Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

06/04/2017 1 Certification ISO 27001 Ça c’est fait ! Explications et retour d’e

06/04/2017 1 Certification ISO 27001 Ça c’est fait ! Explications et retour d’expérience • APSSIS 5 ème congrès avril 2017 • P. Tourron RSSI APHM (certifié ISO 27001 LA, ISO 27005 RM, ITILv2, diplômé d’expertise judiciaire, formateur en gestion des risques) Sommaire • Introduction • Stratégie de progression • Processus de gestion des risques • ISO 27001 Comment ? Les 9 Etapes pour la naissance d’un SMSI • Et Après 2 « L’expérience, nom dont les hommes baptisent leurs erreurs », Oscar Wild Ph. Tourron La logique de Système de Management Management SECURISER C’est MANAGER donc GOUVERNER Et au final DECIDER LA PRISE DE RISQUE au bon niveau de responsabilité Les propriétaires de risques sont ceux qui peuvent les traiter (prendre, éviter, réduire, transférer) cf ISO 27001:2013 3 Ph. Tourron Gérer les risquesun processus essentiel un processus essentiel GERER LE RISQUE NUMERIQUE AU MEME NIVEAU QUE LE RISQUE SANITAIRE Des risques majeurs impactant la vie, le soin, la confiance des patients o perdre toutes les données, o Perte d’intégrité des données patients, o SI indisponible plus de 8h, o données patients sur internet (fuites /réseau, usurpation) Et la sécurité c’est aussi des opportunités (cf ISO 27001:2013) : dématérialisation, ouverture (ville, patient, …) 4 Ph. Tourron A VOS MARQUES … BLITZ EBIOS 5 CONTEXTE EVENEMENTS REDOUTES SCENARIOS DE MENACES RISQUES MESURES PREVENTION RECUPERATION PROTECTION DICT ANALYSE RISQUES Les Etbs des participants attaqués en saturation DOS Corruption d’annuaire INDISPONIBILITE ACCES EXTERNE SI DES ETBS ACCES INTERNET E/S PLUS D’ACCES DEPUIS/VERS INTERNET PLUS D’ACCES INTERNE/USURPATION ? IMPACTS : HDS ?/APPLI SAS?/COM IMPACTS : AUCUNE APPLI ACCESSIBLE DISPO CONSERVER ANNUAIRE SAIN ISOLER NEUTRALISER AVEC FNS ACCES RESTAURER SAUVEGARDE AD ANNUAIRES INDISPONIBILITE ACCES INTERNES INTEGRITE ! ALERTER ! TRACES/ PLAINTE ISOLER NEUTRALISER Ph. Tourron Pourquoi une norme ?ourquoi une norme ? • une vision de la cible • Un cadre prêt et « relativement constant » • Une légitimité • •Pourquoi ISO Pourquoi ISO 27001 ?27001 ? • Une évidence à la lecture de la PMSSI et du dossier d’agrément HDS • Une certitude à la lecture de la loi santé • une réalité du GHT (Groupement Hospitalier de territoire) • Convergence de toutes des contraintes SI santé• •Et la certification Et la certification ?? • Une validation externe … incontestable • L’avenir du cadre réglementaire HDS … • Une dynamique 6 Ph. Tourron Introduction Quelques efforts de changement Quelques efforts de changement • Norme : o Accepter et faire accepter que d’autres aient les bonnes idées (et les adapter) o … mettre de côté l’Ego o Accepter un cadre (des exigences) o Accepter d’être audité (en interne et externe) o Accepter de s’améliorer Un travail sur les hommes qui font le SI • Norme de management : avec preuves o Prouver une organisation (nominations, comités) o Prouver son fonctionnement o Prouver l’amélioration continue … un travail sur l’organisation 7 Ph. Tourron 27001 : une odysséeAu début de la Au début de la construction construction 8 Ph. Tourron 9Et au début l’HDS créa le Et au début l’HDS créa le besoin besoin HDS : Hébergement de Données de Santé Stratégie de progression • Périmètres concentriques d’HDS o Une application (DPI de spécialité) - 2012 o Un système médical : imagerie - 2014 o Un hébergement « générique » - 2017 d’infrastructure et d’infogérance • 2016 -Certification ISO 27001 du périmètre HDS générique • Pour Formaliser, impliquer, investir, déployer … progressivement 10 Ph. Tourron Vers l’ISO 27001 :Les forces à mobiliser Les forces à mobiliser 11 • Les Freins : • Changer • Coûts • Les leviers : • La règlementation (RGS, HDS, PSSIs, HAS v2014, RGPD, …) • Les incidents (l’actualité) • Les soutiens des structures nationales (HFDS/FSSI, ASIP, ANSSI, …) et des autres • La prise de conscience de la criticité du SI de santé sous tous ses angles (DIC … A) Les Hommes Ph. Tourron ISO 27001 la construction la construction • 3 forces : HPT 28/03/2017 Ph. Tourron 12 Hommes Techniques Processus cible Un périmètre Une perspective sans cesse en mouvement : maintenir un point d’équilibre ISO 27001ISO 27001ISO 27001 ZERO BLABLA ZERO TRACASVP VP22AA 13 Ph. Tourron Leitmotiv : VP22A A 14 • Vision : s’appuyer sur ce qui existe (en dehors de la santé) : ISO 27001 et vers laquelle convergent tous les référentiels santé. Se projeter et projeter les exigences externes sur un cadre stable. • Pragmatisme : utiliser les bonnes pratiques, procéder par palier rendre possible des pratiques