11 application de la methode ebios a un projet ssi du secteur sanitaire p tourron arspaca
TRANSCRIPT
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation
Geacuterer les risques [EBIOS]
[ARS 2011 ndash risques en environnement santeacute]
[Philippe Tourron-RSSI AP-HM]
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation
EBIOS
Meacutethode de gestion
des risques
EBIOS 2010 le GPS
SSIExpression des Besoins et Identification des Objectifs de Seacutecuriteacute Marque
deacuteposeacutee par le SGDN
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
2Sommaire
bull Convergence vers la gestion des risques
bull Ebios adapteacute agrave tous les terrains
bull Ebios 2010 et lrsquoISO 27005
bull Les composants du risque
bull Les productions
bull Synthegravese
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
3
Convergence des besoins SSI santeacute
vers lrsquoanalyse et la gestion des risques
bull PMSSI deacuteclinaison par eacutetablissement en PSSI une organisation et des mesures de seacutecuriteacute pour traiter les risques
bull Heacutebergement des donneacutees de santeacute PSSI et analyse de risque du peacuterimegravetre drsquoheacutebergement
bull Ouverture du SI santeacute (DMP hellip) eacutevolutions technologiques (virtualisation deacutemateacuterialisation hellip) maicirctriser les risques
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
4
EBIOS Les apports laquo tout-terrain raquobull laquo Vendre raquo la gestion des risques aux directions meacutetiers
ndash La seacutecuriteacute est adapteacutee aux meacutetiers et non lrsquoinverse
ndash Les choix sont faciliteacutes par une cartographie syntheacutetique des risques
ndash Les mesures de seacutecuriteacute sont justifieacutees et planifieacutees pour srsquoadapter au budget
Un seul outil pour tous les usages
ndash Un facilitateur pour les eacutechanges (du deacutecideur au technicien)
ndash La possibiliteacute drsquoaborder toute les probleacutematiques SSI de maniegravere coheacuterente
ndash La compatibiliteacute avec les normes (ISO 27001 ISO 27002 ISO 27005hellip)
Gagner du temps sur la gestion des risques pour le deacutepenser ailleurs
ndash Affiner vos eacutetudes lagrave ougrave crsquoest neacutecessaire
ndash Inteacutegrer rapidement les eacutevolutions de vos systegravemes drsquoinformation
DSIO - Preacutesentation [instance] du [date]
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
EBIOS
5 modules en synthegravese1 Eacutetude du
contexte
Pourquoi et comment va-t-on geacuterer les
risques
Quel est le sujet de lrsquoeacutetude
2 Eacutetude des
eacuteveacutenements
redouteacutes
Quels sont les eacuteveacutenements craints par les
meacutetiers
Quels seraient les plus graves
3 Eacutetude des
sceacutenarios de
menaces
Quels sont tous les sceacutenarios possibles
Quels sont les plus vraisemblables
4 Eacutetude des
risques
Quelle est la cartographie des risques
Comment choisit-on de les traiter
5 Eacutetude des
mesures de
seacutecuriteacute
Quelles mesures devrait-on appliquer
Les risques reacutesiduels sont-ils acceptables
Eacutetude du contexte
Eacutetude des eacuteveacutenements
redouteacutes
Eacutetude des sceacutenarios de menaces
Eacutetude des risques
Eacutetude des mesures de seacutecuriteacute
DSIO - Preacutesentation du 07 juin 2011
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
6
6
EBIOS - 2010
bull Des bases de connaissances avec des niveaux drsquoinclusion
ndash Notion de de processus (biens essentiels) systegravemes (bienssupports)
ndash Rend visible la notion de laquo macro-biens raquo supports pourreacutealiser des analyses globales
bull Approche eacuteveacutenements redouteacutes
ndash Facilite acceacutelegravere lrsquoexpression des besoins des meacutetiers et laformulation des risques
ndash Facilite une approche laquo macroscopique raquo
bull Approche sceacutenarios mise en scegravene
bull Liens et inteacutegration ISO 2700x
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
7
Surveillance et revue
La gestion des risques SSI
ISO 27005 appliqueacutee dans EBIOSCommunication
Appreacuteciation des risques
Traitement des risques
Acceptation des risques
Eacutetablissement du contexte
Eacutetude du contexte
Eacutetude des eacuteveacutenements redouteacutes
Eacutetude des sceacutenarios de menaces
Eacutetude des risques
Eacutetude des mesures de seacutecuriteacute
Source
Bureau
assistance et
conseil de
lrsquoANSSI
httpwwws
sigouvfr
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
8
8
Les composants du risque
EBIOS 2010 le GPS SSI
Aide agrave la navigation dans la construction du
risque
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation
9
Eveacutenements
redouteacutes
Communs Sceacutenarios de
menaces
Sources de menaces
Biens essentiels Biens supports
Critegraveres (DIC hellip)
Besoins de seacutecuriteacute Menaces
Impacts Vulneacuterabiliteacutes
GRAVITE
VRAISEMBLANCE
Supportent
LA CARTOGRAPHIE DES COMPOSANTS DU
RISQUE selon EBIOS 2010
Niveau de Risque brut = f(GraviteacuteVraisemblance)
Niveau de Risque net = f(GraviteacuteVraisemblance) ndash g(Mesures existantes)
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
10
10
Exemples
Les eacuteveacutenements redouteacutes points drsquoentreacutee pour
reacuteduire le champs de composition des risques Un cahier des charges pour la MOE
Interviews meacutetier
bull Que redoutez vous dans votre activiteacute
bull Comment une deacutefaillance du SI peut elle
conduire agrave cette situation redouteacutee
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
11
Risque 1 La perte ou lrsquoindisponibiliteacute prolongeacutee des donneacutees de recherche meacutedicale (patrimoine de recherche composeacute de donneacutees difficilement reproductibles (videacuteos photos documents numeacuteriques) par exemple des cas cliniques rares et servant agrave reacutealiser des recherches agrave posteacuteriori) peut empecirccher de reacutepondre agrave des appels drsquooffre pour des contrats de recherche Lrsquoimpact peut ecirctre financier et drsquoimagerenommeacutee
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
12
Bien essentiel Patrimoine drsquoexpeacuterimentation
Besoin de seacutecuriteacute Non perte ou indisponibiliteacute qq jours maximum
Impact Perte du patrimoine arrecirct de lrsquoactiviteacute perte financiegravere
Image de marque
Source de menace Humaine Interne accidentelle ou evt interne Humaine
externe volontaire (pour source de menace avec inteacuterecirct
pour les mateacuteriels)
Critegravere de seacutecuriteacute Disponibiliteacute
Bien support Ensemble du SYStegraveme supportant le stockage incluant
exploitant de la chaicircne informatique [PER] serveurs baies
de stockage DVD [MAT]hellip)
Menace Coupure eacutelectrique (avec dommages) panne serveur[MAT-
DEP] deacuteteacuterioration [MAT-DET] deacutepart ou erreurs de
lrsquoexploitant vol [MAT-PTE]
Vulneacuterabiliteacute Par deacutefaut toutes celle de ce type de [SYS]tegravemedispo
Composants du risque
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
13
Risque 2 Une diffusion de la maladie laquo sensible raquo
drsquoun patient peut entrainer une condamnation
suite agrave plainte et atteindre agrave lrsquoimage de
lrsquoeacutetablissement voire entrainer lrsquoarrecirct de lrsquoactiviteacute
de suivi meacutedical associeacute
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
14
14
Bien essentiel Donneacutees patient confieacutees sur la base du volontariat
Besoin de seacutecuriteacute confidentialiteacute
Impact Arrecirct de lrsquoactiviteacute (perte de confiance des patients) plainte
des patients (condamnation) perte drsquoImage hellip
Source de menace humaine interne
Critegravere de seacutecuriteacute Confidentialiteacute
Bien support Application xxxx [LOG] (et ensemble du SYStegraveme le
supportant administrateurs meacutetier exploitant de la chaicircne
informatique [PERS] serveurs stockage reacuteseauhellip
[MAT][RSX])
Menace Menaces sur la confidentialiteacute usurpation de droits manque
protection du logiciel [LOG-] absence de sensibilisation des
usagers [PER-USGDET] hellip
Vulneacuterabiliteacute Par deacutefaut toutes celles de ce type de SYStegraveme associeacutees
aux menaces pour le critegravere de confidentialiteacute
Composants du risque
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
15
15
Les productions
Tableau des eacuteveacutenements
redouteacutes
Tableau des sceacutenarios de menaces (Bdc Ebios
menacesvulneacuterabiliteacutes)
Tableau des risques
Choix de traitement
Mesures (Bdc Ebios
mesures ISO 27002 RGS)
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
16
Tableau des risques (exemple)Eacuteveacutenement
redouteacute
Besoin de
seacutecuriteacute
Impacts Sceacutenario de
menaces
et
menaces
Sources de
menaces
Vraisemblance Graviteacute
ER1 Compromission
de piegraveces jointes
4 Priveacute (variable) Impacts
1048633 Perte dun
marcheacute
1048633 Pertes
financiegraveres
SM6
Compromis
sion par
une
menace sur
un employeacute
1048633 Deacutepart dune
personne
1048633 Espionnage
dune
personne agrave
distance
1048633 Influence sur
une
personne
Sources de
menaces
1048633 Concurrent
avide
1048633 Employeacute peu
seacuterieux
3 Importante 3 Forte
Extrait eacutetude de cas ANSSI compromission de mel
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
17
17
Synthegravese drsquoun processus EBIOS - Santeacute
bull Inteacutegrer les eacuteleacutements de contexte (PMSSI peacuterimegravetre biens hellip)
bull Sceacutenariser (eacuteveacutenements redouteacutes menaces risques)
bull Creacuteer une base de sceacutenarios de risques du peacuterimegravetre santeacute constitueacutee
progressivement (risques geacuteneacuteriques eacutevaluations speacutecifiques)
bull ChoisirValider le traitement des sceacutenarios de risques
bull Proposer des mesures de traitement (ISO 27002 RGS hellip)
bull Arriver aux objectifs meacutetiers (mesurer)
bull Organiser le SMSI associeacute (ISO 27001) reacuteseau de correspondants
SSI et CIL comiteacutes seacutecuriteacute plan drsquoaudits tableau de bord seacutecuriteacute
(opeacuterationnel pilotage et strateacutegique)
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation
MERCI DE VOTRE ATTENTION
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation
EBIOS
Meacutethode de gestion
des risques
EBIOS 2010 le GPS
SSIExpression des Besoins et Identification des Objectifs de Seacutecuriteacute Marque
deacuteposeacutee par le SGDN
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
2Sommaire
bull Convergence vers la gestion des risques
bull Ebios adapteacute agrave tous les terrains
bull Ebios 2010 et lrsquoISO 27005
bull Les composants du risque
bull Les productions
bull Synthegravese
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
3
Convergence des besoins SSI santeacute
vers lrsquoanalyse et la gestion des risques
bull PMSSI deacuteclinaison par eacutetablissement en PSSI une organisation et des mesures de seacutecuriteacute pour traiter les risques
bull Heacutebergement des donneacutees de santeacute PSSI et analyse de risque du peacuterimegravetre drsquoheacutebergement
bull Ouverture du SI santeacute (DMP hellip) eacutevolutions technologiques (virtualisation deacutemateacuterialisation hellip) maicirctriser les risques
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
4
EBIOS Les apports laquo tout-terrain raquobull laquo Vendre raquo la gestion des risques aux directions meacutetiers
ndash La seacutecuriteacute est adapteacutee aux meacutetiers et non lrsquoinverse
ndash Les choix sont faciliteacutes par une cartographie syntheacutetique des risques
ndash Les mesures de seacutecuriteacute sont justifieacutees et planifieacutees pour srsquoadapter au budget
Un seul outil pour tous les usages
ndash Un facilitateur pour les eacutechanges (du deacutecideur au technicien)
ndash La possibiliteacute drsquoaborder toute les probleacutematiques SSI de maniegravere coheacuterente
ndash La compatibiliteacute avec les normes (ISO 27001 ISO 27002 ISO 27005hellip)
Gagner du temps sur la gestion des risques pour le deacutepenser ailleurs
ndash Affiner vos eacutetudes lagrave ougrave crsquoest neacutecessaire
ndash Inteacutegrer rapidement les eacutevolutions de vos systegravemes drsquoinformation
DSIO - Preacutesentation [instance] du [date]
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
EBIOS
5 modules en synthegravese1 Eacutetude du
contexte
Pourquoi et comment va-t-on geacuterer les
risques
Quel est le sujet de lrsquoeacutetude
2 Eacutetude des
eacuteveacutenements
redouteacutes
Quels sont les eacuteveacutenements craints par les
meacutetiers
Quels seraient les plus graves
3 Eacutetude des
sceacutenarios de
menaces
Quels sont tous les sceacutenarios possibles
Quels sont les plus vraisemblables
4 Eacutetude des
risques
Quelle est la cartographie des risques
Comment choisit-on de les traiter
5 Eacutetude des
mesures de
seacutecuriteacute
Quelles mesures devrait-on appliquer
Les risques reacutesiduels sont-ils acceptables
Eacutetude du contexte
Eacutetude des eacuteveacutenements
redouteacutes
Eacutetude des sceacutenarios de menaces
Eacutetude des risques
Eacutetude des mesures de seacutecuriteacute
