L’équipe Veille Cyber et Probe I.T a eu la joie de s’entretenir avec Didier Barzin – RSSI au sein du Centre Hospitalier Emile Mayrisch.
Didier Barzin a conçu et propose à la communauté RSSI un outil open source permettant d’établir et maintenir un SMSI conforme ISO27002 :2022.
L’initiative de Didier Barzin nous a interpellée dans la mesure où elle peut faciliter l’établissement, la mise en œuvre et le maintien d’un système de management de la sécurité sans se perdre dans les méandres parfois chronophages des fichiers Excel. C’est aussi un outil, soulignons le, accessible en open source. Ce qui apporte une solution accessible à tous les budgets.
Didier BARZIN nous partage son parcours, pourquoi a t il décidé de créer Deming et le partager à la communauté? Mais aussi sa vision de l’ISO27001 et un RETEX sur l’établissement, l’implémentation et le maintien SMSI en milieu hospitalier.
1. Pouvez-vous présenter votre fonction et votre parcours ?
Diplômée de l’Université Libre de Bruxelles en informatique, j’ai débuté ma carrière en 1999 en tant que solution architect. Par la suite, j’ai été consultant indépendant en sécurité informatique. Actuellement, RSSI au sein du Centre Hospitalier Emile Mayrisch, je suis responsable de la conception, la mise en œuvre et la gestion du SMSI. Fort d’une expertise plus de dix années dans le domaine, j’ai développé une approche stratégique et holistique pour aborder les défis complexes liés à la sécurité de l’information.
Dans un monde en constante évolution des technologies l’information, je suis profondément passionné par les défis dynamiques et les opportunités sans cesse renouvelées qu’offre le domaine de la sécurité de l’information. Mon parcours et mon intérêt professionnel sont ancrés dans la compréhension du rôle déterminant que joue la sécurité de l’information dans la préservation de l’intégrité des systèmes informatiques, la protection des données sensibles et la garantie de la confidentialité des données.
Travailler dans des environnements où la sécurité de l’information est cruciale a toujours été une priorité pour moi. En contribuant à la conception, à la mise en œuvre et à la gestion de SMSI, j’ai pu intégrer ma passion pour l’informatique avec mon engagement envers la protection des données. Cela implique de rester constamment informé des dernières tendances en matière de cybermenaces, d’adopter des approches proactives pour anticiper les vulnérabilités potentielles et de mettre en place des mesures de sécurité robustes pour garantir la résilience des systèmes.
2. Pouvez vous décrire à quel cas d’usage répond l’outil que vous avez développé : Deming?
Deming a été conçu avec pour objectif principal de faciliter la gestion, la planification, le suivi et le reporting de l’efficacité des mesures de sécurité au sein d’une organisation. L’essence même de cette application réside dans l’idée de faciliter la coordination et l’évaluation continues des mesures de sécurité, conformément aux recommandations énoncées dans le chapitre 9 de la norme ISO 27001:2022, qui traite de l’évaluation des performances.
La gestion des contrôles de sécurité au sein d’une organisation est essentielle pour assurer une protection adéquate des informations sensibles et garantir une sécurité proportionnée. L’application offre une approche holistique, permettant aux responsables de la sécurité et aux équipes opérationnelles de planifier efficacement les contrôles, de surveiller leur mise en œuvre, de suivre leur performance, et de générer des rapports détaillés sur l’efficacité globale de la posture de sécurité.
L’alignement sur les recommandations de la norme ISO 27001:2022 renforce la crédibilité de cette approche, en veillant à ce que les activités de gestion des contrôles soient cohérentes avec les meilleures pratiques internationales. La norme, en mettant l’accent sur l’évaluation des performances, encourage une approche itérative et axée sur l’amélioration continue. Ainsi, Deming contribue à instaurer une culture de la sécurité proactive, où les contrôles sont constamment adaptés aux évolutions du paysage de la sécurité et aux besoins spécifiques de l’organisation.
En résumé, cette application représente une solution complète pour la gestion des contrôles de sécurité, offrant une approche conforme aux normes internationales les plus récentes. Son utilisation permet d’assurer une sécurité adéquate, proportionnée et évolutive, soutenant ainsi la mise en œuvre réussie d’une politique de sécurité de l’information conforme aux exigences rigoureuses de la norme ISO 27001:2022.