utiles en plus d’être sécurisées pour les professionnels de santé • Pédagogie : sensibiliser, former tous les acteurs à la « perception et gestion » du risque : o Informaticiens, acteurs du Biomédical, techniques, des messages simples aux utilisateurs (e-learning/serious game) o Mais aussi les éditeurs/fournisseurs : renforcer nos exigences / recommandations SSI Santédans nos acquisitions • Agilité : les menaces sont agiles les réponses de protection doivent s’adapter : apprendre à gérer des crises, défense en profondeur, s’entraider (interne et externe), Alerter 27001 ITIL EBIOS GDC HDS Ph. Tourron Stratégie d’intégration de l’ISO 27001 l’ISO 27001 • Une certification ISO 9001 initiale : Au-delà du cadre processus et gestion documentaire une habitude à être audité, à chercher à s’améliorer • Une étape d’Alignement ITILv3/ISO 20000 Avec Intégration d’un processus de gestion des risques • Une intégration ISO27001 dans tous les processus pour un système de management intégré/combiné Une équipe unique de management Sécurité- Qualité 15 Les Processus Ph. Tourron Un processus central de gestion des risques gestion des risques 16 Principales connexions des processus portant le Management de la sécurité Le RSSI : responsable du processus Gérer les Risque et co- gérant du processus Améliorer avec le RMQ HDS et orientation SERVICE Ph. Tourron 2 roues motrices de la gestion des risques de la gestion des risques 17 FIM FASSI (Fiche d’Incident Majeur) (Fiche d’Analyse de la Sécurité du SI) Ph. Tourron Un cœur : 27005Les 5 processus/étapes Les 5 processus/étapesdéclinés avec déclinés avec EbiosEbios**pour alimenter pour alimenter Piloter et Améliorer Piloter et Améliorer 18 • AMELIORERUn processus central de gestion des risques Un processus central de gestion des risquesUn Un coeurcoeur • PILOTER Source : Bureau assistance et conseil de l’ANSSI http://www.ssi. gouv.fr Étude du contexte Étude des événements redoutés Étude des scénarios de menaces Étude des risques Étude des mesures de sécurité *EBIOS : Expression des Besoins et Identification des Objectifs de Sécurité RISQUES, POLITIQUES, SDSI AUDIT, PLANS TRAITEMENT Ph. Tourron 19 • INCIDENTS • CHANGEMENTS• •Traiter les FASSI Traiter les FASSI• •Traiter les FIM Traiter les FIM• •Gérer les crises Gérer les crises(Temps réel) (Temps réel)Un processus central de gestion des risques Un processus central de gestion des risques… et des jambes … et des jambes • PROJETS Mesures Risques Mesures / Améliorations Scénarios de Menaces réalisés Les Techniques Alertes (ARS,FSSI … via …Asip) Ph. Tourron Intérêt du Système de management intégré management intégré • Un seul système de management • Une équipe de management unique • Des audits internes combinés (gain de temps et de cohérence pour les audités) • Des revues et comités combinés 20 Ph. Tourron A ne pas faire( (cfcfO.W.) O.W.) NE PAS • Se crisper sur des règles qui paraissent inapplicables (tout de suite) : des paliers mais ne rien lâcher • Compter sur des désignations qui n’arrivent pas : aller chercher des acteurs motivés prêts à s’impliquer (CSSI) • Tout miser sur la PSSI avant de faire de la sécurité : quick win • Penser que la SSI est le monopole du RSSI et de la DSI : impliquer le Biomédical et la Direction Technique • Penser qu’ITIL ou Ebios sont inapplicables (vous en faites déjà) • Se décourager : un projet est un rêve avec une date de fin 21 Ph. Tourron ISO 27001 : Comment ? • Etape 1 : Structurer l’organisation – motiver les acteurs (CSSI) soutien Direction et CME • Etape 2 : Mettre en place une gestion de crise SI / RSSI-coach • Etape 3 : (faire) Analyser les risques (méthode Ebios) • Etape 4 : Intégrer le processus de gestion des risques dans la pratique de la DSI (cf ITIL) • Etape 5 : Relier la gestion de la sécurité à la réalité (procédures) • Etape 6 : Déployer l’audit interne • Etape 7 : prendre du recul : la PSI • Etape 8 : revenir à la réalité, politiques opérationnelles • Etape 9 : intégrer la gestion des risques dans le schéma directeur (traitement des risques et opportunités source d’orientation stratégique) et SDSSI 22 Ph. Tourron Et après ? • Faire vivre la gestion des risques dans le Système de Management + preuves o Plan de traitement des risques (cf instruction ministérielle 309 oct 2016) o Plan d’audit permanent Revues de risques (DSI, CPSI, …) o Traitement et audit FASSI, FIM o Amélioration continue (Fiches actions) o Prendre soin de ses CSSI (Correspondants Sécurité du SI) o ETENDRE le périmètre de conformité/certification (tout le SIH, Biomedical, GTB/GTC, …) • Et plus que jamais pour le RSSI … o Générosité o Humour o Ténacité uploads/Management/ securite-si-iso27001-apssis-5-vf.pdf