DSIO - Preacutesentation du 07 juin 2011
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
6
6
EBIOS - 2010
bull Des bases de connaissances avec des niveaux drsquoinclusion
ndash Notion de de processus (biens essentiels) systegravemes (bienssupports)
ndash Rend visible la notion de laquo macro-biens raquo supports pourreacutealiser des analyses globales
bull Approche eacuteveacutenements redouteacutes
ndash Facilite acceacutelegravere lrsquoexpression des besoins des meacutetiers et laformulation des risques
ndash Facilite une approche laquo macroscopique raquo
bull Approche sceacutenarios mise en scegravene
bull Liens et inteacutegration ISO 2700x
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
7
Surveillance et revue
La gestion des risques SSI
ISO 27005 appliqueacutee dans EBIOSCommunication
Appreacuteciation des risques
Traitement des risques
Acceptation des risques
Eacutetablissement du contexte
Eacutetude du contexte
Eacutetude des eacuteveacutenements redouteacutes
Eacutetude des sceacutenarios de menaces
Eacutetude des risques
Eacutetude des mesures de seacutecuriteacute
Source
Bureau
assistance et
conseil de
lrsquoANSSI
httpwwws
sigouvfr
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
8
8
Les composants du risque
EBIOS 2010 le GPS SSI
Aide agrave la navigation dans la construction du
risque
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation
9
Eveacutenements
redouteacutes
Communs Sceacutenarios de
menaces
Sources de menaces
Biens essentiels Biens supports
Critegraveres (DIC hellip)
Besoins de seacutecuriteacute Menaces
Impacts Vulneacuterabiliteacutes
GRAVITE
VRAISEMBLANCE
Supportent
LA CARTOGRAPHIE DES COMPOSANTS DU
RISQUE selon EBIOS 2010
Niveau de Risque brut = f(GraviteacuteVraisemblance)
Niveau de Risque net = f(GraviteacuteVraisemblance) ndash g(Mesures existantes)
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
10
10
Exemples
Les eacuteveacutenements redouteacutes points drsquoentreacutee pour
reacuteduire le champs de composition des risques Un cahier des charges pour la MOE
Interviews meacutetier
bull Que redoutez vous dans votre activiteacute
bull Comment une deacutefaillance du SI peut elle
conduire agrave cette situation redouteacutee
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
11
Risque 1 La perte ou lrsquoindisponibiliteacute prolongeacutee des donneacutees de recherche meacutedicale (patrimoine de recherche composeacute de donneacutees difficilement reproductibles (videacuteos photos documents numeacuteriques) par exemple des cas cliniques rares et servant agrave reacutealiser des recherches agrave posteacuteriori) peut empecirccher de reacutepondre agrave des appels drsquooffre pour des contrats de recherche Lrsquoimpact peut ecirctre financier et drsquoimagerenommeacutee
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
12
Bien essentiel Patrimoine drsquoexpeacuterimentation
Besoin de seacutecuriteacute Non perte ou indisponibiliteacute qq jours maximum
Impact Perte du patrimoine arrecirct de lrsquoactiviteacute perte financiegravere
Image de marque
Source de menace Humaine Interne accidentelle ou evt interne Humaine
externe volontaire (pour source de menace avec inteacuterecirct
pour les mateacuteriels)
Critegravere de seacutecuriteacute Disponibiliteacute
Bien support Ensemble du SYStegraveme supportant le stockage incluant
exploitant de la chaicircne informatique [PER] serveurs baies
de stockage DVD [MAT]hellip)
Menace Coupure eacutelectrique (avec dommages) panne serveur[MAT-
DEP] deacuteteacuterioration [MAT-DET] deacutepart ou erreurs de
lrsquoexploitant vol [MAT-PTE]
Vulneacuterabiliteacute Par deacutefaut toutes celle de ce type de [SYS]tegravemedispo
Composants du risque
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
13
Risque 2 Une diffusion de la maladie laquo sensible raquo
drsquoun patient peut entrainer une condamnation
suite agrave plainte et atteindre agrave lrsquoimage de
lrsquoeacutetablissement voire entrainer lrsquoarrecirct de lrsquoactiviteacute
de suivi meacutedical associeacute
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
14
14
Bien essentiel Donneacutees patient confieacutees sur la base du volontariat
Besoin de seacutecuriteacute confidentialiteacute
Impact Arrecirct de lrsquoactiviteacute (perte de confiance des patients) plainte
des patients (condamnation) perte drsquoImage hellip
Source de menace humaine interne
Critegravere de seacutecuriteacute Confidentialiteacute
Bien support Application xxxx [LOG] (et ensemble du SYStegraveme le
supportant administrateurs meacutetier exploitant de la chaicircne
informatique [PERS] serveurs stockage reacuteseauhellip
[MAT][RSX])
Menace Menaces sur la confidentialiteacute usurpation de droits manque
protection du logiciel [LOG-] absence de sensibilisation des
usagers [PER-USGDET] hellip
Vulneacuterabiliteacute Par deacutefaut toutes celles de ce type de SYStegraveme associeacutees
aux menaces pour le critegravere de confidentialiteacute
Composants du risque
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
15
15
Les productions
Tableau des eacuteveacutenements
redouteacutes
Tableau des sceacutenarios de menaces (Bdc Ebios
menacesvulneacuterabiliteacutes)
Tableau des risques
Choix de traitement
Mesures (Bdc Ebios
mesures ISO 27002 RGS)
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
16
Tableau des risques (exemple)Eacuteveacutenement
redouteacute
Besoin de
seacutecuriteacute
Impacts Sceacutenario de
menaces
et
menaces
Sources de
menaces
Vraisemblance Graviteacute
ER1 Compromission
de piegraveces jointes
4 Priveacute (variable) Impacts
1048633 Perte dun
marcheacute
1048633 Pertes
financiegraveres
SM6
Compromis
sion par
une
menace sur
un employeacute
1048633 Deacutepart dune
personne
1048633 Espionnage
dune
personne agrave
distance
1048633 Influence sur
une
personne
Sources de
menaces
1048633 Concurrent
avide
1048633 Employeacute peu
seacuterieux
3 Importante 3 Forte
Extrait eacutetude de cas ANSSI compromission de mel
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
17
17
Synthegravese drsquoun processus EBIOS - Santeacute
bull Inteacutegrer les eacuteleacutements de contexte (PMSSI peacuterimegravetre biens hellip)
bull Sceacutenariser (eacuteveacutenements redouteacutes menaces risques)
bull Creacuteer une base de sceacutenarios de risques du peacuterimegravetre santeacute constitueacutee
progressivement (risques geacuteneacuteriques eacutevaluations speacutecifiques)
bull ChoisirValider le traitement des sceacutenarios de risques
bull Proposer des mesures de traitement (ISO 27002 RGS hellip)
bull Arriver aux objectifs meacutetiers (mesurer)
bull Organiser le SMSI associeacute (ISO 27001) reacuteseau de correspondants
SSI et CIL comiteacutes seacutecuriteacute plan drsquoaudits tableau de bord seacutecuriteacute
(opeacuterationnel pilotage et strateacutegique)
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation
MERCI DE VOTRE ATTENTION
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
2Sommaire
bull Convergence vers la gestion des risques
bull Ebios adapteacute agrave tous les terrains
bull Ebios 2010 et lrsquoISO 27005
bull Les composants du risque
bull Les productions
bull Synthegravese
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
3
Convergence des besoins SSI santeacute
vers lrsquoanalyse et la gestion des risques
bull PMSSI deacuteclinaison par eacutetablissement en PSSI une organisation et des mesures de seacutecuriteacute pour traiter les risques
bull Heacutebergement des donneacutees de santeacute PSSI et analyse de risque du peacuterimegravetre drsquoheacutebergement
bull Ouverture du SI santeacute (DMP hellip) eacutevolutions technologiques (virtualisation deacutemateacuterialisation hellip) maicirctriser les risques
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
4
EBIOS Les apports laquo tout-terrain raquobull laquo Vendre raquo la gestion des risques aux directions meacutetiers
ndash La seacutecuriteacute est adapteacutee aux meacutetiers et non lrsquoinverse
ndash Les choix sont faciliteacutes par une cartographie syntheacutetique des risques
ndash Les mesures de seacutecuriteacute sont justifieacutees et planifieacutees pour srsquoadapter au budget
Un seul outil pour tous les usages
ndash Un facilitateur pour les eacutechanges (du deacutecideur au technicien)
ndash La possibiliteacute drsquoaborder toute les probleacutematiques SSI de maniegravere coheacuterente
ndash La compatibiliteacute avec les normes (ISO 27001 ISO 27002 ISO 27005hellip)
Gagner du temps sur la gestion des risques pour le deacutepenser ailleurs
ndash Affiner vos eacutetudes lagrave ougrave crsquoest neacutecessaire
ndash Inteacutegrer rapidement les eacutevolutions de vos systegravemes drsquoinformation
DSIO - Preacutesentation [instance] du [date]
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
EBIOS
5 modules en synthegravese1 Eacutetude du
contexte
Pourquoi et comment va-t-on geacuterer les
risques
Quel est le sujet de lrsquoeacutetude
2 Eacutetude des
eacuteveacutenements
redouteacutes
Quels sont les eacuteveacutenements craints par les
meacutetiers
Quels seraient les plus graves
3 Eacutetude des
sceacutenarios de
menaces
Quels sont tous les sceacutenarios possibles
Quels sont les plus vraisemblables
4 Eacutetude des
risques
Quelle est la cartographie des risques
Comment choisit-on de les traiter
5 Eacutetude des
mesures de
seacutecuriteacute
Quelles mesures devrait-on appliquer
Les risques reacutesiduels sont-ils acceptables
Eacutetude du contexte
Eacutetude des eacuteveacutenements
redouteacutes
Eacutetude des sceacutenarios de menaces
Eacutetude des risques
Eacutetude des mesures de seacutecuriteacute
DSIO - Preacutesentation du 07 juin 2011
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
6
6
EBIOS - 2010
bull Des bases de connaissances avec des niveaux drsquoinclusion
ndash Notion de de processus (biens essentiels) systegravemes (bienssupports)
ndash Rend visible la notion de laquo macro-biens raquo supports pourreacutealiser des analyses globales
bull Approche eacuteveacutenements redouteacutes
ndash Facilite acceacutelegravere lrsquoexpression des besoins des meacutetiers et laformulation des risques
ndash Facilite une approche laquo macroscopique raquo
bull Approche sceacutenarios mise en scegravene
bull Liens et inteacutegration ISO 2700x
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
7
Surveillance et revue
La gestion des risques SSI
ISO 27005 appliqueacutee dans EBIOSCommunication
Appreacuteciation des risques
Traitement des risques
Acceptation des risques
Eacutetablissement du contexte
Eacutetude du contexte
Eacutetude des eacuteveacutenements redouteacutes
Eacutetude des sceacutenarios de menaces
Eacutetude des risques
Eacutetude des mesures de seacutecuriteacute
Source
Bureau
assistance et
conseil de
lrsquoANSSI
httpwwws
sigouvfr
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
8
8
Les composants du risque
EBIOS 2010 le GPS SSI
Aide agrave la navigation dans la construction du
risque
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation
9
Eveacutenements
redouteacutes
Communs Sceacutenarios de
menaces
Sources de menaces
Biens essentiels Biens supports
Critegraveres (DIC hellip)
Besoins de seacutecuriteacute Menaces
Impacts Vulneacuterabiliteacutes
GRAVITE
VRAISEMBLANCE
Supportent
LA CARTOGRAPHIE DES COMPOSANTS DU
RISQUE selon EBIOS 2010
Niveau de Risque brut = f(GraviteacuteVraisemblance)
Niveau de Risque net = f(GraviteacuteVraisemblance) ndash g(Mesures existantes)
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
10
10
Exemples
Les eacuteveacutenements redouteacutes points drsquoentreacutee pour
reacuteduire le champs de composition des risques Un cahier des charges pour la MOE
Interviews meacutetier
bull Que redoutez vous dans votre activiteacute
bull Comment une deacutefaillance du SI peut elle
conduire agrave cette situation redouteacutee
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
11
Risque 1 La perte ou lrsquoindisponibiliteacute prolongeacutee des donneacutees de recherche meacutedicale (patrimoine de recherche composeacute de donneacutees difficilement reproductibles (videacuteos photos documents numeacuteriques) par exemple des cas cliniques rares et servant agrave reacutealiser des recherches agrave posteacuteriori) peut empecirccher de reacutepondre agrave des appels drsquooffre pour des contrats de recherche Lrsquoimpact peut ecirctre financier et drsquoimagerenommeacutee
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
12
Bien essentiel Patrimoine drsquoexpeacuterimentation
Besoin de seacutecuriteacute Non perte ou indisponibiliteacute qq jours maximum
Impact Perte du patrimoine arrecirct de lrsquoactiviteacute perte financiegravere
Image de marque
Source de menace Humaine Interne accidentelle ou evt interne Humaine
externe volontaire (pour source de menace avec inteacuterecirct
pour les mateacuteriels)
Critegravere de seacutecuriteacute Disponibiliteacute
Bien support Ensemble du SYStegraveme supportant le stockage incluant
exploitant de la chaicircne informatique [PER] serveurs baies
de stockage DVD [MAT]hellip)
