Publicité en cours de chargement...

Publicité en cours de chargement...

La méthode EBIOS RM adaptée aux enjeux de la Santé

21 fév. 2022 - 11:28,
Communiqué - WELIOM
La règle n°1 de la directive NIS applicable aux OSE précise : « L'opérateur de services essentiels effectue et tient à jour, dans le cadre de l'homologation de sécurité prévue à la règle 3, une analyse de risque de ses systèmes d'information essentiels (SIE) ». Dans le but d’accompagner ses clients dans ces analyses des risques, WELIOM s’est doté de l’outil Agile Risk Manager de la société ALL4TEC (1), solution leader sur la méthode EBIOS RM, premier outil labellisé par l’ANSSI en 2019, et a consacré une année à l’adapter aux établissements de santé.

10 SI ont été prédéfinis : SI Technique, SAMU / SMUR, Imagerie, Biologie, Pharmacie, Urgences, Anesthésie / Réanimation, Blocs / Stérilisation, DPI, Radiothérapie / Cancérologie. Les valeurs métiers (données de santé, macro-processus) ont été définies et paramétrées, ainsi que la liste des actifs associés (actifs techniques, progiciels métiers spécifiques, matériel biomédical, IoT…), puis celle des parties prenantes, et ce pour chacun des 10 SI.

Dans le cadre de l’atelier 1 de la méthode EBIOS RM, plusieurs référentiels ont été intégrés : les règles de la norme ISO 27002(associées à l’annexe A de la norme ISO 27001), les 42 mesures du Guide d’hygiène informatique de l’ANSSI (2), les 23 règles détaillées de la directive NIS applicables aux SIE ainsi qu’un référentiel de règles générales produit par WELIOM, pour les structures les plus matures ou certifiées. Nos équipes prévoient d’y intégrer en 2022 les règles pertinentes du futur référentiel MaturiN-H.

Dans le cadre de l’atelier 2, les échelles de gravité et de conséquences issues de la PGSSI-S de l’ANS ont été intégrées, ainsi que les sources de risques. Dans le cadre de l’atelier 3, plusieurs scénarios stratégiques ont été élaborés, applicables pour tout établissement de santé, en se référant à nos expériences et aux rapports du CERT Santé « Observatoire des signalements d’incidents de sécurité pour le secteur de la santé » (3). On trouvera par exemple : le vol de données de santé à caractère personnel, l’attaque par cryptovirus, l’usage du SIH à des fins d’activisme, le déni de service d’un processus essentiel…

Avec l’outil Agile Risk Manager configuré pour la santé, WELIOM est en mesure d’accompagner les établissements dans la réalisation d’une analyse de risques en 4 jours, en concentrant les efforts sur le plan de traitement des risques et sur l’appréciation des mesures de sécurité, puisque tout l’environnement des référentiels est déjà prêt !

Vous souhaitez des explications complémentaires, le détail de nos prestations, une démonstration ? N’hésitez pas à contacter nos experts WELIOM sur : [email protected] ou au 02 51 80 05 33


(1) https://www.all4tec.com/logiciel-ebios-risk-manager-labellise-agile-risk-manager/

(2) https://www.ssi.gouv.fr/guide/guide-dhygiene-informatique/

(3) https://www.cyberveille-sante.gouv.fr/rapport-de-l-observatoire


A propos de WELIOM

Pour être efficiente, la transformation des établissements de santé doit être pensée de manière globale en prenant en compte l’ensemble des enjeux économiques, réglementaires, sociétaux et médicaux. WELIOM se positionne en partenaire de cette transformation, en mettant au service des acteurs du monde de la santé des experts reconnus et des méthodologies adaptées à leurs domaines d’activité. En tant que société de conseil et de service dédiée au secteur de la santé, WELIOM accompagne ses clients en intégrant à leur réflexion l’évolution des organisations, le développement des services numériques et le respect des obligations réglementaires. Plus d’infos : https://www.weliom.fr/

Avez-vous apprécié ce contenu ?

A lire également.

PSSI et Care D2 : suite de la réflexion sur la question de la signature

01 sept. 2025 - 22:56,

Tribune

-
Cédric Cartau

Dans le prolongement du précédent article(1) , intéressons-nous maintenant à un sujet qui déclenche souvent pas mal de débats : qui doit signer la PSSI ? Et d’ailleurs, doit-elle être signée ?

Illustration Une nouvelle plateforme DCC 2.0 en Bourgogne – Franche-Comté

Une nouvelle plateforme DCC 2.0 en Bourgogne – Franche-Comté

01 sept. 2025 - 22:46,

Actualité

- Damien Dubois, DSIH

Cet été, l’Agence régionale de santé Bourgogne – Franche-Comté a annoncé le déploiement d’une nouvelle plateforme pour le dossier communicant de cancérologie 2.0, outil numérique au service de la coordination des parcours de soins en cancérologie.

Illustration L’IA au service des soignants et des patients à l’hôpital Foch

L’IA au service des soignants et des patients à l’hôpital Foch

01 sept. 2025 - 22:24,

Actualité

- Damien Dubois, DSIH

L’hôpital Foch continue sa transformation et intègre l’IA de manière concrète et progressive au sein de ses différents services, en partenariat avec des start-up et des acteurs clés du secteur.

Illustration Déploiement de Terminal Urgences : l’évolution des relations entre DSI et professionnels de santé

Déploiement de Terminal Urgences : l’évolution des relations entre DSI et professionnels de santé

01 sept. 2025 - 22:00,

Actualité

- DSIH

En région Paca, le projet Terminal Urgences, développé par le Grades, illustre la transformation des relations entre médecins urgentistes et DSI/DSN. De plus en plus impliqués, ils jouent un rôle clé dans son interopérabilité, sa sécurité et son adaptation aux besoins du terrain.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.