En substance

Le décret n°2006-6 du 4 janvier 2006 : une obligation légale visant à organiser le dépôt, la consultation et la conservation des données de santé dans des conditions de nature à garantir leur pérennité et leur confidentialité.

Vos obligations

*  Mettre en place un processus de management de la sécurité :

• Impliquer la Direction
• Manager les risques
• Elaborer une Politique de Sécurité
• Définir une organisation
• Mettre à disposition de moyens adaptés
• Déployer un processus d’amélioration continue.

Implémenter les mesures de sécurité décidées pour traiter les risques ainsi que les mesures requises par le décret :

• Contrôle d’accès
• Traçabilité
• Sauvegarde et archivage
• Continuité de service
• …

Obtenir l'agrément délivré par le ministre chargé de la santé, après avis motivé d'un comité d'agrément et de la CNIL, pour une durée de trois ans.

Audits sur site possibles.

Notre intervention

Cliquer_ici

Au terme de la démarche …

• Un dossier conforme « HDS ».
• Une organisation mobilisée autour des processus garantissant la sécurité de vos données de santé.
• Une démarche et des processus réutilisables pour fiabiliser et pérenniser votre système d’information dans sa globalité.

Transformons la sécurité … en opportunité !

40 ans d'expérience dans les secteurs privé et public, en France et en Europe, Patrick Vanhessche a réalisé, dès les années 80, des schémas directeurs informatiques et autres projets d’informatisation.

Diplômé de l’Ecole Supérieure des Affaires de Grenoble (DESS Management des entreprises) puis de l'IAE d’Aix-en-Provence et de la Haute Ecole de Genève (MBA « Management de la Sécurité des Systèmes d’information »), il assure pendant 10 ans la fonction de Directeur de la Sécurité des Systèmes d’Information dans une grande SSII, au service de grands comptes internationaux aussi bien que de PME.

Patrick Vanhessche accompagne aujourd'hui les entreprises pour les aider à préserver leur business et leurs activités en cas de sinistre ou d’incident majeur : indisponibilité prolongée du système, divulgation d’informations sensibles, perte de données, fraude, …

Avez-vous identifié vos risques ? Avezvous mis en place une Sécurité pérenne, à un coût adapté à vos enjeux métier ? Disposez-vous d’un tableau de bord pour piloter la Sécurité de votre système d’information (niveau de couverture des risques, gestion des incidents, disponibilité et confidentialité …) ? Disposez-vous d'un Plan de Continité ? d'un Plan de Gestion de crise ?

Notre démarche :

     ·         une sécurité adaptée à vos enjeux,

·         une visibilité sur vos risques et votre niveau de sécurité,

·         le cas échéant, les certifications et agréments répondant aux contraintes légales.

La sécurité devient un facteur de différenciation et une valeur ajoutée pour votre entreprise.

Les organisations, quelle que soit leur forme (association, entreprise privée ou publique …), disposent aujourd’hui d‘un Système d’Information de plus en plus automatisé.

Par souci de productivité, de confort, ou par effet de mode, l’une après l’autre, les fonctions « métier » sont automatisées.

Par ailleurs, avec l’ouverture des réseaux, notamment via Internet, les organisations sont de plus en plus interconnectées entre elles. Par exemple une entreprise communique sous forme électronique avec ses clients, avec ses fournisseurs, avec les organismes de protection sociale, les banques etc.

Cette évolution rend les organisations de plus en plus dépendantes de leur système d’information. 

Cette dépendance peut aller jusqu’à compromettre l’existence même d’une entreprise, en cas de sinistre majeur, ou en cas d’incidents graves et répétés, si ses processus stratégiques sont dépendants du bon fonctionnement de l’informatique par exemple :

• L’indisponibilité d’un site de vente en ligne a pour effet une baisse immédiate du chiffre d’affaires.
• Une intrusion sur votre système permettant l’accès à votre base clients et sa divulgation sur internet pourra compromettre votre action commerciale.
• Les informations confidentielles circulant sur les réseaux peuvent être interceptées.
• Votre activité pourra-t-elle se poursuivre après un sinistre majeur rendant indisponible votre site ou votre salle informatique ? …Pour mémoire, de nombreuses statistiques montrent qu’une entreprise sur trois dépose le bilan après un sinistre majeur ayant détruit son site informatique.

Evaluer les risques auxquels l’entreprise est exposée, puis les traiter

Ne pouvant traiter à 100% tous ces risques, les organisations doivent les identifier, les évaluer et les prioriser puis investir de manière rationnelle et pertinente pour couvrir les risques en regard des enjeux réels pour l’organisme.

La norme ISO 27005 (« Gestion du risque en sécurité de l’information ») fournit un descriptif pragmatique, élaboré avec le concours de professionnels expérimentés provenant de différents secteurs. Plusieurs méthodes sont à disposition des entreprises, telles que EBIOS ou MEHARI par exemple, pour mettre en place un processus de management des risques. Ces méthodes ont évolué pour se mettre en conformité avec la norme ISO 27005. 

En effet, chaque organisme, en fonction des ses contraintes propres (budgets, ressources, environnement...), décidera des risques à couvrir et des solutions à mettre en œuvre.