Menace Coupure eacutelectrique (avec dommages) panne serveur[MAT-
DEP] deacuteteacuterioration [MAT-DET] deacutepart ou erreurs de
lrsquoexploitant vol [MAT-PTE]
Vulneacuterabiliteacute Par deacutefaut toutes celle de ce type de [SYS]tegravemedispo
Composants du risque
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
13
Risque 2 Une diffusion de la maladie laquo sensible raquo
drsquoun patient peut entrainer une condamnation
suite agrave plainte et atteindre agrave lrsquoimage de
lrsquoeacutetablissement voire entrainer lrsquoarrecirct de lrsquoactiviteacute
de suivi meacutedical associeacute
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
14
14
Bien essentiel Donneacutees patient confieacutees sur la base du volontariat
Besoin de seacutecuriteacute confidentialiteacute
Impact Arrecirct de lrsquoactiviteacute (perte de confiance des patients) plainte
des patients (condamnation) perte drsquoImage hellip
Source de menace humaine interne
Critegravere de seacutecuriteacute Confidentialiteacute
Bien support Application xxxx [LOG] (et ensemble du SYStegraveme le
supportant administrateurs meacutetier exploitant de la chaicircne
informatique [PERS] serveurs stockage reacuteseauhellip
[MAT][RSX])
Menace Menaces sur la confidentialiteacute usurpation de droits manque
protection du logiciel [LOG-] absence de sensibilisation des
usagers [PER-USGDET] hellip
Vulneacuterabiliteacute Par deacutefaut toutes celles de ce type de SYStegraveme associeacutees
aux menaces pour le critegravere de confidentialiteacute
Composants du risque
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
15
15
Les productions
Tableau des eacuteveacutenements
redouteacutes
Tableau des sceacutenarios de menaces (Bdc Ebios
menacesvulneacuterabiliteacutes)
Tableau des risques
Choix de traitement
Mesures (Bdc Ebios
mesures ISO 27002 RGS)
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
16
Tableau des risques (exemple)Eacuteveacutenement
redouteacute
Besoin de
seacutecuriteacute
Impacts Sceacutenario de
menaces
et
menaces
Sources de
menaces
Vraisemblance Graviteacute
ER1 Compromission
de piegraveces jointes
4 Priveacute (variable) Impacts
1048633 Perte dun
marcheacute
1048633 Pertes
financiegraveres
SM6
Compromis
sion par
une
menace sur
un employeacute
1048633 Deacutepart dune
personne
1048633 Espionnage
dune
personne agrave
distance
1048633 Influence sur
une
personne
Sources de
menaces
1048633 Concurrent
avide
1048633 Employeacute peu
seacuterieux
3 Importante 3 Forte
Extrait eacutetude de cas ANSSI compromission de mel
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
17
17
Synthegravese drsquoun processus EBIOS - Santeacute
bull Inteacutegrer les eacuteleacutements de contexte (PMSSI peacuterimegravetre biens hellip)
bull Sceacutenariser (eacuteveacutenements redouteacutes menaces risques)
bull Creacuteer une base de sceacutenarios de risques du peacuterimegravetre santeacute constitueacutee
progressivement (risques geacuteneacuteriques eacutevaluations speacutecifiques)
bull ChoisirValider le traitement des sceacutenarios de risques
bull Proposer des mesures de traitement (ISO 27002 RGS hellip)
bull Arriver aux objectifs meacutetiers (mesurer)
bull Organiser le SMSI associeacute (ISO 27001) reacuteseau de correspondants
SSI et CIL comiteacutes seacutecuriteacute plan drsquoaudits tableau de bord seacutecuriteacute
(opeacuterationnel pilotage et strateacutegique)
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation
MERCI DE VOTRE ATTENTION
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
3
Convergence des besoins SSI santeacute
vers lrsquoanalyse et la gestion des risques
bull PMSSI deacuteclinaison par eacutetablissement en PSSI une organisation et des mesures de seacutecuriteacute pour traiter les risques
bull Heacutebergement des donneacutees de santeacute PSSI et analyse de risque du peacuterimegravetre drsquoheacutebergement
bull Ouverture du SI santeacute (DMP hellip) eacutevolutions technologiques (virtualisation deacutemateacuterialisation hellip) maicirctriser les risques
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
4
EBIOS Les apports laquo tout-terrain raquobull laquo Vendre raquo la gestion des risques aux directions meacutetiers
ndash La seacutecuriteacute est adapteacutee aux meacutetiers et non lrsquoinverse
ndash Les choix sont faciliteacutes par une cartographie syntheacutetique des risques
ndash Les mesures de seacutecuriteacute sont justifieacutees et planifieacutees pour srsquoadapter au budget
Un seul outil pour tous les usages
ndash Un facilitateur pour les eacutechanges (du deacutecideur au technicien)
ndash La possibiliteacute drsquoaborder toute les probleacutematiques SSI de maniegravere coheacuterente
ndash La compatibiliteacute avec les normes (ISO 27001 ISO 27002 ISO 27005hellip)
Gagner du temps sur la gestion des risques pour le deacutepenser ailleurs
ndash Affiner vos eacutetudes lagrave ougrave crsquoest neacutecessaire
ndash Inteacutegrer rapidement les eacutevolutions de vos systegravemes drsquoinformation
DSIO - Preacutesentation [instance] du [date]
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
EBIOS
5 modules en synthegravese1 Eacutetude du
contexte
Pourquoi et comment va-t-on geacuterer les
risques
Quel est le sujet de lrsquoeacutetude
2 Eacutetude des
eacuteveacutenements
redouteacutes
Quels sont les eacuteveacutenements craints par les
meacutetiers
Quels seraient les plus graves
3 Eacutetude des
sceacutenarios de
menaces
Quels sont tous les sceacutenarios possibles
Quels sont les plus vraisemblables
4 Eacutetude des
risques
Quelle est la cartographie des risques
Comment choisit-on de les traiter
5 Eacutetude des
mesures de
seacutecuriteacute
Quelles mesures devrait-on appliquer
Les risques reacutesiduels sont-ils acceptables
Eacutetude du contexte
Eacutetude des eacuteveacutenements
redouteacutes
Eacutetude des sceacutenarios de menaces
Eacutetude des risques
Eacutetude des mesures de seacutecuriteacute
DSIO - Preacutesentation du 07 juin 2011
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
6
6
EBIOS - 2010
bull Des bases de connaissances avec des niveaux drsquoinclusion
ndash Notion de de processus (biens essentiels) systegravemes (bienssupports)
ndash Rend visible la notion de laquo macro-biens raquo supports pourreacutealiser des analyses globales
bull Approche eacuteveacutenements redouteacutes
ndash Facilite acceacutelegravere lrsquoexpression des besoins des meacutetiers et laformulation des risques
ndash Facilite une approche laquo macroscopique raquo
bull Approche sceacutenarios mise en scegravene
bull Liens et inteacutegration ISO 2700x
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
7
Surveillance et revue
La gestion des risques SSI
ISO 27005 appliqueacutee dans EBIOSCommunication
Appreacuteciation des risques
Traitement des risques
Acceptation des risques
Eacutetablissement du contexte
Eacutetude du contexte
Eacutetude des eacuteveacutenements redouteacutes
Eacutetude des sceacutenarios de menaces
Eacutetude des risques
Eacutetude des mesures de seacutecuriteacute
Source
Bureau
assistance et
conseil de
lrsquoANSSI
httpwwws
sigouvfr
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
8
8
Les composants du risque
EBIOS 2010 le GPS SSI
Aide agrave la navigation dans la construction du
risque
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation
9
Eveacutenements
redouteacutes
Communs Sceacutenarios de
menaces
Sources de menaces
Biens essentiels Biens supports
Critegraveres (DIC hellip)
Besoins de seacutecuriteacute Menaces
Impacts Vulneacuterabiliteacutes
GRAVITE
VRAISEMBLANCE
Supportent
LA CARTOGRAPHIE DES COMPOSANTS DU
RISQUE selon EBIOS 2010
Niveau de Risque brut = f(GraviteacuteVraisemblance)
Niveau de Risque net = f(GraviteacuteVraisemblance) ndash g(Mesures existantes)
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
10
10
Exemples
Les eacuteveacutenements redouteacutes points drsquoentreacutee pour
reacuteduire le champs de composition des risques Un cahier des charges pour la MOE
Interviews meacutetier
bull Que redoutez vous dans votre activiteacute
bull Comment une deacutefaillance du SI peut elle
conduire agrave cette situation redouteacutee
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
11
Risque 1 La perte ou lrsquoindisponibiliteacute prolongeacutee des donneacutees de recherche meacutedicale (patrimoine de recherche composeacute de donneacutees difficilement reproductibles (videacuteos photos documents numeacuteriques) par exemple des cas cliniques rares et servant agrave reacutealiser des recherches agrave posteacuteriori) peut empecirccher de reacutepondre agrave des appels drsquooffre pour des contrats de recherche Lrsquoimpact peut ecirctre financier et drsquoimagerenommeacutee
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
12
Bien essentiel Patrimoine drsquoexpeacuterimentation
Besoin de seacutecuriteacute Non perte ou indisponibiliteacute qq jours maximum
Impact Perte du patrimoine arrecirct de lrsquoactiviteacute perte financiegravere
Image de marque
Source de menace Humaine Interne accidentelle ou evt interne Humaine
externe volontaire (pour source de menace avec inteacuterecirct
pour les mateacuteriels)
Critegravere de seacutecuriteacute Disponibiliteacute
Bien support Ensemble du SYStegraveme supportant le stockage incluant
exploitant de la chaicircne informatique [PER] serveurs baies
de stockage DVD [MAT]hellip)
Menace Coupure eacutelectrique (avec dommages) panne serveur[MAT-
DEP] deacuteteacuterioration [MAT-DET] deacutepart ou erreurs de
lrsquoexploitant vol [MAT-PTE]
Vulneacuterabiliteacute Par deacutefaut toutes celle de ce type de [SYS]tegravemedispo
Composants du risque
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
13
Risque 2 Une diffusion de la maladie laquo sensible raquo
drsquoun patient peut entrainer une condamnation
suite agrave plainte et atteindre agrave lrsquoimage de
lrsquoeacutetablissement voire entrainer lrsquoarrecirct de lrsquoactiviteacute
de suivi meacutedical associeacute
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
14
14
Bien essentiel Donneacutees patient confieacutees sur la base du volontariat
Besoin de seacutecuriteacute confidentialiteacute
Impact Arrecirct de lrsquoactiviteacute (perte de confiance des patients) plainte
des patients (condamnation) perte drsquoImage hellip
Source de menace humaine interne
Critegravere de seacutecuriteacute Confidentialiteacute
Bien support Application xxxx [LOG] (et ensemble du SYStegraveme le
supportant administrateurs meacutetier exploitant de la chaicircne
informatique [PERS] serveurs stockage reacuteseauhellip
[MAT][RSX])
Menace Menaces sur la confidentialiteacute usurpation de droits manque
protection du logiciel [LOG-] absence de sensibilisation des
usagers [PER-USGDET] hellip
Vulneacuterabiliteacute Par deacutefaut toutes celles de ce type de SYStegraveme associeacutees
aux menaces pour le critegravere de confidentialiteacute
Composants du risque
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
15
15
Les productions
Tableau des eacuteveacutenements
redouteacutes
Tableau des sceacutenarios de menaces (Bdc Ebios
menacesvulneacuterabiliteacutes)
Tableau des risques
Choix de traitement
Mesures (Bdc Ebios
mesures ISO 27002 RGS)
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
16
Tableau des risques (exemple)Eacuteveacutenement
redouteacute
Besoin de
seacutecuriteacute
Impacts Sceacutenario de
menaces
et
menaces
Sources de
menaces
Vraisemblance Graviteacute
ER1 Compromission
de piegraveces jointes
4 Priveacute (variable) Impacts
1048633 Perte dun
marcheacute
1048633 Pertes
financiegraveres
SM6
Compromis
sion par
une
menace sur
un employeacute
1048633 Deacutepart dune
personne
1048633 Espionnage
dune
personne agrave
distance
1048633 Influence sur
une
personne
Sources de
menaces
1048633 Concurrent
avide
1048633 Employeacute peu
seacuterieux
3 Importante 3 Forte
Extrait eacutetude de cas ANSSI compromission de mel
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
17
17
Synthegravese drsquoun processus EBIOS - Santeacute
bull Inteacutegrer les eacuteleacutements de contexte (PMSSI peacuterimegravetre biens hellip)
bull Sceacutenariser (eacuteveacutenements redouteacutes menaces risques)
bull Creacuteer une base de sceacutenarios de risques du peacuterimegravetre santeacute constitueacutee
progressivement (risques geacuteneacuteriques eacutevaluations speacutecifiques)
bull ChoisirValider le traitement des sceacutenarios de risques
bull Proposer des mesures de traitement (ISO 27002 RGS hellip)
bull Arriver aux objectifs meacutetiers (mesurer)
bull Organiser le SMSI associeacute (ISO 27001) reacuteseau de correspondants
SSI et CIL comiteacutes seacutecuriteacute plan drsquoaudits tableau de bord seacutecuriteacute
(opeacuterationnel pilotage et strateacutegique)
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation
MERCI DE VOTRE ATTENTION
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
4
EBIOS Les apports laquo tout-terrain raquobull laquo Vendre raquo la gestion des risques aux directions meacutetiers
ndash La seacutecuriteacute est adapteacutee aux meacutetiers et non lrsquoinverse
