Les articles WELIOM

LA MÉTHODE EBIOS-RM ADAPTÉE AUX ENJEUX DE LA SANTÉ

La règle n°1 de la directive NIS applicable aux OSE précise : « L’opérateur de services essentiels effectue et tient à jour, dans le cadre de l’homologation de sécurité prévue à la règle 3, une analyse de risque de ses systèmes d’information essentiels (SIE) ». Dans le but d’accompagner ses clients dans ces analyses des risques, WELIOM s’est doté de l’outil Agile Risk Manager de la société ALL4TEC, solution leader sur la méthode EBIOS RM, premier outil labellisé par l’ANSSI en 2019, et a consacré une année à l’adapter aux établissements de santé.

10 SI ont été prédéfinis : SI Technique, SAMU / SMUR, Imagerie, Biologie, Pharmacie, Urgences, Anesthésie / Réanimation, Blocs / Stérilisation, DPI, Radiothérapie / Cancérologie. Les valeurs métiers (données de santé, macro-processus) ont été définies et paramétrées, ainsi que la liste des actifs associés (actifs techniques, progiciels métiers spécifiques, matériel biomédical, IoT…), puis celle des parties prenantes, et ce pour chacun des 10 SI.

Dans le cadre de l’atelier 1 de la méthode EBIOS RM, plusieurs référentiels ont été intégrés : les règles de la norme ISO 27002 (associées à l’annexe A de la norme ISO 27001), les 42 mesures du Guide d’hygiène informatique de l’ANSSI, les 23 règles détaillées de la directive NIS applicables aux SIE ainsi qu’un référentiel de règles générales produit par WELIOM, pour les structures les plus matures ou certifiées. Nos équipes prévoient d’y intégrer en 2022 les règles pertinentes du futur référentiel MaturiN-H.

Dans le cadre de l’atelier 2, les échelles de gravité et de conséquences issues de la PGSSI-S de l’ANS ont été intégrées, ainsi que les sources de risques. Dans le cadre de l’atelier 3, plusieurs scénarios stratégiques ont été élaborés, applicables pour tout établissement de santé, en se référant à nos expériences et aux rapports du CERT Santé « Observatoire des signalements d’incidents de sécurité pour le secteur de la santé ». On trouvera par exemple : le vol de données de santé à caractère personnel, l’attaque par cryptovirus, l’usage du SIH à des fins d’activisme, le déni de service d’un processus essentiel…

Avec l’outil Agile Risk Manager configuré pour la santé, WELIOM est en mesure d’accompagner les établissements dans la réalisation d’une analyse de risques en 4 jours, en concentrant les efforts sur le plan de traitement des risques et sur l’appréciation des mesures de sécurité, puisque tout l’environnement des référentiels est déjà prêt !

Vous souhaitez des explications complémentaires, le détail de nos prestations, une démonstration ? N’hésitez pas à contacter nos experts WELIOM sur : contact@weliom.fr ou au 02 51 80 05 33

les actualités weliom récentes

lire
LA SECURITÉ DE L’INFORMATION ET LA CYBERSECURITÉ EN SANTÉ : UN ENJEU MAJEUR POUR LES ACTEURS DU SECTEUR12/03/2024
La santé est un domaine vaste, sensible et stratégique, qui nécessite une protection optimale des données et des systèmes d'information. Les risques liés aux [...]
Publications

lire
ISO 27 001 : 2017 vs ISO 27 001 : 202204/03/2024
La norme internationale qui définit les exigences pour la mise en place d'un Système de Management de la Sécurité de l’Information (SMSI) a fait l’objet d’une mise à [...]
Publications

lire
CARE : ENJEUX D’UNE CARTOGRAPHIE SI SELON LE PLAN BLANC DU NUMÉRIQUE06/02/2024
La cartographie Systèmes d’Information est un outil indispensable pour piloter et sécuriser le SI. Elle offre une vision globale et claire du SI. Par Séverine [...]
Publications