3. Comment vous est venue l’idée de créer cet outil Deming ?
L’idée de créer cet outil est née de l’observation des défis récurrents auxquels les organisations sont confrontées en matière de gestion des contrôles de sécurité. En travaillant au sein de diverses équipes de sécurité de l’information, j’ai constaté un besoin croissant de disposer d’un moyen simple, centralisé et efficace pour gérer, planifier, suivre et rapporter l’efficacité des mesures de sécurité.
Le constat était clair : utiliser une feuille de calcul pour suivre les contrôles de sécurité est chronophage et source d’erreurs; la plupart des solutions de GRC disponibles sont lourdes et coûteuses; et il y avait un besoin pressant d’un outil open source simple qui facilite une approche cohérente conforme aux meilleures pratiques de sécurité. L’idée était de créer une solution qui puisse simplifier le processus de gestion des contrôles, tout en offrant une visibilité sur la performance globale de la sécurité de l’information.
De plus, en tenant compte des exigences croissantes de conformité et des recommandations spécifiques de la norme ISO 27001:2022, l’objectif était de développer un outil qui puisse non seulement répondre aux spécificités de la norme mais également à celles d’autres normes, et d’ainsi anticiper les évolutions futures du paysage de la sécurité de l’information.
Ainsi, l’idée de créer Deming a été motivée par le besoin de disposer d’un tel outil au sein de mon organisation, par la conviction que la sécurité de l’information devrait être gérée de manière proactive et que la manière de la faire devraient refléter cette approche holistique.
4. Pourquoi décider de le partager à la communauté ?
La décision de partager cet outil avec la communauté me semblait évidente et découle de ma conviction profonde envers les valeurs de collaboration, de partage des connaissances et des outils en matière de sécurité de l’information. En constatant les bénéfices considérables que cet outil a apportés à la gestion des contrôles de sécurité au sein de mon organisation, j’ai ressenti la responsabilité de contribuer au bien commun.
La sécurité de l’information est un défi partagé par de nombreuses organisations, et il est crucial de créer un environnement où les meilleures pratiques et les solutions efficaces soient accessibles à tous. En partageant cet outil, je souhaite fournir aux professionnels de la sécurité et aux organisations une ressource précieuse qui peut les aider à renforcer leur posture de sécurité, à optimiser leurs processus et à s’adapter aux évolutions rapides du domaine.
La communauté de la sécurité de l’information bénéficie énormément de l’échange de connaissances et d’outils. En partageant Deming, je contribue à cette dynamique collaborative, offrant une opportunité d’amélioration continue pour tous ceux qui partagent un engagement envers l’excellence en matière de sécurité de l’information. En fin de compte, la sécurité n’est aussi forte que le maillon le plus faible, et le partage des connaissances est une étape essentielle pour renforcer collectivement la résilience face aux défis toujours plus complexes de la sécurité de l’information.
5. En quoi l’outil Deming peut être utile dans l’établissement, la mise en œuvre et le maintien du SMSI ?
L’intégration de l’outil Deming dans le cycle de vie du SMSI offre des avantages significatifs tout au long du processus, contribuant à renforcer la robustesse et l’efficacité de la sécurité de l’information.
Lors de la planification des mesures de sécurité, l’approche méthodologique de Deming favorise une identification approfondie des objectifs et des contrôles nécessaires, jetant ainsi les bases d’un SMSI solide.
La création de fiches de contrôle et la sauvegarde des preuves sont simplifiées, permettant une mise en œuvre plus fluide des mesures de sécurité, garantissant une documentation rigoureuse des activités liées à la sécurité.
L’utilisation de l’outil Deming facilite également la génération de rapports et de tableaux de bord clairs et pertinents destinés à la direction, offrant une vue d’ensemble des performances du SMSI.
Globalement, l’utilisation de l’outil Deming renforce la cohérence, l’efficacité et la conformité du SMSI, simplifiant ainsi la gestion quotidienne des activités liées à la sécurité de l’information.
