractère personnel, l’attaque par cryptovirus, l’usage du SIH à des fins d’activisme, le déni de service d’un processus essentiel…

Avec l’outil Agile Risk Manager configuré pour la santé, WELIOM est en mesure d’accompagner les établissements dans la réalisation d’une analyse de risques en 4 jours, en concentrant les efforts sur le plan de traitement des risques et sur l’appréciation des mesures de sécurité, puisque tout l’environnement des référentiels est déjà prêt !

Vous souhaitez des explications complémentaires, le détail de nos prestations, une démonstration ? N’hésitez pas à contacter nos experts WELIOM sur : contact@weliom.fr ou au 02 51 80 05 33