ndash Les choix sont faciliteacutes par une cartographie syntheacutetique des risques
ndash Les mesures de seacutecuriteacute sont justifieacutees et planifieacutees pour srsquoadapter au budget
Un seul outil pour tous les usages
ndash Un facilitateur pour les eacutechanges (du deacutecideur au technicien)
ndash La possibiliteacute drsquoaborder toute les probleacutematiques SSI de maniegravere coheacuterente
ndash La compatibiliteacute avec les normes (ISO 27001 ISO 27002 ISO 27005hellip)
Gagner du temps sur la gestion des risques pour le deacutepenser ailleurs
ndash Affiner vos eacutetudes lagrave ougrave crsquoest neacutecessaire
ndash Inteacutegrer rapidement les eacutevolutions de vos systegravemes drsquoinformation
DSIO - Preacutesentation [instance] du [date]
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
EBIOS
5 modules en synthegravese1 Eacutetude du
contexte
Pourquoi et comment va-t-on geacuterer les
risques
Quel est le sujet de lrsquoeacutetude
2 Eacutetude des
eacuteveacutenements
redouteacutes
Quels sont les eacuteveacutenements craints par les
meacutetiers
Quels seraient les plus graves
3 Eacutetude des
sceacutenarios de
menaces
Quels sont tous les sceacutenarios possibles
Quels sont les plus vraisemblables
4 Eacutetude des
risques
Quelle est la cartographie des risques
Comment choisit-on de les traiter
5 Eacutetude des
mesures de
seacutecuriteacute
Quelles mesures devrait-on appliquer
Les risques reacutesiduels sont-ils acceptables
Eacutetude du contexte
Eacutetude des eacuteveacutenements
redouteacutes
Eacutetude des sceacutenarios de menaces
Eacutetude des risques
Eacutetude des mesures de seacutecuriteacute
DSIO - Preacutesentation du 07 juin 2011
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
6
6
EBIOS - 2010
bull Des bases de connaissances avec des niveaux drsquoinclusion
ndash Notion de de processus (biens essentiels) systegravemes (bienssupports)
ndash Rend visible la notion de laquo macro-biens raquo supports pourreacutealiser des analyses globales
bull Approche eacuteveacutenements redouteacutes
ndash Facilite acceacutelegravere lrsquoexpression des besoins des meacutetiers et laformulation des risques
ndash Facilite une approche laquo macroscopique raquo
bull Approche sceacutenarios mise en scegravene
bull Liens et inteacutegration ISO 2700x
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
7
Surveillance et revue
La gestion des risques SSI
ISO 27005 appliqueacutee dans EBIOSCommunication
Appreacuteciation des risques
Traitement des risques
Acceptation des risques
Eacutetablissement du contexte
Eacutetude du contexte
Eacutetude des eacuteveacutenements redouteacutes
Eacutetude des sceacutenarios de menaces
Eacutetude des risques
Eacutetude des mesures de seacutecuriteacute
Source
Bureau
assistance et
conseil de
lrsquoANSSI
httpwwws
sigouvfr
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
8
8
Les composants du risque
EBIOS 2010 le GPS SSI
Aide agrave la navigation dans la construction du
risque
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation
9
Eveacutenements
redouteacutes
Communs Sceacutenarios de
menaces
Sources de menaces
Biens essentiels Biens supports
Critegraveres (DIC hellip)
Besoins de seacutecuriteacute Menaces
Impacts Vulneacuterabiliteacutes
GRAVITE
VRAISEMBLANCE
Supportent
LA CARTOGRAPHIE DES COMPOSANTS DU
RISQUE selon EBIOS 2010
Niveau de Risque brut = f(GraviteacuteVraisemblance)
Niveau de Risque net = f(GraviteacuteVraisemblance) ndash g(Mesures existantes)
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
10
10
Exemples
Les eacuteveacutenements redouteacutes points drsquoentreacutee pour
reacuteduire le champs de composition des risques Un cahier des charges pour la MOE
Interviews meacutetier
bull Que redoutez vous dans votre activiteacute
bull Comment une deacutefaillance du SI peut elle
conduire agrave cette situation redouteacutee
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
11
Risque 1 La perte ou lrsquoindisponibiliteacute prolongeacutee des donneacutees de recherche meacutedicale (patrimoine de recherche composeacute de donneacutees difficilement reproductibles (videacuteos photos documents numeacuteriques) par exemple des cas cliniques rares et servant agrave reacutealiser des recherches agrave posteacuteriori) peut empecirccher de reacutepondre agrave des appels drsquooffre pour des contrats de recherche Lrsquoimpact peut ecirctre financier et drsquoimagerenommeacutee
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
12
Bien essentiel Patrimoine drsquoexpeacuterimentation
Besoin de seacutecuriteacute Non perte ou indisponibiliteacute qq jours maximum
Impact Perte du patrimoine arrecirct de lrsquoactiviteacute perte financiegravere
Image de marque
Source de menace Humaine Interne accidentelle ou evt interne Humaine
externe volontaire (pour source de menace avec inteacuterecirct
pour les mateacuteriels)
Critegravere de seacutecuriteacute Disponibiliteacute
Bien support Ensemble du SYStegraveme supportant le stockage incluant
exploitant de la chaicircne informatique [PER] serveurs baies
de stockage DVD [MAT]hellip)
Menace Coupure eacutelectrique (avec dommages) panne serveur[MAT-
DEP] deacuteteacuterioration [MAT-DET] deacutepart ou erreurs de
lrsquoexploitant vol [MAT-PTE]
Vulneacuterabiliteacute Par deacutefaut toutes celle de ce type de [SYS]tegravemedispo
Composants du risque
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
13
Risque 2 Une diffusion de la maladie laquo sensible raquo
drsquoun patient peut entrainer une condamnation
suite agrave plainte et atteindre agrave lrsquoimage de
lrsquoeacutetablissement voire entrainer lrsquoarrecirct de lrsquoactiviteacute
de suivi meacutedical associeacute
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
14
14
Bien essentiel Donneacutees patient confieacutees sur la base du volontariat
Besoin de seacutecuriteacute confidentialiteacute
Impact Arrecirct de lrsquoactiviteacute (perte de confiance des patients) plainte
des patients (condamnation) perte drsquoImage hellip
Source de menace humaine interne
Critegravere de seacutecuriteacute Confidentialiteacute
Bien support Application xxxx [LOG] (et ensemble du SYStegraveme le
supportant administrateurs meacutetier exploitant de la chaicircne
informatique [PERS] serveurs stockage reacuteseauhellip
[MAT][RSX])
Menace Menaces sur la confidentialiteacute usurpation de droits manque
protection du logiciel [LOG-] absence de sensibilisation des
usagers [PER-USGDET] hellip
Vulneacuterabiliteacute Par deacutefaut toutes celles de ce type de SYStegraveme associeacutees
aux menaces pour le critegravere de confidentialiteacute
Composants du risque
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
15
15
Les productions
Tableau des eacuteveacutenements
redouteacutes
Tableau des sceacutenarios de menaces (Bdc Ebios
menacesvulneacuterabiliteacutes)
Tableau des risques
Choix de traitement
Mesures (Bdc Ebios
mesures ISO 27002 RGS)
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
16
Tableau des risques (exemple)Eacuteveacutenement
redouteacute
Besoin de
seacutecuriteacute
Impacts Sceacutenario de
menaces
et
menaces
Sources de
menaces
Vraisemblance Graviteacute
ER1 Compromission
de piegraveces jointes
4 Priveacute (variable) Impacts
1048633 Perte dun
marcheacute
1048633 Pertes
financiegraveres
SM6
Compromis
sion par
une
menace sur
un employeacute
1048633 Deacutepart dune
personne
1048633 Espionnage
dune
personne agrave
distance
1048633 Influence sur
une
personne
Sources de
menaces
1048633 Concurrent
avide
1048633 Employeacute peu
seacuterieux
3 Importante 3 Forte
Extrait eacutetude de cas ANSSI compromission de mel
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
17
17
Synthegravese drsquoun processus EBIOS - Santeacute
bull Inteacutegrer les eacuteleacutements de contexte (PMSSI peacuterimegravetre biens hellip)
bull Sceacutenariser (eacuteveacutenements redouteacutes menaces risques)
bull Creacuteer une base de sceacutenarios de risques du peacuterimegravetre santeacute constitueacutee
progressivement (risques geacuteneacuteriques eacutevaluations speacutecifiques)
bull ChoisirValider le traitement des sceacutenarios de risques
bull Proposer des mesures de traitement (ISO 27002 RGS hellip)
bull Arriver aux objectifs meacutetiers (mesurer)
bull Organiser le SMSI associeacute (ISO 27001) reacuteseau de correspondants
SSI et CIL comiteacutes seacutecuriteacute plan drsquoaudits tableau de bord seacutecuriteacute
(opeacuterationnel pilotage et strateacutegique)
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation
MERCI DE VOTRE ATTENTION
DSIO - Preacutesentation [instance] du [date]
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
EBIOS
5 modules en synthegravese1 Eacutetude du
contexte
Pourquoi et comment va-t-on geacuterer les
risques
Quel est le sujet de lrsquoeacutetude
2 Eacutetude des
eacuteveacutenements
redouteacutes
Quels sont les eacuteveacutenements craints par les
meacutetiers
Quels seraient les plus graves
3 Eacutetude des
sceacutenarios de
menaces
Quels sont tous les sceacutenarios possibles
Quels sont les plus vraisemblables
4 Eacutetude des
risques
Quelle est la cartographie des risques
Comment choisit-on de les traiter
5 Eacutetude des
mesures de
seacutecuriteacute
Quelles mesures devrait-on appliquer
Les risques reacutesiduels sont-ils acceptables
Eacutetude du contexte
Eacutetude des eacuteveacutenements
redouteacutes
Eacutetude des sceacutenarios de menaces
Eacutetude des risques
Eacutetude des mesures de seacutecuriteacute
DSIO - Preacutesentation du 07 juin 2011
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
6
6
EBIOS - 2010
bull Des bases de connaissances avec des niveaux drsquoinclusion
ndash Notion de de processus (biens essentiels) systegravemes (bienssupports)
ndash Rend visible la notion de laquo macro-biens raquo supports pourreacutealiser des analyses globales
bull Approche eacuteveacutenements redouteacutes
ndash Facilite acceacutelegravere lrsquoexpression des besoins des meacutetiers et laformulation des risques
ndash Facilite une approche laquo macroscopique raquo
bull Approche sceacutenarios mise en scegravene
bull Liens et inteacutegration ISO 2700x
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
7
Surveillance et revue
La gestion des risques SSI
ISO 27005 appliqueacutee dans EBIOSCommunication
Appreacuteciation des risques
Traitement des risques
Acceptation des risques
Eacutetablissement du contexte
Eacutetude du contexte
Eacutetude des eacuteveacutenements redouteacutes
Eacutetude des sceacutenarios de menaces
Eacutetude des risques
Eacutetude des mesures de seacutecuriteacute
Source
Bureau
assistance et
conseil de
lrsquoANSSI
httpwwws
sigouvfr
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
8
8
Les composants du risque
EBIOS 2010 le GPS SSI
Aide agrave la navigation dans la construction du
risque
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation
9
Eveacutenements
redouteacutes
Communs Sceacutenarios de
menaces
Sources de menaces
Biens essentiels Biens supports
Critegraveres (DIC hellip)
Besoins de seacutecuriteacute Menaces
Impacts Vulneacuterabiliteacutes
GRAVITE
VRAISEMBLANCE
Supportent
LA CARTOGRAPHIE DES COMPOSANTS DU
RISQUE selon EBIOS 2010
Niveau de Risque brut = f(GraviteacuteVraisemblance)
Niveau de Risque net = f(GraviteacuteVraisemblance) ndash g(Mesures existantes)
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
10
10
Exemples
Les eacuteveacutenements redouteacutes points drsquoentreacutee pour
reacuteduire le champs de composition des risques Un cahier des charges pour la MOE
Interviews meacutetier
bull Que redoutez vous dans votre activiteacute
bull Comment une deacutefaillance du SI peut elle
conduire agrave cette situation redouteacutee
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
11
Risque 1 La perte ou lrsquoindisponibiliteacute prolongeacutee des donneacutees de recherche meacutedicale (patrimoine de recherche composeacute de donneacutees difficilement reproductibles (videacuteos photos documents numeacuteriques) par exemple des cas cliniques rares et servant agrave reacutealiser des recherches agrave posteacuteriori) peut empecirccher de reacutepondre agrave des appels drsquooffre pour des contrats de recherche Lrsquoimpact peut ecirctre financier et drsquoimagerenommeacutee
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
12
Bien essentiel Patrimoine drsquoexpeacuterimentation
Besoin de seacutecuriteacute Non perte ou indisponibiliteacute qq jours maximum
Impact Perte du patrimoine arrecirct de lrsquoactiviteacute perte financiegravere
Image de marque
Source de menace Humaine Interne accidentelle ou evt interne Humaine
externe volontaire (pour source de menace avec inteacuterecirct
pour les mateacuteriels)
Critegravere de seacutecuriteacute Disponibiliteacute
Bien support Ensemble du SYStegraveme supportant le stockage incluant
exploitant de la chaicircne informatique [PER] serveurs baies
de stockage DVD [MAT]hellip)
Menace Coupure eacutelectrique (avec dommages) panne serveur[MAT-
DEP] deacuteteacuterioration [MAT-DET] deacutepart ou erreurs de
lrsquoexploitant vol [MAT-PTE]
