DPO Thierry Genten - Mautic
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
DPO
Thierry Genten
1 Conseiller en Sécurité
Thème
Comment automatiser l’analyse de risques dans un environnement hospitalier afin
d’atteindre la conformité GDPR et se préparer à la certification l’ISO 27001?
1 Analyse de risques
2 Logiciel A.R
3 Référentiels
4 ISO 27001
5 GDPR & DPIA
2
Thème
1 Analyse de risques
3
1. Analyse de risques - Concepts
Management & Gestion
des risques
ISO 31000 - ISO 27005
Risque
Probabilité qu’une menace
exploite une vulnérabilité
d’un actif
Méthodes
- MEHARI (F)
- EBIOS (F)
- OCTAVE(USA)
- CRAMM (UK)
- Quick-Win (B), …..
https://dt.bosa.be/sites/default/files/downloads/Risk_Management_Fr.pdf
4
1. Analyse de risques – Méthode «Quick-Win» (extrait)
Gravité Atteinte à la Perturbation du Pertes Engagement Atteinte à l’image
qualité des fonctionnement financières de la de -1- Actif : XXXX [Q] [P] [F] [R] [I]
soins interne responsabilité l’établissement
Max
Actif de support ou primaire
[Q] [P] [F] [R] [I]
Perturbation Perturbation Pertes non
Indisponibilité :
momentanée et limitée (inférieure significatives
limitée de à une semaine) sur le plan Plainte(s) de 0 0 0 0 0 0
l’organisation des d’un processus financier patient(s)
Divulgation limitée 5 minutes
1 soins ne remettant pas signalant un
d’incidents
en cause le dysfonctionnem 1 heure 1 1 1 1 1 1
respect d’un ent
calendrier Disponibilité ½ jour 2 2 1 1 1 2
Perturbations Perturbation
limitées dans la significative d’un
délivrance des ou plusieurs Plainte(s) de 1 Jour 3/2 3/2 3/2 2 2 3/2
soins processus : Pertes < 1% patient(s)
Altération
supérieure à une du budget signalant un
significative de
global ou du dysfonctionnem > 1 semaine 4/2 4/2 4/2 4/2 4/2 4/2
2 semaine, sans
chiffre ent grave, ou
l’image de
remise en cause l’établissement
leur viabilité ou d’affaires débouchant sur Corruption
un calendrier un recours 2/1 3/1 3/1 3/1 3/1 3/1
accidentelle
Désorganisation Désorganisation Pertes de Plainte de Altération très Transactions
des soins ou très importante l’ordre de 1% patients importante de perdues
atteinte limitée à d’un ou plusieurs du budget débouchant sur l’image de
1 1 1 1 1 1
l’état de santé processus : global ou du une sanction l’établissement 1
d’un patient supérieure à la chiffre disciplinaire à
3 semaine et d’affaires l’encontre d’un
Intégrité 10 1 1 1 1 1 1
susceptible de responsable
remettre en
cause leur 100 2/1 2/1 2/1 2/1 2/1 2/1
viabilité ou un
calendrier
Atteinte grave à Désorganisation Pertes > 1 % Plainte de Altération définitive 1.000 3/1 3/1 3/1 3/1 3/1 3/1
l’état de santé durable du budget patients de l’image de
d’un patient (plusieurs global ou du débouchant sur l’établissement Corruption
semaines) et non chiffre la 3/2 4/2 4/2 4/2 4/2 4/2
volontaire
maîtrisée d’un ou d’affaires condamnation
4 plusieurs civile ou pénale
Confidentialité Divulgation 4/1 4/1 4/1 4/1 4/1 4/1
processus d’un
engageant responsable
gravement la d’établissement Enregistrements
responsabilité Preuve 0 0 4/0 4/0 4/0 4/0
non probants
des HUS à
l’égard du non-
respect d’un
5
1. Analyse de risques - Constats
Principaux avantages d’une A.R
Augmentation globale de la sécurité à l’aide de mesures de sécurité
Moyen de communication avec la direction, le métier et l’IT
Etablissement d’un plan de traitement «Planning»
Principaux avantages de la méthode «Quick-Win»
Rapidité : maximum 2 jours
Simplicité
A partir de 2018
GDPR ISO 27001 (élément de preuve)
Projet de loi «Directive NIS» (pour les OSE)
GDPR – ISO 27001 – NIS «Analyse de risques»
Au CHR, il y a plus de 350 solutions = 350 * 2 = 700 jours / itération
Recherche d’un logiciel d’ A.R
6
Thème
2 Logiciel A.R
72. Logiciel A.R - Monarc
Monarc : Logiciel libre d’analyse de risques
https://www.cases.lu/monarc.html
82. Logiciel A.R – Avantages & désavantages
Avantages
Prix = 0
Formation = 0 (au Luxembourg)
Simplicité d’utilisation
Modélisation des risques
Rapport final (preuve)
Adaptabilité des objets en fonction des besoins
Conformité ISO 27005 & 27001
Possibilité de transfert vers une autre A.R
Utilisé par le SPF Justice, CCB, …
Désavantages
Consultance
Lenteur pour les très grosses analyses
Simplicité d’utilisation
9Thème
3 Référentiels
103. Référentiels
11Thème
4 ISO 27001
124. ISO 27001 – Traitement des risques
134. ISO 27001 – Gestion du plan de traitement des risques
144. ISO 27001 – Implémentation du plan de traitement
15Thème
5 GDPR & DPIA
165. GDPR & DPIA – Récolte des infomations
175. GDPR & DPIA – Contexte
185. GDPR & DPIA – Traitement des risques
195. GDPR & DPIA – Objet GDPR
205. GDPR & DPIA – DPIA
215. GDPR & DPIA – Tableau de bord
22Questions ? 23
Vous pouvez aussi lire
