Analyse de risques

Analyse des Risques SI pour établissements de santé

Une cyberattaque sur un établissement de santé, ce n’est pas seulement une crise informatique. C’est une mise en danger des soins. Déprogrammation d’opérations, inaccessibilité des dossiers patients, paralysie des équipements biomédicaux connectés : les conséquences d’un incident non anticipé peuvent être immédiates et dramatiques.

L’analyse des risques SI est la démarche structurée qui permet à votre établissement d’identifier ses vulnérabilités, d’évaluer les menaces les plus probables et les plus graves, puis de prioriser les actions de protection en fonction de leur impact réel sur votre activité de soins.

gplexpert réalise votre analyse de risques selon les méthodes reconnues par l’ANSSI : de la phase de cadrage jusqu’à l’élaboration du plan de traitement, nous vous accompagnons à chaque étape avec une approche concrète et adaptée au contexte hospitalier.

NOTRE EXPERTISE

VOS BÉNÉFICES

Sommaire

Qu'est-ce que l'analyse des risques SI ?

L’analyse des risques SI est une démarche méthodique qui consiste à identifier les actifs critiques d’un SI, les menaces qui pèsent sur eux, les vulnérabilités qui pourraient être exploitées, puis à évaluer chaque risque selon sa vraisemblance et sa gravité pour définir les mesures de protection appropriées.

Dans les établissements de santé, cette démarche présente des enjeux spécifiques : les données de santé sont des données ultra-sensibles, les SIH concentrent des dizaines d’applications critiques interconnectées, et la continuité des soins ne tolère aucune interruption prolongée. Le secteur sanitaire est par ailleurs l’une des cibles les plus visées par les cyberattaquants en France.

La méthode EBIOS Risk Manager

Gplexpert s’appuie sur EBIOS Risk Manager, la méthode de référence publiée par l’ANSSI, recommandée dans le cadre du programme CaRE et exigée pour les entités soumises à NIS2. Elle structure l’analyse autour de cinq ateliers progressifs.

Notre démarche en 4 étapes

Étape 1 – Cadrage de projet

Toute analyse de risques sérieuse commence par un cadrage rigoureux. gplexpert définit avec vous le périmètre exact de l’étude (établissement, GHT, service spécifique, application critique), identifie les parties prenantes à mobiliser (DSI, RSSI, directions métiers, direction générale, DPO) et formalise les objectifs attendus. Cette étape est déterminante : un périmètre mal défini produit une analyse inutilisable.

Nous analysons également votre contexte : missions de l’établissement, organisation, contraintes opérationnelles, documentation existante (audits antérieurs, incidents déclarés, cartographie SI), et niveau de maturité cyber de départ.

Étape 2 – Recensement des risques

Nos experts procèdent à un recensement exhaustif des risques encourus par votre organisation, en s’appuyant sur la cartographie de votre SI, les entretiens avec vos équipes métiers et techniques, et les scénarios de menaces propres au secteur hospitalier.

Nous identifions les biens essentiels (ce que votre établissement doit impérativement protéger : continuité des soins, données patients, disponibilité du DPI…) et les biens supports (les systèmes, applications et infrastructures qui les portent), ainsi que les sources de menaces pertinentes pour votre contexte : cybercriminels, rançongiciels, prestataires malveillants, erreurs humaines, défaillances techniques.

Étape 3 – Évaluation de l’impact et du niveau de criticité

Chaque risque recensé est évalué selon deux axes :

  • La vraisemblance, quelle est la probabilité que ce scénario se produise, compte tenu de votre exposition, de vos vulnérabilités et des capacités des attaquants ?
  • La gravité de l’impact, quelles seraient les conséquences pour votre établissement si ce risque se matérialisait ? Impact sur les soins, sur les données patients, sur la réputation, sur les finances ?

Cette double évaluation produit une matrice de criticité qui hiérarchise vos risques de manière objective et argumentée. Les risques les plus critiques, ceux qui combinent une vraisemblance élevée et un impact grave, sont identifiés comme prioritaires pour le plan de traitement.

Étape 4 – Élaboration du plan de traitement des risques

Sur la base de la matrice de criticité, gplexpert élabore avec vous le Plan de Traitement des Risques (PTR) : pour chaque risque inacceptable, quelles mesures techniques et organisationnelles mettre en place ? Selon quel calendrier ? Pour quel coût estimé ? Avec quelle priorité ?

Le PTR distingue quatre stratégies de traitement :

  • Réduction : mise en place de mesures pour abaisser la vraisemblance ou l’impact du risque
  • Acceptation : décision documentée d’accepter un risque résiduel jugé tolérable
  • Transfert : couverture du risque par une assurance cyber ou un contrat de prestataire
  • Évitement : modification ou abandon d’une activité qui génère un risque inacceptable

Le plan de traitement est présenté à votre direction générale pour arbitrage et validation, puis intégré à votre PSSI et votre plan d’investissement sécurité.

Analyse de risques et réglementation

  • ANSSI / NIS2 : les entités essentielles et importantes soumises à NIS2 ont l’obligation de conduire une analyse de risques et de la maintenir à jour. L’ANSSI recommande explicitement la méthode EBIOS RM.
  • Programme CaRE : les Domaines 1 et 2 du programme CaRE s’articulent directement avec les résultats d’une analyse de risques. Les établissements disposant d’une analyse formalisée sont mieux positionnés dans leurs dossiers de candidature.
  • Certification HAS : la maîtrise des risques numériques est intégrée dans les critères du 6e cycle de certification HAS. L’analyse de risques démontre la maturité de votre démarche qualité étendue au système d’information.
  • RGPD / HDS : l’Analyse d’Impact relative à la Protection des Données (AIPD) exigée par le RGPD pour les traitements à risque repose sur les mêmes principes et peut être articulée avec votre analyse de risques SI pour éviter les redondances.

Prenez le contrôle de vos risques numériques

FAQ

Quelle est la différence entre un audit de sécurité et une analyse de risques ?

L’audit de sécurité évalue l’état technique de vos systèmes à un instant T. L’analyse de risques est une démarche plus large et stratégique : elle part des enjeux métiers de votre établissement, recense et évalue les risques qui pèsent sur eux, et produit un plan d’action priorisé. Les deux sont complémentaires et s’alimentent mutuellement.

Oui, la cartographie est un prérequis indispensable à la phase de recensement des risques. Elle permet d’identifier avec précision les biens supports sur lesquels portera l’analyse. gplexpert peut réaliser les deux missions de manière séquentielle ou simultanée.

L’ANSSI recommande une réévaluation annuelle ou à chaque évolution significative du SI ou du contexte de menace. Dans la pratique, une revue complète tous les deux à trois ans avec des mises à jour intermédiaires est un rythme adapté à la plupart des établissements.

L’analyse de risques n’est pas un exercice purement technique. Elle implique la direction générale, la DSI, le RSSI, les directions métiers (soins, pharmacie, bloc, urgences…) et idéalement le DPO. gplexpert anime les ateliers pour faciliter les échanges entre des profils très différents.

Elle est fortement recommandée et devient progressivement obligatoire pour les entités soumises à NIS2. Pour les établissements candidats au programme CaRE ou en démarche de certification HAS, elle constitue un atout déterminant.