Vulneacuterabiliteacute Par deacutefaut toutes celle de ce type de [SYS]tegravemedispo
Composants du risque
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
13
Risque 2 Une diffusion de la maladie laquo sensible raquo
drsquoun patient peut entrainer une condamnation
suite agrave plainte et atteindre agrave lrsquoimage de
lrsquoeacutetablissement voire entrainer lrsquoarrecirct de lrsquoactiviteacute
de suivi meacutedical associeacute
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
14
14
Bien essentiel Donneacutees patient confieacutees sur la base du volontariat
Besoin de seacutecuriteacute confidentialiteacute
Impact Arrecirct de lrsquoactiviteacute (perte de confiance des patients) plainte
des patients (condamnation) perte drsquoImage hellip
Source de menace humaine interne
Critegravere de seacutecuriteacute Confidentialiteacute
Bien support Application xxxx [LOG] (et ensemble du SYStegraveme le
supportant administrateurs meacutetier exploitant de la chaicircne
informatique [PERS] serveurs stockage reacuteseauhellip
[MAT][RSX])
Menace Menaces sur la confidentialiteacute usurpation de droits manque
protection du logiciel [LOG-] absence de sensibilisation des
usagers [PER-USGDET] hellip
Vulneacuterabiliteacute Par deacutefaut toutes celles de ce type de SYStegraveme associeacutees
aux menaces pour le critegravere de confidentialiteacute
Composants du risque
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
15
15
Les productions
Tableau des eacuteveacutenements
redouteacutes
Tableau des sceacutenarios de menaces (Bdc Ebios
menacesvulneacuterabiliteacutes)
Tableau des risques
Choix de traitement
Mesures (Bdc Ebios
mesures ISO 27002 RGS)
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
16
Tableau des risques (exemple)Eacuteveacutenement
redouteacute
Besoin de
seacutecuriteacute
Impacts Sceacutenario de
menaces
et
menaces
Sources de
menaces
Vraisemblance Graviteacute
ER1 Compromission
de piegraveces jointes
4 Priveacute (variable) Impacts
1048633 Perte dun
marcheacute
1048633 Pertes
financiegraveres
SM6
Compromis
sion par
une
menace sur
un employeacute
1048633 Deacutepart dune
personne
1048633 Espionnage
dune
personne agrave
distance
1048633 Influence sur
une
personne
Sources de
menaces
1048633 Concurrent
avide
1048633 Employeacute peu
seacuterieux
3 Importante 3 Forte
Extrait eacutetude de cas ANSSI compromission de mel
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
17
17
Synthegravese drsquoun processus EBIOS - Santeacute
bull Inteacutegrer les eacuteleacutements de contexte (PMSSI peacuterimegravetre biens hellip)
bull Sceacutenariser (eacuteveacutenements redouteacutes menaces risques)
bull Creacuteer une base de sceacutenarios de risques du peacuterimegravetre santeacute constitueacutee
progressivement (risques geacuteneacuteriques eacutevaluations speacutecifiques)
bull ChoisirValider le traitement des sceacutenarios de risques
bull Proposer des mesures de traitement (ISO 27002 RGS hellip)
bull Arriver aux objectifs meacutetiers (mesurer)
bull Organiser le SMSI associeacute (ISO 27001) reacuteseau de correspondants
SSI et CIL comiteacutes seacutecuriteacute plan drsquoaudits tableau de bord seacutecuriteacute
(opeacuterationnel pilotage et strateacutegique)
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation
MERCI DE VOTRE ATTENTION
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
6
6
EBIOS - 2010
bull Des bases de connaissances avec des niveaux drsquoinclusion
ndash Notion de de processus (biens essentiels) systegravemes (bienssupports)
ndash Rend visible la notion de laquo macro-biens raquo supports pourreacutealiser des analyses globales
bull Approche eacuteveacutenements redouteacutes
ndash Facilite acceacutelegravere lrsquoexpression des besoins des meacutetiers et laformulation des risques
ndash Facilite une approche laquo macroscopique raquo
bull Approche sceacutenarios mise en scegravene
bull Liens et inteacutegration ISO 2700x
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
7
Surveillance et revue
La gestion des risques SSI
ISO 27005 appliqueacutee dans EBIOSCommunication
Appreacuteciation des risques
Traitement des risques
Acceptation des risques
Eacutetablissement du contexte
Eacutetude du contexte
Eacutetude des eacuteveacutenements redouteacutes
Eacutetude des sceacutenarios de menaces
Eacutetude des risques
Eacutetude des mesures de seacutecuriteacute
Source
Bureau
assistance et
conseil de
lrsquoANSSI
httpwwws
sigouvfr
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
8
8
Les composants du risque
EBIOS 2010 le GPS SSI
Aide agrave la navigation dans la construction du
risque
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation
9
Eveacutenements
redouteacutes
Communs Sceacutenarios de
menaces
Sources de menaces
Biens essentiels Biens supports
Critegraveres (DIC hellip)
Besoins de seacutecuriteacute Menaces
Impacts Vulneacuterabiliteacutes
GRAVITE
VRAISEMBLANCE
Supportent
LA CARTOGRAPHIE DES COMPOSANTS DU
RISQUE selon EBIOS 2010
Niveau de Risque brut = f(GraviteacuteVraisemblance)
Niveau de Risque net = f(GraviteacuteVraisemblance) ndash g(Mesures existantes)
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
10
10
Exemples
Les eacuteveacutenements redouteacutes points drsquoentreacutee pour
reacuteduire le champs de composition des risques Un cahier des charges pour la MOE
Interviews meacutetier
bull Que redoutez vous dans votre activiteacute
bull Comment une deacutefaillance du SI peut elle
conduire agrave cette situation redouteacutee
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
11
Risque 1 La perte ou lrsquoindisponibiliteacute prolongeacutee des donneacutees de recherche meacutedicale (patrimoine de recherche composeacute de donneacutees difficilement reproductibles (videacuteos photos documents numeacuteriques) par exemple des cas cliniques rares et servant agrave reacutealiser des recherches agrave posteacuteriori) peut empecirccher de reacutepondre agrave des appels drsquooffre pour des contrats de recherche Lrsquoimpact peut ecirctre financier et drsquoimagerenommeacutee
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
12
Bien essentiel Patrimoine drsquoexpeacuterimentation
Besoin de seacutecuriteacute Non perte ou indisponibiliteacute qq jours maximum
Impact Perte du patrimoine arrecirct de lrsquoactiviteacute perte financiegravere
Image de marque
Source de menace Humaine Interne accidentelle ou evt interne Humaine
externe volontaire (pour source de menace avec inteacuterecirct
pour les mateacuteriels)
Critegravere de seacutecuriteacute Disponibiliteacute
Bien support Ensemble du SYStegraveme supportant le stockage incluant
exploitant de la chaicircne informatique [PER] serveurs baies
de stockage DVD [MAT]hellip)
Menace Coupure eacutelectrique (avec dommages) panne serveur[MAT-
DEP] deacuteteacuterioration [MAT-DET] deacutepart ou erreurs de
lrsquoexploitant vol [MAT-PTE]
Vulneacuterabiliteacute Par deacutefaut toutes celle de ce type de [SYS]tegravemedispo
Composants du risque
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
13
Risque 2 Une diffusion de la maladie laquo sensible raquo
drsquoun patient peut entrainer une condamnation
suite agrave plainte et atteindre agrave lrsquoimage de
lrsquoeacutetablissement voire entrainer lrsquoarrecirct de lrsquoactiviteacute
de suivi meacutedical associeacute
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
14
14
Bien essentiel Donneacutees patient confieacutees sur la base du volontariat
Besoin de seacutecuriteacute confidentialiteacute
Impact Arrecirct de lrsquoactiviteacute (perte de confiance des patients) plainte
des patients (condamnation) perte drsquoImage hellip
Source de menace humaine interne
Critegravere de seacutecuriteacute Confidentialiteacute
Bien support Application xxxx [LOG] (et ensemble du SYStegraveme le
supportant administrateurs meacutetier exploitant de la chaicircne
informatique [PERS] serveurs stockage reacuteseauhellip
[MAT][RSX])
Menace Menaces sur la confidentialiteacute usurpation de droits manque
protection du logiciel [LOG-] absence de sensibilisation des
usagers [PER-USGDET] hellip
Vulneacuterabiliteacute Par deacutefaut toutes celles de ce type de SYStegraveme associeacutees
aux menaces pour le critegravere de confidentialiteacute
Composants du risque
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
15
15
Les productions
Tableau des eacuteveacutenements
redouteacutes
Tableau des sceacutenarios de menaces (Bdc Ebios
menacesvulneacuterabiliteacutes)
Tableau des risques
Choix de traitement
Mesures (Bdc Ebios
mesures ISO 27002 RGS)
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
16
Tableau des risques (exemple)Eacuteveacutenement
redouteacute
Besoin de
seacutecuriteacute
Impacts Sceacutenario de
menaces
et
menaces
Sources de
menaces
Vraisemblance Graviteacute
ER1 Compromission
de piegraveces jointes
4 Priveacute (variable) Impacts
1048633 Perte dun
marcheacute
1048633 Pertes
financiegraveres
SM6
Compromis
sion par
une
menace sur
un employeacute
1048633 Deacutepart dune
personne
1048633 Espionnage
dune
personne agrave
distance
1048633 Influence sur
une
personne
Sources de
menaces
1048633 Concurrent
avide
1048633 Employeacute peu
seacuterieux
3 Importante 3 Forte
Extrait eacutetude de cas ANSSI compromission de mel
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
17
17
Synthegravese drsquoun processus EBIOS - Santeacute
bull Inteacutegrer les eacuteleacutements de contexte (PMSSI peacuterimegravetre biens hellip)
bull Sceacutenariser (eacuteveacutenements redouteacutes menaces risques)
bull Creacuteer une base de sceacutenarios de risques du peacuterimegravetre santeacute constitueacutee
progressivement (risques geacuteneacuteriques eacutevaluations speacutecifiques)
bull ChoisirValider le traitement des sceacutenarios de risques
bull Proposer des mesures de traitement (ISO 27002 RGS hellip)
bull Arriver aux objectifs meacutetiers (mesurer)
bull Organiser le SMSI associeacute (ISO 27001) reacuteseau de correspondants
SSI et CIL comiteacutes seacutecuriteacute plan drsquoaudits tableau de bord seacutecuriteacute
(opeacuterationnel pilotage et strateacutegique)
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation
MERCI DE VOTRE ATTENTION
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
7
Surveillance et revue
La gestion des risques SSI
ISO 27005 appliqueacutee dans EBIOSCommunication
Appreacuteciation des risques
Traitement des risques
Acceptation des risques
Eacutetablissement du contexte
Eacutetude du contexte
Eacutetude des eacuteveacutenements redouteacutes
Eacutetude des sceacutenarios de menaces
Eacutetude des risques
Eacutetude des mesures de seacutecuriteacute
Source
Bureau
assistance et
conseil de
lrsquoANSSI
httpwwws
sigouvfr
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
8
8
Les composants du risque
EBIOS 2010 le GPS SSI
Aide agrave la navigation dans la construction du
risque
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation
9
Eveacutenements
redouteacutes
Communs Sceacutenarios de
menaces
Sources de menaces
Biens essentiels Biens supports
Critegraveres (DIC hellip)
Besoins de seacutecuriteacute Menaces
Impacts Vulneacuterabiliteacutes
GRAVITE
VRAISEMBLANCE
Supportent
LA CARTOGRAPHIE DES COMPOSANTS DU
RISQUE selon EBIOS 2010
Niveau de Risque brut = f(GraviteacuteVraisemblance)
Niveau de Risque net = f(GraviteacuteVraisemblance) ndash g(Mesures existantes)
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
10
10
Exemples
Les eacuteveacutenements redouteacutes points drsquoentreacutee pour
reacuteduire le champs de composition des risques Un cahier des charges pour la MOE
Interviews meacutetier
bull Que redoutez vous dans votre activiteacute
bull Comment une deacutefaillance du SI peut elle
conduire agrave cette situation redouteacutee
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
11
Risque 1 La perte ou lrsquoindisponibiliteacute prolongeacutee des donneacutees de recherche meacutedicale (patrimoine de recherche composeacute de donneacutees difficilement reproductibles (videacuteos photos documents numeacuteriques) par exemple des cas cliniques rares et servant agrave reacutealiser des recherches agrave posteacuteriori) peut empecirccher de reacutepondre agrave des appels drsquooffre pour des contrats de recherche Lrsquoimpact peut ecirctre financier et drsquoimagerenommeacutee
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
12
Bien essentiel Patrimoine drsquoexpeacuterimentation
Besoin de seacutecuriteacute Non perte ou indisponibiliteacute qq jours maximum
Impact Perte du patrimoine arrecirct de lrsquoactiviteacute perte financiegravere
Image de marque
Source de menace Humaine Interne accidentelle ou evt interne Humaine
externe volontaire (pour source de menace avec inteacuterecirct
pour les mateacuteriels)
Critegravere de seacutecuriteacute Disponibiliteacute
Bien support Ensemble du SYStegraveme supportant le stockage incluant
exploitant de la chaicircne informatique [PER] serveurs baies
de stockage DVD [MAT]hellip)
Menace Coupure eacutelectrique (avec dommages) panne serveur[MAT-
DEP] deacuteteacuterioration [MAT-DET] deacutepart ou erreurs de
