Depuis 2011, l’Agence eSanté est en charge du déploiement de la plateforme de partage et d’échange de données médicales pour les professionnels de la santé du Luxembourg. Dans le cadre de ces activités, la sécurité des informations transmises est particulièrement importante et nécessite l’utilisation d’outils efficients. À ce titre, l’Agence a adopté depuis plus d’un an la méthode d’analyse de risques MONARC développée par CASES.
Nous avons recueilli le retour d’expérience de Didier Barzin, RSSI de l’Agence eSanté, concernant son utilisation de différents outils et des raisons qui l’ont conduit à utiliser MONARC.
Quelle a été votre approche de l’évaluation des risques liés à la sécurité de l’information ?
Dans un premier temps, nous avons adopté la méthode française d’analyse de risques EBIOS. Cependant celle-ci, même si celle-ci reste l’une des plus complète, elle ne convient que peu aux entreprises et organisations de taille réduite. De plus, le prix des outils supportant cette méthode est généralement trop élevé au regard de nos besoins. Nous avons une équipe restreinte et nous ne passons pas plus de 30 jours-hommes par an sur notre analyse de risques. Nous avons ainsi décidé de prendre un temps de réflexion afin d’évaluer les possibilités les plus pertinentes par rapport à nos besoins. La méthodologie MONARC, qui était particulièrement discutée au sein de l’écosystème luxembourgeois, nous est alors apparu comme une solution viable.
Comment s’est déroulée la migration vers l’outil MONARC ?
J’ai eu l’opportunité de bénéficier d’une formation gratuite proposée par CASES. Cela m’a ainsi permis de discuter avec les créateurs de la solution, mais aussi de prendre facilement l’outil en main. Une journée de formation suffit amplement dans le cas où l’on a déjà une expérience en analyse de risques, autrement il est important de l’acquérir en amont au travers de formations complémentaires. Une description simplifiée de ce type d’analyse de risques est mise à disposition sur le site de CASES.
Après un an d’utilisation, quels sont vos retours d’expériences ?
Nous avons eu deux retours d’expérience positifs. D’une part cela nous a permis de certifier à nouveau la sécurité de notre système d’information selon la norme ISO 27001 au travers d’un audit externe ayant évalué plus de 600 risques pour environ 20 actifs de support. D’autre part, nous avons obtenu la certification en tant que National Contact Point (NCP), dans le cadre du développement par la Connecting Europe Facility (CEF) du projet eHealth DSI. Celui-ci vise à faciliter le partage de données de santé (allergies, traitements en cours, pathologies, etc.) afin d’améliorer la prise en charge des patients au sein des pays membres. L’utilisation de l’outil et de la méthode MONARC ont été des facilitateurs dans la préparation et l’obtention de ces deux certifications.
Quel est votre bilan sur MONARC ?
Cet outil est particulièrement intéressant pour les petites et moyennes organisations ayant des ressources ainsi que des besoins limités en analyse de risques. Il faut toutefois garder en tête que cette méthodologie a encore ses limites, dont la nécessité de posséder des connaissances de base en évaluation des risques. La plateforme est cependant assez complète pour répondre aux missions complexes et les équipes de CASES restent accessibles.