Publicité en cours de chargement...
Analyse de risques Ebios RM : la Fondation Cognacq-Jay utilise l’outil d’ALL4TEC
DSIH : Pourquoi avoir fait appel à ALL4TEC pour votre analyse de risques cyber ?
Anne Auvity-Pontet : Dès 2019, nous nous sommes rendu compte que le monde de la santé devenait une cible et qu’il nous fallait une analyse de risques qui aille plus loin que ce que nous faisions, en prenant en compte le côté malveillance et pas uniquement les risques internes. Nous avons alors participé à une formation organisée par ALL4TEC. Leur produit était parfait : il correspondait à ce que nous recherchions et il était soutenu par l’Agence nationale de la sécurité des systèmes d’information, ce qui a été un critère majeur de choix.
Quel est l’intérêt de la méthode Ebios Risk Manager (Ebios RM) ?
Laurent Cosson : La méthodologie Ebios, qui existe depuis une vingtaine d’années, a été dépoussiérée en 2019 avec Ebios RM qui permet de passer d’une approche complètement tabulaire à une approche graphique. Cela permet de travailler en collaboration autour d’un écran, face à des visuels très intuitifs. Nous sommes très loin de l’informaticien seul dans son coin qui a parfois du mal à traiter les centaines de lignes et de colonnes de son tableau Excel !
Vincent Gerbier : L’approche tabulaire est une gageure en soi lors de la première itération ; à la deuxième, plus rien ne se synchronise. Avec Agile Risk Manager, nous pouvons en revanche repartir du projet, compléter une table et pas une autre, rescorer la gravité des impacts et les vraisemblances, etc. C’est un outil beaucoup plus agile. En tant que DSI de site, j’ai ainsi moins de mal à reprendre mon analyse pour la réitérer ponctuellement, à l’aune de nouvelles attaques.
Une fois l’analyse effectuée, comment s’effectue le suivi du plan de maîtrise des risques ?
Laurent Cosson : La méthode Ebios RM est divisée en cinq ateliers, dont le dernier est dédié au traitement du risque. Il aboutit à la définition de mesures de sécurité, recensées dans un plan d’amélioration continue de la sécurité (Pacs). L’outil permet de voir comment ces risques évoluent dans le temps. L’analyse des risques n’est pas une photo à un instant T, c’est un film.
Vincent Gerbier : Le côté graphique et dynamique de l’outil est très bien. Il permet de voir à trois, six ou huit mois si des risques sortent de la zone rouge pour passer en orange ou directement en vert. Ce côté intuitif facilite nos relations avec notre direction qualité et constitue un vrai levier de discussion. Quand j’ai montré l’outil à ma directrice qualité, elle m’a dit qu’elle voulait le même pour le suivi de ses plans d’actions ! Il est souvent difficile de parler de cybersécurité dans un établissement de santé, car elle est vue comme un truc d’informaticiens. Pour ceux qui auraient du mal à échanger avec leurs directions fonctionnelles respectives, cet outil est donc un réel atout en termes de communication.
Laurent Cosson : Ce côté « bottom-up », où l’on sensibilise les gens et où l’on remonte l’information vers les directions, est propre à la méthode Ebios RM. Mais notre outil apporte en plus des solutions pour bien organiser ces échanges.
Quelles sont les prochaines étapes du projet ? Après le DPI de la clinique Saint-Jean-de-Dieu, allez-vous analyser les SI critiques des autres établissements de la Fondation ?
Anne Auvity-Pontet : Notre feuille de route prévoit de continuer le déploiement sur les dossiers patients informatisés (DPI) des établissements de santé et sur les dossiers usagers (DUI) des autres établissements. Nous allons aussi mener une analyse de risques sur le système d’information du siège de la Fondation.
Vincent Gerbier : Et, au-delà des DPI, nous allons travailler sur d’autres systèmes d’information critiques essentiels : la stérilisation, la pharmacie, l’oncologie, etc.
Laurent Cosson : Un décret oblige les groupements hospitaliers de territoire, reconnus maintenant comme opérateurs de services essentiels (OSE), à procéder à des analyses de risques. Nous avons donc, avec notre partenaire dans la santé WELIOM, préparamétré des analyses de risques Ebios RM pour les dix systèmes d’information essentiels (SIE) concernés par cette réglementation. Ce gros travail d’instanciation, qui permet de gagner beaucoup de temps, est disponible auprès de la CAIH (Centrale d’achat de l’informatique hospitalière) qui a référencé notre outillage.
En savoir plus : https://www.all4tec.com
Avez-vous apprécié ce contenu ?
A lire également.

Le consortium AGORiA Santé en partenariat avec BIOGROUP obtient la 1ère autorisation de la CNIL permettant d’associer des données de biologie et du SNDS (système national des données de santé)
22 juil. 2025 - 10:23,
Communiqué
- Biogroup & Agoria Santéle 21 juillet 2025 – Le consortium AGORiA Santé est autorisé par la CNIL (Commission nationale de l'informatique et des libertés) à enrichir sa plateforme, entrepôt de données de santé système fils SNDS, avec des données d’analyses de biologie médicales issues du réseau BIOGROUP. Créé en 2021, le co...

Un code de bonnes pratiques pour les modèles d'IA à usage général
15 juil. 2025 - 16:57,
Actualité
-Entré en vigueur le 1er août 2024, le Règlement sur l'Intelligence Artificielle (AI Act) vise à créer un cadre juridique uniforme pour le développement, la mise sur le marché, la mise en service et l’utilisation de systèmes d'IA dans le respect des valeurs de l’Union. Parmi les systèmes d'IA encadré...

Le numérique médico-social : mutation systémique et levier d’humanité
08 juil. 2025 - 01:07,
Actualité
- DSIHLongtemps resté en périphérie des politiques publiques du numérique en santé, le secteur médico-social entre aujourd’hui dans une phase de transformation profonde. C’est cette bascule, inédite et structurante, que décrivent Olivier Babinet et Manon Lorenzo dans leur ouvrage Le virage du numérique en...

Mobisoins Patient : quand soignants et éditeur innovent ensemble au service du patient
08 juil. 2025 - 00:49,
Actualité
- Maellie Vezien, DSIHÀ l’heure où les soins hospitaliers se déploient de plus en plus à domicile, l’implication du patient dans son parcours de santé devient essentielle. Mais comment favoriser son autonomie tout en garantissant une prise en charge sécurisée ? C’est le défi que relèvent l’HAD Vendée et Dicsit Informatiq...