lrsquoexploitant vol [MAT-PTE]
Vulneacuterabiliteacute Par deacutefaut toutes celle de ce type de [SYS]tegravemedispo
Composants du risque
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
13
Risque 2 Une diffusion de la maladie laquo sensible raquo
drsquoun patient peut entrainer une condamnation
suite agrave plainte et atteindre agrave lrsquoimage de
lrsquoeacutetablissement voire entrainer lrsquoarrecirct de lrsquoactiviteacute
de suivi meacutedical associeacute
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
14
14
Bien essentiel Donneacutees patient confieacutees sur la base du volontariat
Besoin de seacutecuriteacute confidentialiteacute
Impact Arrecirct de lrsquoactiviteacute (perte de confiance des patients) plainte
des patients (condamnation) perte drsquoImage hellip
Source de menace humaine interne
Critegravere de seacutecuriteacute Confidentialiteacute
Bien support Application xxxx [LOG] (et ensemble du SYStegraveme le
supportant administrateurs meacutetier exploitant de la chaicircne
informatique [PERS] serveurs stockage reacuteseauhellip
[MAT][RSX])
Menace Menaces sur la confidentialiteacute usurpation de droits manque
protection du logiciel [LOG-] absence de sensibilisation des
usagers [PER-USGDET] hellip
Vulneacuterabiliteacute Par deacutefaut toutes celles de ce type de SYStegraveme associeacutees
aux menaces pour le critegravere de confidentialiteacute
Composants du risque
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
15
15
Les productions
Tableau des eacuteveacutenements
redouteacutes
Tableau des sceacutenarios de menaces (Bdc Ebios
menacesvulneacuterabiliteacutes)
Tableau des risques
Choix de traitement
Mesures (Bdc Ebios
mesures ISO 27002 RGS)
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
16
Tableau des risques (exemple)Eacuteveacutenement
redouteacute
Besoin de
seacutecuriteacute
Impacts Sceacutenario de
menaces
et
menaces
Sources de
menaces
Vraisemblance Graviteacute
ER1 Compromission
de piegraveces jointes
4 Priveacute (variable) Impacts
1048633 Perte dun
marcheacute
1048633 Pertes
financiegraveres
SM6
Compromis
sion par
une
menace sur
un employeacute
1048633 Deacutepart dune
personne
1048633 Espionnage
dune
personne agrave
distance
1048633 Influence sur
une
personne
Sources de
menaces
1048633 Concurrent
avide
1048633 Employeacute peu
seacuterieux
3 Importante 3 Forte
Extrait eacutetude de cas ANSSI compromission de mel
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
17
17
Synthegravese drsquoun processus EBIOS - Santeacute
bull Inteacutegrer les eacuteleacutements de contexte (PMSSI peacuterimegravetre biens hellip)
bull Sceacutenariser (eacuteveacutenements redouteacutes menaces risques)
bull Creacuteer une base de sceacutenarios de risques du peacuterimegravetre santeacute constitueacutee
progressivement (risques geacuteneacuteriques eacutevaluations speacutecifiques)
bull ChoisirValider le traitement des sceacutenarios de risques
bull Proposer des mesures de traitement (ISO 27002 RGS hellip)
bull Arriver aux objectifs meacutetiers (mesurer)
bull Organiser le SMSI associeacute (ISO 27001) reacuteseau de correspondants
SSI et CIL comiteacutes seacutecuriteacute plan drsquoaudits tableau de bord seacutecuriteacute
(opeacuterationnel pilotage et strateacutegique)
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation
MERCI DE VOTRE ATTENTION
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
8
8
Les composants du risque
EBIOS 2010 le GPS SSI
Aide agrave la navigation dans la construction du
risque
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation
9
Eveacutenements
redouteacutes
Communs Sceacutenarios de
menaces
Sources de menaces
Biens essentiels Biens supports
Critegraveres (DIC hellip)
Besoins de seacutecuriteacute Menaces
Impacts Vulneacuterabiliteacutes
GRAVITE
VRAISEMBLANCE
Supportent
LA CARTOGRAPHIE DES COMPOSANTS DU
RISQUE selon EBIOS 2010
Niveau de Risque brut = f(GraviteacuteVraisemblance)
Niveau de Risque net = f(GraviteacuteVraisemblance) ndash g(Mesures existantes)
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
10
10
Exemples
Les eacuteveacutenements redouteacutes points drsquoentreacutee pour
reacuteduire le champs de composition des risques Un cahier des charges pour la MOE
Interviews meacutetier
bull Que redoutez vous dans votre activiteacute
bull Comment une deacutefaillance du SI peut elle
conduire agrave cette situation redouteacutee
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
11
Risque 1 La perte ou lrsquoindisponibiliteacute prolongeacutee des donneacutees de recherche meacutedicale (patrimoine de recherche composeacute de donneacutees difficilement reproductibles (videacuteos photos documents numeacuteriques) par exemple des cas cliniques rares et servant agrave reacutealiser des recherches agrave posteacuteriori) peut empecirccher de reacutepondre agrave des appels drsquooffre pour des contrats de recherche Lrsquoimpact peut ecirctre financier et drsquoimagerenommeacutee
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
12
Bien essentiel Patrimoine drsquoexpeacuterimentation
Besoin de seacutecuriteacute Non perte ou indisponibiliteacute qq jours maximum
Impact Perte du patrimoine arrecirct de lrsquoactiviteacute perte financiegravere
Image de marque
Source de menace Humaine Interne accidentelle ou evt interne Humaine
externe volontaire (pour source de menace avec inteacuterecirct
pour les mateacuteriels)
Critegravere de seacutecuriteacute Disponibiliteacute
Bien support Ensemble du SYStegraveme supportant le stockage incluant
exploitant de la chaicircne informatique [PER] serveurs baies
de stockage DVD [MAT]hellip)
Menace Coupure eacutelectrique (avec dommages) panne serveur[MAT-
DEP] deacuteteacuterioration [MAT-DET] deacutepart ou erreurs de
lrsquoexploitant vol [MAT-PTE]
Vulneacuterabiliteacute Par deacutefaut toutes celle de ce type de [SYS]tegravemedispo
Composants du risque
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
13
Risque 2 Une diffusion de la maladie laquo sensible raquo
drsquoun patient peut entrainer une condamnation
suite agrave plainte et atteindre agrave lrsquoimage de
lrsquoeacutetablissement voire entrainer lrsquoarrecirct de lrsquoactiviteacute
de suivi meacutedical associeacute
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
14
14
Bien essentiel Donneacutees patient confieacutees sur la base du volontariat
Besoin de seacutecuriteacute confidentialiteacute
Impact Arrecirct de lrsquoactiviteacute (perte de confiance des patients) plainte
des patients (condamnation) perte drsquoImage hellip
Source de menace humaine interne
Critegravere de seacutecuriteacute Confidentialiteacute
Bien support Application xxxx [LOG] (et ensemble du SYStegraveme le
supportant administrateurs meacutetier exploitant de la chaicircne
informatique [PERS] serveurs stockage reacuteseauhellip
[MAT][RSX])
Menace Menaces sur la confidentialiteacute usurpation de droits manque
protection du logiciel [LOG-] absence de sensibilisation des
usagers [PER-USGDET] hellip
Vulneacuterabiliteacute Par deacutefaut toutes celles de ce type de SYStegraveme associeacutees
aux menaces pour le critegravere de confidentialiteacute
Composants du risque
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
15
15
Les productions
Tableau des eacuteveacutenements
redouteacutes
Tableau des sceacutenarios de menaces (Bdc Ebios
menacesvulneacuterabiliteacutes)
Tableau des risques
Choix de traitement
Mesures (Bdc Ebios
mesures ISO 27002 RGS)
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
16
Tableau des risques (exemple)Eacuteveacutenement
redouteacute
Besoin de
seacutecuriteacute
Impacts Sceacutenario de
menaces
et
menaces
Sources de
menaces
Vraisemblance Graviteacute
ER1 Compromission
de piegraveces jointes
4 Priveacute (variable) Impacts
1048633 Perte dun
marcheacute
1048633 Pertes
financiegraveres
SM6
Compromis
sion par
une
menace sur
un employeacute
1048633 Deacutepart dune
personne
1048633 Espionnage
dune
personne agrave
distance
1048633 Influence sur
une
personne
Sources de
menaces
1048633 Concurrent
avide
1048633 Employeacute peu
seacuterieux
3 Importante 3 Forte
Extrait eacutetude de cas ANSSI compromission de mel
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
17
17
Synthegravese drsquoun processus EBIOS - Santeacute
bull Inteacutegrer les eacuteleacutements de contexte (PMSSI peacuterimegravetre biens hellip)
bull Sceacutenariser (eacuteveacutenements redouteacutes menaces risques)
bull Creacuteer une base de sceacutenarios de risques du peacuterimegravetre santeacute constitueacutee
progressivement (risques geacuteneacuteriques eacutevaluations speacutecifiques)
bull ChoisirValider le traitement des sceacutenarios de risques
bull Proposer des mesures de traitement (ISO 27002 RGS hellip)
bull Arriver aux objectifs meacutetiers (mesurer)
bull Organiser le SMSI associeacute (ISO 27001) reacuteseau de correspondants
SSI et CIL comiteacutes seacutecuriteacute plan drsquoaudits tableau de bord seacutecuriteacute
(opeacuterationnel pilotage et strateacutegique)
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation
MERCI DE VOTRE ATTENTION
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation
9
Eveacutenements
redouteacutes
Communs Sceacutenarios de
menaces
Sources de menaces
Biens essentiels Biens supports
Critegraveres (DIC hellip)
Besoins de seacutecuriteacute Menaces
Impacts Vulneacuterabiliteacutes
GRAVITE
VRAISEMBLANCE
Supportent
LA CARTOGRAPHIE DES COMPOSANTS DU
RISQUE selon EBIOS 2010
Niveau de Risque brut = f(GraviteacuteVraisemblance)
Niveau de Risque net = f(GraviteacuteVraisemblance) ndash g(Mesures existantes)
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
10
10
Exemples
Les eacuteveacutenements redouteacutes points drsquoentreacutee pour
reacuteduire le champs de composition des risques Un cahier des charges pour la MOE
Interviews meacutetier
bull Que redoutez vous dans votre activiteacute
bull Comment une deacutefaillance du SI peut elle
conduire agrave cette situation redouteacutee
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
11
Risque 1 La perte ou lrsquoindisponibiliteacute prolongeacutee des donneacutees de recherche meacutedicale (patrimoine de recherche composeacute de donneacutees difficilement reproductibles (videacuteos photos documents numeacuteriques) par exemple des cas cliniques rares et servant agrave reacutealiser des recherches agrave posteacuteriori) peut empecirccher de reacutepondre agrave des appels drsquooffre pour des contrats de recherche Lrsquoimpact peut ecirctre financier et drsquoimagerenommeacutee
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
12
Bien essentiel Patrimoine drsquoexpeacuterimentation
Besoin de seacutecuriteacute Non perte ou indisponibiliteacute qq jours maximum
Impact Perte du patrimoine arrecirct de lrsquoactiviteacute perte financiegravere
Image de marque
Source de menace Humaine Interne accidentelle ou evt interne Humaine
externe volontaire (pour source de menace avec inteacuterecirct
pour les mateacuteriels)
Critegravere de seacutecuriteacute Disponibiliteacute
Bien support Ensemble du SYStegraveme supportant le stockage incluant
exploitant de la chaicircne informatique [PER] serveurs baies
de stockage DVD [MAT]hellip)
Menace Coupure eacutelectrique (avec dommages) panne serveur[MAT-
DEP] deacuteteacuterioration [MAT-DET] deacutepart ou erreurs de
lrsquoexploitant vol [MAT-PTE]
Vulneacuterabiliteacute Par deacutefaut toutes celle de ce type de [SYS]tegravemedispo
Composants du risque
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
13
Risque 2 Une diffusion de la maladie laquo sensible raquo
drsquoun patient peut entrainer une condamnation
suite agrave plainte et atteindre agrave lrsquoimage de
lrsquoeacutetablissement voire entrainer lrsquoarrecirct de lrsquoactiviteacute
de suivi meacutedical associeacute
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
14
14
Bien essentiel Donneacutees patient confieacutees sur la base du volontariat
Besoin de seacutecuriteacute confidentialiteacute
Impact Arrecirct de lrsquoactiviteacute (perte de confiance des patients) plainte
des patients (condamnation) perte drsquoImage hellip
Source de menace humaine interne
Critegravere de seacutecuriteacute Confidentialiteacute
Bien support Application xxxx [LOG] (et ensemble du SYStegraveme le
supportant administrateurs meacutetier exploitant de la chaicircne
informatique [PERS] serveurs stockage reacuteseauhellip
[MAT][RSX])
Menace Menaces sur la confidentialiteacute usurpation de droits manque
protection du logiciel [LOG-] absence de sensibilisation des
usagers [PER-USGDET] hellip
Vulneacuterabiliteacute Par deacutefaut toutes celles de ce type de SYStegraveme associeacutees
aux menaces pour le critegravere de confidentialiteacute
Composants du risque
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
15
15
Les productions
Tableau des eacuteveacutenements
redouteacutes
Tableau des sceacutenarios de menaces (Bdc Ebios
menacesvulneacuterabiliteacutes)
Tableau des risques
Choix de traitement
Mesures (Bdc Ebios
mesures ISO 27002 RGS)
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
16
