Analyse des risques - EBIOS (P3.1)

Messages

Par Clément Gentet le 24/03/2015 à 17:27
Bonjour,



Concernant l'analyse des risques :

Nous avons choisi de partir de la méthode EBIOS. Je suis maintenant à la recherche d’éléments/d’exemple concret concernant les hôpitaux notamment sur les sources de menaces qui nous permettrait d’avancer plus rapidement.

C'est à dire une base de connaissance adapté au contexte de l'hôpital.

Or je ne trouve pas grand-chose.



Certaines personnes ont-elles utilisé cette méthode ?

Auriez-vous des informations à ce sujet ?



Merci,­
Par Didier ALAIN le 25/03/2015 à 14:52 Animateur de groupes
Bonjour Clément,



Concernant EBIOS, vous avez, j'imagine, parcouru ­la base de connaissances EBIOS­, notamment le § 3 "types de menaces". Nous ne disposons pas, à l'ANAP en tout cas, de référentiel plus détaillé.



L'idée générale pour adopter une méthode est de bien mesurer avant de s'y investir la balance :

- coûts : d'appropriation, d'adaptation, de mise en oeuvre, de documentation, de maintenance des résultats, etc.

- bénéfices : ici, la capacité à identifier et prioriser les risques à traiter en priorité, mais aussi les bénéfices indirects du type montée en compétence des acteurs grâce à l'utilisation de la méthode, etc.



EBIOS est réputée robuste, mais lourde. Cependant, les spécialistes de l'analyse des risques SSI (profils pointus et experts s'il en est) estiment souvent qu'elle est intéressante en version simplifiée (qui est à bâtir au coup par coup). Je laisse les RSSI compléter ce message, je ne suis pas - loin de là - un expert du sujet.



Vous(re)trouverez une ressource très intéressante sur ­l'analyse de risque SSI pour les hôpitaux (ligériens à l'origine)­ sur le site de l'ARS des pays de la Loire, en particulier l'outil d'appréciation des risques qui est entièrement conçu et pré-paramétré pour un établissement de santé.



De plus, vous savez probablement qu'il existe un ­DU SSI Santé à l'université d'Angers­, dont le responsable pédagogique est ­certifié lead auditor ISO 27001­.



Et comme mon petit doigt me dit que vous êtes vous même dans un établissement ligérien, sachez qu'il existe un groupe de référents SSI dont vous pouvez vous rapprocher, par exemple par le biais de l'ARS et/ou du collège des DSIO (allez les gars, dénoncez-vous :)).



Dernière ressource intéressante, les GCS e-santé ont souvent des compétences et/ou des outils pour l'analyse des risques SSI, voire de portée plus générale en SSI. Notamment, le ­GCS Télésanté Centre­, pour ceux que je connais personnellement, mais il y en a d'autres.­
Par Cédric DUVAL le 30/03/2015 à 16:52
Bonjour,



Concernant la méthode Ebios, pour avoir voulu l'utiliser dans nos contextes, ce n'est pas forcement la plus adaptée. Elle est a mon sens un peu lourde, cependant, s'en inspirer peut être le plus judicieux et efficace (cela reste mon avis perso)



Les exemples de l'ANSSI sont peut etre un peu lourd a utiliser également.

J'ai quelques ébauches d'analyse de risques dans un contexte SIS.

Etant dans la région Pays de la Loire, ayant obtenu le DUSSSIS, n’hésitez pas a me contacter si vous souhaitez.­