Il faudra ensuite

• veiller à la pérennité et à l’adaptation des mesures de sécurité déployées,
• détecter l’apparition de nouveaux risques, dus à de nouvelles menaces, de nouvelles activités, des changements technologiques etc.
• traiter les incidents de sécurité
• évaluer et le cas échéant traiter ces nouveaux risques s’ils sont jugés inacceptables
• réévaluer les risques déjà identifiés et les solutions apportées.
  Par exemple,
  - je n’ai probablement plus besoin des mêmes mesures de sécurité si j’ai déplacé les locaux informatiques depuis mon siège, jusque chez un fournisseur externe.
  - en décidant d’équiper tous mes collaborateurs d’ordinateurs portables pour faciliter le télétravail, je devrai reconsidérer les risques de vol, d’atteinte aux données ….
• ...

 L’entreprise est un monde vivant, évoluant dans un environnement en perpétuel mouvement : les menaces, les types d’agresseurs, les solutions, les technologies, les activités même de l’entreprise, évoluent.

C’est la raison pour laquelle le management de la sécurité est un processus récurrent, basé sur le management des risques.

Les dirigeants des PME sont presque toujours absorbés par leur passion de créer et développer leur entreprise. Cette passion « entrepreneuriale » laisse souvent peu de place à la prise en compte des besoins en matière de Sécurité des Systèmes d’Information.

Ceci en raison également des difficultés

• à appréhender le Système d’Information, composé souvent de sous-systèmes      hétérogènes et indépendants,
• à appréhender la valeur des actifs notamment informationnels, les risques      auxquels ce système est exposé,
• à associer les risques du Système d’Information aux risques business de leur      entreprise,
• à absorber les coûts des prestations d’accompagnement et des solutions à      mettre en œuvre pour sécuriser le système d’information.

Selon une enquête de l’ENISA … Beaucoup de responsables de PME n’ont pas connaissance de l’existence des normes sur la Sécurité et pensent parfois que la sécurité de l’information se résume à des interventions techniques destinées à faire face aux menaces de virus et à mettre en place des sauvegardes de données.

Or, les menaces accidentelles représentent des risques importants pour la sécurité de l’information des PME, et pourtant les programmes de sensibilisation et de formation du personnel dans ce domaine sont souvent négligés.

De nombreux dirigeants de PME pensent qu’ils ne sont pas exposés aux risques évoqués, en raison de la taille réduite de leur entreprise et du nombre limité d’informations qu’ils utilisent.

Cependant, la sensibilité de l’information dépend de la nature et non de la quantité de l’information. Par ailleurs, les nouvelles technologies permettent aux petites entreprises d’utiliser les mêmes systèmes d’information que les grandes entreprises. Les PME sont de ce fait exposées aux nombreux risques qui étaient traditionnellement associés aux grandes entreprises, sans pour autant avoir les mêmes moyens pour les contrer.

C’est la raison pour laquelle des initiatives de plus en plus nombreuses voient le jour souvent sous l’impulsion d’organismes locaux soutenus par les régions ou les départements.

Les Chambres de Commerce et d’Industrie s’impliquent souvent dans ce domaine. Des programmes sont ainsi lancés, visant à sensibiliser ces publics, à former des « pilotes sécurité » dans les PME, capables de conduire une analyse de risques « simplifiée » et de mettre en œuvre un « plan de sécurité minimal ».

L’ENISA a également produit une plaquette d’information permettant aux PME d’effectuer une évaluation des risques de leur environnement, de sélectionner et d’appliquer les mesures adaptées pour gérer les risques liés à la sécurité de l’information. 

Enfin, le CLUSIF met également à disposition des entreprises une version plus « accessible » de MEHARI, permettant un démarrage plus rapide et pragmatique du processus de management des risques.

En synthèse …

Le management des risques, l’implication de la Direction, une organisation affichant clairement les responsabilités en matière de sécurité de l’information, sont quelques facteurs clé de réussite d’un processus de management de la sécurité de l’information.

Une communication et des actions de sensibilisation ou de formation favoriseront le déploiement d’une « culture sécurité » dans l’organisme. Cette culture vise à faire prendre conscience que chacun a un rôle à jouer pour contribuer à atteindre et à pérenniser le niveau de sécurité de l’organisme.

La norme ISO 27001 (Système de gestion de la sécurité de l’information), préconise également d’élaborer une Politique sécurité, basée sur l’analyse de risques, puis après la mise en œuvre des solutions et processus de sécurité, de veiller à mettre en place un système d’évaluation de la performance de ce dispositif, et d’amélioration continue des processus.

Cliquez sur l'image pour l'agrandir.

Plaquette

Cette norme, qui vient préciser la norme ISO 27001, traitant du « Système de Management de la Sécurité de l’Information », apporte un éclairage et un cadre utile à tout « utilisateur averti »(1) qui souhaite entreprendre une démarche d’analyse de risques dans son entreprise.
Les références à la norme ISO  27005 se multiplient dans le secteur privé aussi bien que dans le public. Par exemple dans le monde de la Santé, l’agrément « Hébergeur de données de santé » s’appuie sur une analyse de risques et l’ASIP (Agence des Systèmes d’Information Partagés de Santé ») recommande l’usage de cette norme.
La norme décrit pas à pas les étapes à suivre. Elle laisse l’utilisateur libre de la définition de son référentiel d’évaluation (critères d’évaluation des conséquences d’un incident, de sa vraisemblance, critères d’acceptation des risques …)
… Une norme pragmatique, à recommander, à adapter à ses besoins.

, tout en précisant ce qu’il est nécessaire d’évaluer pour parvenir à une liste priorisée des risques à traiter, validée par la Direction Générale.
Les annexes apportent des précisions sur ces échelles d’évaluation.

(1) Par utilisateur averti, j’entends un DSI, un RSSI, un chef de projet ayant un « background » en matière de management du Système d’Information. C’est un généraliste ayant une vision et une connaissance transverse de l’entreprise.