Tableau des risques (exemple)Eacuteveacutenement
redouteacute
Besoin de
seacutecuriteacute
Impacts Sceacutenario de
menaces
et
menaces
Sources de
menaces
Vraisemblance Graviteacute
ER1 Compromission
de piegraveces jointes
4 Priveacute (variable) Impacts
1048633 Perte dun
marcheacute
1048633 Pertes
financiegraveres
SM6
Compromis
sion par
une
menace sur
un employeacute
1048633 Deacutepart dune
personne
1048633 Espionnage
dune
personne agrave
distance
1048633 Influence sur
une
personne
Sources de
menaces
1048633 Concurrent
avide
1048633 Employeacute peu
seacuterieux
3 Importante 3 Forte
Extrait eacutetude de cas ANSSI compromission de mel
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
17
17
Synthegravese drsquoun processus EBIOS - Santeacute
bull Inteacutegrer les eacuteleacutements de contexte (PMSSI peacuterimegravetre biens hellip)
bull Sceacutenariser (eacuteveacutenements redouteacutes menaces risques)
bull Creacuteer une base de sceacutenarios de risques du peacuterimegravetre santeacute constitueacutee
progressivement (risques geacuteneacuteriques eacutevaluations speacutecifiques)
bull ChoisirValider le traitement des sceacutenarios de risques
bull Proposer des mesures de traitement (ISO 27002 RGS hellip)
bull Arriver aux objectifs meacutetiers (mesurer)
bull Organiser le SMSI associeacute (ISO 27001) reacuteseau de correspondants
SSI et CIL comiteacutes seacutecuriteacute plan drsquoaudits tableau de bord seacutecuriteacute
(opeacuterationnel pilotage et strateacutegique)
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation
MERCI DE VOTRE ATTENTION
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
10
10
Exemples
Les eacuteveacutenements redouteacutes points drsquoentreacutee pour
reacuteduire le champs de composition des risques Un cahier des charges pour la MOE
Interviews meacutetier
bull Que redoutez vous dans votre activiteacute
bull Comment une deacutefaillance du SI peut elle
conduire agrave cette situation redouteacutee
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
11
Risque 1 La perte ou lrsquoindisponibiliteacute prolongeacutee des donneacutees de recherche meacutedicale (patrimoine de recherche composeacute de donneacutees difficilement reproductibles (videacuteos photos documents numeacuteriques) par exemple des cas cliniques rares et servant agrave reacutealiser des recherches agrave posteacuteriori) peut empecirccher de reacutepondre agrave des appels drsquooffre pour des contrats de recherche Lrsquoimpact peut ecirctre financier et drsquoimagerenommeacutee
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
12
Bien essentiel Patrimoine drsquoexpeacuterimentation
Besoin de seacutecuriteacute Non perte ou indisponibiliteacute qq jours maximum
Impact Perte du patrimoine arrecirct de lrsquoactiviteacute perte financiegravere
Image de marque
Source de menace Humaine Interne accidentelle ou evt interne Humaine
externe volontaire (pour source de menace avec inteacuterecirct
pour les mateacuteriels)
Critegravere de seacutecuriteacute Disponibiliteacute
Bien support Ensemble du SYStegraveme supportant le stockage incluant
exploitant de la chaicircne informatique [PER] serveurs baies
de stockage DVD [MAT]hellip)
Menace Coupure eacutelectrique (avec dommages) panne serveur[MAT-
DEP] deacuteteacuterioration [MAT-DET] deacutepart ou erreurs de
lrsquoexploitant vol [MAT-PTE]
Vulneacuterabiliteacute Par deacutefaut toutes celle de ce type de [SYS]tegravemedispo
Composants du risque
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
13
Risque 2 Une diffusion de la maladie laquo sensible raquo
drsquoun patient peut entrainer une condamnation
suite agrave plainte et atteindre agrave lrsquoimage de
lrsquoeacutetablissement voire entrainer lrsquoarrecirct de lrsquoactiviteacute
de suivi meacutedical associeacute
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
14
14
Bien essentiel Donneacutees patient confieacutees sur la base du volontariat
Besoin de seacutecuriteacute confidentialiteacute
Impact Arrecirct de lrsquoactiviteacute (perte de confiance des patients) plainte
des patients (condamnation) perte drsquoImage hellip
Source de menace humaine interne
Critegravere de seacutecuriteacute Confidentialiteacute
Bien support Application xxxx [LOG] (et ensemble du SYStegraveme le
supportant administrateurs meacutetier exploitant de la chaicircne
informatique [PERS] serveurs stockage reacuteseauhellip
[MAT][RSX])
Menace Menaces sur la confidentialiteacute usurpation de droits manque
protection du logiciel [LOG-] absence de sensibilisation des
usagers [PER-USGDET] hellip
Vulneacuterabiliteacute Par deacutefaut toutes celles de ce type de SYStegraveme associeacutees
aux menaces pour le critegravere de confidentialiteacute
Composants du risque
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
15
15
Les productions
Tableau des eacuteveacutenements
redouteacutes
Tableau des sceacutenarios de menaces (Bdc Ebios
menacesvulneacuterabiliteacutes)
Tableau des risques
Choix de traitement
Mesures (Bdc Ebios
mesures ISO 27002 RGS)
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
16
Tableau des risques (exemple)Eacuteveacutenement
redouteacute
Besoin de
seacutecuriteacute
Impacts Sceacutenario de
menaces
et
menaces
Sources de
menaces
Vraisemblance Graviteacute
ER1 Compromission
de piegraveces jointes
4 Priveacute (variable) Impacts
1048633 Perte dun
marcheacute
1048633 Pertes
financiegraveres
SM6
Compromis
sion par
une
menace sur
un employeacute
1048633 Deacutepart dune
personne
1048633 Espionnage
dune
personne agrave
distance
1048633 Influence sur
une
personne
Sources de
menaces
1048633 Concurrent
avide
1048633 Employeacute peu
seacuterieux
3 Importante 3 Forte
Extrait eacutetude de cas ANSSI compromission de mel
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
17
17
Synthegravese drsquoun processus EBIOS - Santeacute
bull Inteacutegrer les eacuteleacutements de contexte (PMSSI peacuterimegravetre biens hellip)
bull Sceacutenariser (eacuteveacutenements redouteacutes menaces risques)
bull Creacuteer une base de sceacutenarios de risques du peacuterimegravetre santeacute constitueacutee
progressivement (risques geacuteneacuteriques eacutevaluations speacutecifiques)
bull ChoisirValider le traitement des sceacutenarios de risques
bull Proposer des mesures de traitement (ISO 27002 RGS hellip)
bull Arriver aux objectifs meacutetiers (mesurer)
bull Organiser le SMSI associeacute (ISO 27001) reacuteseau de correspondants
SSI et CIL comiteacutes seacutecuriteacute plan drsquoaudits tableau de bord seacutecuriteacute
(opeacuterationnel pilotage et strateacutegique)
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation
MERCI DE VOTRE ATTENTION
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
11
Risque 1 La perte ou lrsquoindisponibiliteacute prolongeacutee des donneacutees de recherche meacutedicale (patrimoine de recherche composeacute de donneacutees difficilement reproductibles (videacuteos photos documents numeacuteriques) par exemple des cas cliniques rares et servant agrave reacutealiser des recherches agrave posteacuteriori) peut empecirccher de reacutepondre agrave des appels drsquooffre pour des contrats de recherche Lrsquoimpact peut ecirctre financier et drsquoimagerenommeacutee
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
12
Bien essentiel Patrimoine drsquoexpeacuterimentation
Besoin de seacutecuriteacute Non perte ou indisponibiliteacute qq jours maximum
Impact Perte du patrimoine arrecirct de lrsquoactiviteacute perte financiegravere
Image de marque
Source de menace Humaine Interne accidentelle ou evt interne Humaine
externe volontaire (pour source de menace avec inteacuterecirct
pour les mateacuteriels)
Critegravere de seacutecuriteacute Disponibiliteacute
Bien support Ensemble du SYStegraveme supportant le stockage incluant
exploitant de la chaicircne informatique [PER] serveurs baies
de stockage DVD [MAT]hellip)
Menace Coupure eacutelectrique (avec dommages) panne serveur[MAT-
DEP] deacuteteacuterioration [MAT-DET] deacutepart ou erreurs de
lrsquoexploitant vol [MAT-PTE]
Vulneacuterabiliteacute Par deacutefaut toutes celle de ce type de [SYS]tegravemedispo
Composants du risque
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
13
Risque 2 Une diffusion de la maladie laquo sensible raquo
drsquoun patient peut entrainer une condamnation
suite agrave plainte et atteindre agrave lrsquoimage de
lrsquoeacutetablissement voire entrainer lrsquoarrecirct de lrsquoactiviteacute
de suivi meacutedical associeacute
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
14
14
Bien essentiel Donneacutees patient confieacutees sur la base du volontariat
Besoin de seacutecuriteacute confidentialiteacute
Impact Arrecirct de lrsquoactiviteacute (perte de confiance des patients) plainte
des patients (condamnation) perte drsquoImage hellip
Source de menace humaine interne
Critegravere de seacutecuriteacute Confidentialiteacute
Bien support Application xxxx [LOG] (et ensemble du SYStegraveme le
supportant administrateurs meacutetier exploitant de la chaicircne
informatique [PERS] serveurs stockage reacuteseauhellip
[MAT][RSX])
Menace Menaces sur la confidentialiteacute usurpation de droits manque
protection du logiciel [LOG-] absence de sensibilisation des
usagers [PER-USGDET] hellip
Vulneacuterabiliteacute Par deacutefaut toutes celles de ce type de SYStegraveme associeacutees
aux menaces pour le critegravere de confidentialiteacute
Composants du risque
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
15
15
Les productions
Tableau des eacuteveacutenements
redouteacutes
Tableau des sceacutenarios de menaces (Bdc Ebios
menacesvulneacuterabiliteacutes)
Tableau des risques
Choix de traitement
Mesures (Bdc Ebios
mesures ISO 27002 RGS)
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
16
Tableau des risques (exemple)Eacuteveacutenement
redouteacute
Besoin de
seacutecuriteacute
Impacts Sceacutenario de
menaces
et
menaces
Sources de
menaces
Vraisemblance Graviteacute
ER1 Compromission
de piegraveces jointes
4 Priveacute (variable) Impacts
1048633 Perte dun
marcheacute
1048633 Pertes
financiegraveres
SM6
Compromis
sion par
une
menace sur
un employeacute
1048633 Deacutepart dune
personne
1048633 Espionnage
dune
personne agrave
distance
1048633 Influence sur
une
personne
Sources de
menaces
1048633 Concurrent
avide
1048633 Employeacute peu
seacuterieux
3 Importante 3 Forte
Extrait eacutetude de cas ANSSI compromission de mel
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
17
17
Synthegravese drsquoun processus EBIOS - Santeacute
bull Inteacutegrer les eacuteleacutements de contexte (PMSSI peacuterimegravetre biens hellip)
bull Sceacutenariser (eacuteveacutenements redouteacutes menaces risques)
bull Creacuteer une base de sceacutenarios de risques du peacuterimegravetre santeacute constitueacutee
progressivement (risques geacuteneacuteriques eacutevaluations speacutecifiques)
bull ChoisirValider le traitement des sceacutenarios de risques
bull Proposer des mesures de traitement (ISO 27002 RGS hellip)
bull Arriver aux objectifs meacutetiers (mesurer)
bull Organiser le SMSI associeacute (ISO 27001) reacuteseau de correspondants
SSI et CIL comiteacutes seacutecuriteacute plan drsquoaudits tableau de bord seacutecuriteacute
(opeacuterationnel pilotage et strateacutegique)
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation
MERCI DE VOTRE ATTENTION
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
12
Bien essentiel Patrimoine drsquoexpeacuterimentation
Besoin de seacutecuriteacute Non perte ou indisponibiliteacute qq jours maximum
Impact Perte du patrimoine arrecirct de lrsquoactiviteacute perte financiegravere
Image de marque
Source de menace Humaine Interne accidentelle ou evt interne Humaine
externe volontaire (pour source de menace avec inteacuterecirct
pour les mateacuteriels)
Critegravere de seacutecuriteacute Disponibiliteacute
Bien support Ensemble du SYStegraveme supportant le stockage incluant
exploitant de la chaicircne informatique [PER] serveurs baies
de stockage DVD [MAT]hellip)
Menace Coupure eacutelectrique (avec dommages) panne serveur[MAT-
DEP] deacuteteacuterioration [MAT-DET] deacutepart ou erreurs de
lrsquoexploitant vol [MAT-PTE]
Vulneacuterabiliteacute Par deacutefaut toutes celle de ce type de [SYS]tegravemedispo
Composants du risque
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
13
Risque 2 Une diffusion de la maladie laquo sensible raquo
drsquoun patient peut entrainer une condamnation
suite agrave plainte et atteindre agrave lrsquoimage de
lrsquoeacutetablissement voire entrainer lrsquoarrecirct de lrsquoactiviteacute
de suivi meacutedical associeacute
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
14
14
Bien essentiel Donneacutees patient confieacutees sur la base du volontariat
Besoin de seacutecuriteacute confidentialiteacute
Impact Arrecirct de lrsquoactiviteacute (perte de confiance des patients) plainte
des patients (condamnation) perte drsquoImage hellip
Source de menace humaine interne
Critegravere de seacutecuriteacute Confidentialiteacute
Bien support Application xxxx [LOG] (et ensemble du SYStegraveme le