6. Selon vous, la norme ISO 27001 est-elle adaptée aux nouveaux usages et technologies en e-santé – I.A, utilisation massive du Cloud ?
La norme ISO 27001, qui établit les exigences pour un SMSI, est conçue pour être suffisamment souple pour s’adapter aux évolutions technologiques, y compris aux nouveaux usages et technologies en e-santé tels que IA et l’utilisation massive du Cloud.
Les principes fondamentaux de la norme, tels que l’identification des actifs, l’évaluation des risques, la mise en place de mesures de sécurité, la formation du personnel, la gestion des incidents, et l’amélioration continue, restent pertinents dans le contexte de l’e-santé.
Cependant, pour s’adapter pleinement aux nouveaux défis spécifiques, il peut être nécessaire d’ajuster certains aspects du SMSI, notamment en intégrant des considérations spécifiques liées à la protection des données de santé, la confidentialité des patients, et les exigences réglementaires propres au secteur de la santé.
En somme, bien que la norme ISO 27001 fournisse une base solide, son adaptation précise aux besoins de l’e-santé dépendra des caractéristiques spécifiques de chaque organisation et des évolutions rapides de la technologie dans le domaine de la santé.
7. Quel est votre retour d’expérience sur l’établissement, la mise en œuvre et le maintien d’un SMSI en milieu hospitalier ? (Temps et charge nécessaires, coût, difficultés rencontrées au sein d’une structure hospitalière) ?
En partant d’une feuille blanche, la mise en place et la certification de notre SMSI selon la norme ISO 27001 est le fruit de deux années d’effort. Cela a été le résultat du travail de toute l’équipe informatique, des utilisateurs, des responsables de services et de la direction qui se sont tous impliqués, à leur niveau, dans ce projet stratégique pour notre établissement.
En termes de temps et de charge nécessaires, la phase d’établissement a demandé une analyse approfondie des besoins de sécurité, la définition de politiques adaptées aux spécificités du secteur de la santé, et l’engagement actif des parties prenantes. La mise en œuvre a nécessité une coordination étroite avec les professionnels de santé pour intégrer efficacement les mesures de sécurité dans les pratiques cliniques. En termes de coût, bien que les investissements aient été significatifs, les bénéfices en termes de protection des données médicales sensibles et de conformité aux réglementations ont justifié ces dépenses.
Les difficultés rencontrées au sein d’une structure hospitalière ont souvent résidé dans l’équilibre délicat entre la nécessité d’une sécurité renforcée et la continuité des soins. Des interruptions minimales dans les processus médicaux étaient essentielles, ce qui a nécessité une planification minutieuse pour éviter tout impact négatif sur les services critiques de santé. De plus, la sensibilisation du personnel médical aux enjeux de sécurité et la gestion des divers dispositifs médicaux connectés ont été des aspects cruciaux. Les réglementations strictes, telles que la conformité au RGPD, ont également ajouté une complexité supplémentaire.
En dépit de ces défis, cela a apporté des avantages significatifs en termes de protection des données patient, de résilience face aux menaces et de renforcement de la confiance des patients. La sensibilisation continue et l’adaptabilité aux évolutions technologiques restent des éléments clés pour garantir le maintien efficace de notre SMSI dans le temps.
Face à l’accroissement continu des cyberattaques, plus que jamais, une démarche visant à gérer la sécurité du système d’information est primordiale. Elle permet d’acquérir une maitrise et une vision d’ensemble des risques pesant sur votre organisation, de bâtir des plans d’actions cohérents répondant à la menace et de piloter la sécurité conformément aux meilleures pratiques de votre domaine.
Gageons que cet outil Deming trouvera son succès auprès de la communauté RSSI. L’outil est disponible ici : GitHub – dbarzin/deming: Management tool for the information security management system / Outil de gestion du système de management de la sécurité de l’information
Pour aller plus loin : Vous souhaitez disposer d’un accompagnement pour vous aider à établir, mettre en œuvre et maintenir un SMSI, appuyez vous sur l’expérience de nos consultants certifiés lead implementer ISO27001,
contactez nous : contact@probe-it.fr