supportant administrateurs meacutetier exploitant de la chaicircne
informatique [PERS] serveurs stockage reacuteseauhellip
[MAT][RSX])
Menace Menaces sur la confidentialiteacute usurpation de droits manque
protection du logiciel [LOG-] absence de sensibilisation des
usagers [PER-USGDET] hellip
Vulneacuterabiliteacute Par deacutefaut toutes celles de ce type de SYStegraveme associeacutees
aux menaces pour le critegravere de confidentialiteacute
Composants du risque
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
15
15
Les productions
Tableau des eacuteveacutenements
redouteacutes
Tableau des sceacutenarios de menaces (Bdc Ebios
menacesvulneacuterabiliteacutes)
Tableau des risques
Choix de traitement
Mesures (Bdc Ebios
mesures ISO 27002 RGS)
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
16
Tableau des risques (exemple)Eacuteveacutenement
redouteacute
Besoin de
seacutecuriteacute
Impacts Sceacutenario de
menaces
et
menaces
Sources de
menaces
Vraisemblance Graviteacute
ER1 Compromission
de piegraveces jointes
4 Priveacute (variable) Impacts
1048633 Perte dun
marcheacute
1048633 Pertes
financiegraveres
SM6
Compromis
sion par
une
menace sur
un employeacute
1048633 Deacutepart dune
personne
1048633 Espionnage
dune
personne agrave
distance
1048633 Influence sur
une
personne
Sources de
menaces
1048633 Concurrent
avide
1048633 Employeacute peu
seacuterieux
3 Importante 3 Forte
Extrait eacutetude de cas ANSSI compromission de mel
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
17
17
Synthegravese drsquoun processus EBIOS - Santeacute
bull Inteacutegrer les eacuteleacutements de contexte (PMSSI peacuterimegravetre biens hellip)
bull Sceacutenariser (eacuteveacutenements redouteacutes menaces risques)
bull Creacuteer une base de sceacutenarios de risques du peacuterimegravetre santeacute constitueacutee
progressivement (risques geacuteneacuteriques eacutevaluations speacutecifiques)
bull ChoisirValider le traitement des sceacutenarios de risques
bull Proposer des mesures de traitement (ISO 27002 RGS hellip)
bull Arriver aux objectifs meacutetiers (mesurer)
bull Organiser le SMSI associeacute (ISO 27001) reacuteseau de correspondants
SSI et CIL comiteacutes seacutecuriteacute plan drsquoaudits tableau de bord seacutecuriteacute
(opeacuterationnel pilotage et strateacutegique)
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation
MERCI DE VOTRE ATTENTION
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
13
Risque 2 Une diffusion de la maladie laquo sensible raquo
drsquoun patient peut entrainer une condamnation
suite agrave plainte et atteindre agrave lrsquoimage de
lrsquoeacutetablissement voire entrainer lrsquoarrecirct de lrsquoactiviteacute
de suivi meacutedical associeacute
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
14
14
Bien essentiel Donneacutees patient confieacutees sur la base du volontariat
Besoin de seacutecuriteacute confidentialiteacute
Impact Arrecirct de lrsquoactiviteacute (perte de confiance des patients) plainte
des patients (condamnation) perte drsquoImage hellip
Source de menace humaine interne
Critegravere de seacutecuriteacute Confidentialiteacute
Bien support Application xxxx [LOG] (et ensemble du SYStegraveme le
supportant administrateurs meacutetier exploitant de la chaicircne
informatique [PERS] serveurs stockage reacuteseauhellip
[MAT][RSX])
Menace Menaces sur la confidentialiteacute usurpation de droits manque
protection du logiciel [LOG-] absence de sensibilisation des
usagers [PER-USGDET] hellip
Vulneacuterabiliteacute Par deacutefaut toutes celles de ce type de SYStegraveme associeacutees
aux menaces pour le critegravere de confidentialiteacute
Composants du risque
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
15
15
Les productions
Tableau des eacuteveacutenements
redouteacutes
Tableau des sceacutenarios de menaces (Bdc Ebios
menacesvulneacuterabiliteacutes)
Tableau des risques
Choix de traitement
Mesures (Bdc Ebios
mesures ISO 27002 RGS)
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
16
Tableau des risques (exemple)Eacuteveacutenement
redouteacute
Besoin de
seacutecuriteacute
Impacts Sceacutenario de
menaces
et
menaces
Sources de
menaces
Vraisemblance Graviteacute
ER1 Compromission
de piegraveces jointes
4 Priveacute (variable) Impacts
1048633 Perte dun
marcheacute
1048633 Pertes
financiegraveres
SM6
Compromis
sion par
une
menace sur
un employeacute
1048633 Deacutepart dune
personne
1048633 Espionnage
dune
personne agrave
distance
1048633 Influence sur
une
personne
Sources de
menaces
1048633 Concurrent
avide
1048633 Employeacute peu
seacuterieux
3 Importante 3 Forte
Extrait eacutetude de cas ANSSI compromission de mel
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
17
17
Synthegravese drsquoun processus EBIOS - Santeacute
bull Inteacutegrer les eacuteleacutements de contexte (PMSSI peacuterimegravetre biens hellip)
bull Sceacutenariser (eacuteveacutenements redouteacutes menaces risques)
bull Creacuteer une base de sceacutenarios de risques du peacuterimegravetre santeacute constitueacutee
progressivement (risques geacuteneacuteriques eacutevaluations speacutecifiques)
bull ChoisirValider le traitement des sceacutenarios de risques
bull Proposer des mesures de traitement (ISO 27002 RGS hellip)
bull Arriver aux objectifs meacutetiers (mesurer)
bull Organiser le SMSI associeacute (ISO 27001) reacuteseau de correspondants
SSI et CIL comiteacutes seacutecuriteacute plan drsquoaudits tableau de bord seacutecuriteacute
(opeacuterationnel pilotage et strateacutegique)
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation
MERCI DE VOTRE ATTENTION
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
14
14
Bien essentiel Donneacutees patient confieacutees sur la base du volontariat
Besoin de seacutecuriteacute confidentialiteacute
Impact Arrecirct de lrsquoactiviteacute (perte de confiance des patients) plainte
des patients (condamnation) perte drsquoImage hellip
Source de menace humaine interne
Critegravere de seacutecuriteacute Confidentialiteacute
Bien support Application xxxx [LOG] (et ensemble du SYStegraveme le
supportant administrateurs meacutetier exploitant de la chaicircne
informatique [PERS] serveurs stockage reacuteseauhellip
[MAT][RSX])
Menace Menaces sur la confidentialiteacute usurpation de droits manque
protection du logiciel [LOG-] absence de sensibilisation des
usagers [PER-USGDET] hellip
Vulneacuterabiliteacute Par deacutefaut toutes celles de ce type de SYStegraveme associeacutees
aux menaces pour le critegravere de confidentialiteacute
Composants du risque
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
15
15
Les productions
Tableau des eacuteveacutenements
redouteacutes
Tableau des sceacutenarios de menaces (Bdc Ebios
menacesvulneacuterabiliteacutes)
Tableau des risques
Choix de traitement
Mesures (Bdc Ebios
mesures ISO 27002 RGS)
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
16
Tableau des risques (exemple)Eacuteveacutenement
redouteacute
Besoin de
seacutecuriteacute
Impacts Sceacutenario de
menaces
et
menaces
Sources de
menaces
Vraisemblance Graviteacute
ER1 Compromission
de piegraveces jointes
4 Priveacute (variable) Impacts
1048633 Perte dun
marcheacute
1048633 Pertes
financiegraveres
SM6
Compromis
sion par
une
menace sur
un employeacute
1048633 Deacutepart dune
personne
1048633 Espionnage
dune
personne agrave
distance
1048633 Influence sur
une
personne
Sources de
menaces
1048633 Concurrent
avide
1048633 Employeacute peu
seacuterieux
3 Importante 3 Forte
Extrait eacutetude de cas ANSSI compromission de mel
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
17
17
Synthegravese drsquoun processus EBIOS - Santeacute
bull Inteacutegrer les eacuteleacutements de contexte (PMSSI peacuterimegravetre biens hellip)
bull Sceacutenariser (eacuteveacutenements redouteacutes menaces risques)
bull Creacuteer une base de sceacutenarios de risques du peacuterimegravetre santeacute constitueacutee
progressivement (risques geacuteneacuteriques eacutevaluations speacutecifiques)
bull ChoisirValider le traitement des sceacutenarios de risques
bull Proposer des mesures de traitement (ISO 27002 RGS hellip)
bull Arriver aux objectifs meacutetiers (mesurer)
bull Organiser le SMSI associeacute (ISO 27001) reacuteseau de correspondants
SSI et CIL comiteacutes seacutecuriteacute plan drsquoaudits tableau de bord seacutecuriteacute
(opeacuterationnel pilotage et strateacutegique)
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation
MERCI DE VOTRE ATTENTION
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
15
15
Les productions
Tableau des eacuteveacutenements
redouteacutes
Tableau des sceacutenarios de menaces (Bdc Ebios
menacesvulneacuterabiliteacutes)
Tableau des risques
Choix de traitement
Mesures (Bdc Ebios
mesures ISO 27002 RGS)
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
16
Tableau des risques (exemple)Eacuteveacutenement
redouteacute
Besoin de
seacutecuriteacute
Impacts Sceacutenario de
menaces
et
menaces
Sources de
menaces
Vraisemblance Graviteacute
ER1 Compromission
de piegraveces jointes
4 Priveacute (variable) Impacts
1048633 Perte dun
marcheacute
1048633 Pertes
financiegraveres
SM6
Compromis
sion par
une
menace sur
un employeacute
1048633 Deacutepart dune
personne
1048633 Espionnage
dune
personne agrave
distance
1048633 Influence sur
une
personne
Sources de
menaces
1048633 Concurrent
avide
1048633 Employeacute peu
seacuterieux
3 Importante 3 Forte
Extrait eacutetude de cas ANSSI compromission de mel
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
17
17
Synthegravese drsquoun processus EBIOS - Santeacute
bull Inteacutegrer les eacuteleacutements de contexte (PMSSI peacuterimegravetre biens hellip)
bull Sceacutenariser (eacuteveacutenements redouteacutes menaces risques)
bull Creacuteer une base de sceacutenarios de risques du peacuterimegravetre santeacute constitueacutee
progressivement (risques geacuteneacuteriques eacutevaluations speacutecifiques)
bull ChoisirValider le traitement des sceacutenarios de risques
bull Proposer des mesures de traitement (ISO 27002 RGS hellip)
bull Arriver aux objectifs meacutetiers (mesurer)
bull Organiser le SMSI associeacute (ISO 27001) reacuteseau de correspondants
SSI et CIL comiteacutes seacutecuriteacute plan drsquoaudits tableau de bord seacutecuriteacute
(opeacuterationnel pilotage et strateacutegique)
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation
MERCI DE VOTRE ATTENTION
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
16
Tableau des risques (exemple)Eacuteveacutenement
redouteacute
Besoin de
seacutecuriteacute
Impacts Sceacutenario de
menaces
et
menaces
Sources de
menaces
Vraisemblance Graviteacute
ER1 Compromission
de piegraveces jointes
4 Priveacute (variable) Impacts
1048633 Perte dun
marcheacute
1048633 Pertes
financiegraveres
SM6
Compromis
sion par
une
menace sur
un employeacute
1048633 Deacutepart dune
personne
1048633 Espionnage
dune
personne agrave
distance
1048633 Influence sur
une
personne
Sources de
menaces
1048633 Concurrent
avide
1048633 Employeacute peu
seacuterieux
3 Importante 3 Forte
Extrait eacutetude de cas ANSSI compromission de mel
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
17
17
Synthegravese drsquoun processus EBIOS - Santeacute
bull Inteacutegrer les eacuteleacutements de contexte (PMSSI peacuterimegravetre biens hellip)
bull Sceacutenariser (eacuteveacutenements redouteacutes menaces risques)
bull Creacuteer une base de sceacutenarios de risques du peacuterimegravetre santeacute constitueacutee
progressivement (risques geacuteneacuteriques eacutevaluations speacutecifiques)
bull ChoisirValider le traitement des sceacutenarios de risques
bull Proposer des mesures de traitement (ISO 27002 RGS hellip)
bull Arriver aux objectifs meacutetiers (mesurer)
bull Organiser le SMSI associeacute (ISO 27001) reacuteseau de correspondants
SSI et CIL comiteacutes seacutecuriteacute plan drsquoaudits tableau de bord seacutecuriteacute
(opeacuterationnel pilotage et strateacutegique)
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation
MERCI DE VOTRE ATTENTION
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation ndash [Service]
17
17
Synthegravese drsquoun processus EBIOS - Santeacute
bull Inteacutegrer les eacuteleacutements de contexte (PMSSI peacuterimegravetre biens hellip)
bull Sceacutenariser (eacuteveacutenements redouteacutes menaces risques)
bull Creacuteer une base de sceacutenarios de risques du peacuterimegravetre santeacute constitueacutee
progressivement (risques geacuteneacuteriques eacutevaluations speacutecifiques)
bull ChoisirValider le traitement des sceacutenarios de risques
bull Proposer des mesures de traitement (ISO 27002 RGS hellip)
bull Arriver aux objectifs meacutetiers (mesurer)
bull Organiser le SMSI associeacute (ISO 27001) reacuteseau de correspondants
SSI et CIL comiteacutes seacutecuriteacute plan drsquoaudits tableau de bord seacutecuriteacute
(opeacuterationnel pilotage et strateacutegique)
DSIO - Preacutesentation du 07 juin 2011
Direction des Systegravemes drsquoInformation et de lrsquoOrganisation
MERCI DE VOTRE ATTENTION