EBIOS et PIA
Deux méthodes rigoureuses pour évaluer et gérer les risques, en cybersécurité et en protection des données personnelles, sont particulièrement utilisées en France :
-
EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) est une méthode développée par l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) qui permet d’identifier et de traiter les menaces pesant sur un système d’information :
Méthode EBIOS Risk Manager (https://cyber.gouv.fr/la-methode-ebios-risk-manager)
-
PIA (Privacy Impact Assessment) est un outil spécifique au RGPD recommandé par la CNIL (Commission Nationale de l’Informatique et des Libertés) qui permet d’évaluer les risques liés au traitement des données personnelles :
Guide PIA (https://www.cnil.fr)
La traduction de "Privacy Impact Assessment" est "Évaluation de l'impact sur la vie privée".
L'utilisation de ces 2 méthodes permet aux organisations d’améliorer leur sécurité et leur conformité réglementaire, tout en protégeant les utilisateurs et leurs données.
La Méthode EBIOS
Objectifs de l'EBIOS
- Identifier les menaces et les vulnérabilités des systèmes d’information.
- Évaluer les impacts potentiels en cas d’incident.
- Définir des mesures de sécurité adaptées.
- Assurer une gestion continue des risques de cybersécurité.
Les 5 étapes de l'EBIOS
Étape 1 : Cadrage et socle de sécurité
- Définir le périmètre de l’analyse (système, organisation, processus).
- Identifier les objectifs de sécurité et les exigences réglementaires.
- Établir un socle de sécurité de base (mesures de protection minimales).
Étape 2 : Étude des sources de risques
- Identifier les acteurs menaçants (cybercriminels, États, employés malveillants, etc.).
- Déterminer leurs motivations et leurs capacités d’attaque.
- Évaluer leur niveau de dangerosité.
Étape 3 : Scénarios stratégiques
- Construire des scénarios d’attaques réalistes basés sur les menaces identifiées.
- Analyser les impacts potentiels sur l’organisation.
- Prioriser les scénarios en fonction de leur criticité.
Étape 4 : Scénarios opérationnels
- Détailler les modes opératoires des attaques possibles.
- Identifier les vulnérabilités exploitées.
- Évaluer les conséquences sur les actifs de l’organisation.
Étape 5 : Traitement des risques et validation
- Définir des mesures de sécurité pour réduire les risques à un niveau acceptable.
- Valider les mesures avec les parties prenantes.
- Mettre en place un suivi régulier des risques.
Le PIA
Objectifs du PIA
- Identifier les risques pour la vie privée des personnes concernées.
- Mettre en place des mesures pour réduire ces risques.
- Assurer la conformité avec le RGPD et les recommandations de la CNIL.
Les 4 étapes du PIA
Étape 1 : Description du traitement des données
- Identifier le responsable du traitement et les parties prenantes.
- Décrire les données collectées, leur finalité et leur durée de conservation.
- Identifier les flux de données (transferts internes et externes).
Étape 2 : Évaluation de la nécessité et de la proportionnalité
- Vérifier si la collecte de données est justifiée et limitée au strict nécessaire.
- S’assurer du respect des principes du RGPD (minimisation, transparence, etc.).
- Identifier les bases légales du traitement (consentement, obligation légale, etc.).
Étape 3 : Analyse des risques sur la vie privée
- Identifier les menaces potentielles (vol de données, accès non autorisé, etc.).
- Évaluer la gravité et la vraisemblance des risques.
- Déterminer les impacts possibles sur les personnes concernées.
Étape 4 : Gestion des risques et validation
- Proposer des mesures pour réduire les risques (chiffrement, anonymisation, etc.).
- Vérifier la conformité aux recommandations de la CNIL.
- Documenter l’analyse et assurer un suivi régulier.
Exemple pratique
Sécurisation d'une plateforme de télémédecine avec EBIOS et PIA
Contexte
L’entreprise MediConnect développe une plateforme de télémédecine permettant aux patients de consulter des médecins à distance via une application web et mobile.
Cette plateforme gère des données sensibles : antécédents médicaux, ordonnances électroniques, vidéos de consultations, et informations personnelles des patients.
L’objectif est de garantir la sécurité du système d’information et la protection des données personnelles, tout en respectant le RGPD.
Pour cela, MediConnect décide d’utiliser EBIOS pour analyser les risques de cybersécurité et de réaliser un PIA pour évaluer les risques sur la vie privée des patients.
Application de la méthode EBIOS
Étape 1 : Cadrage et socle de sécurité
MediConnect définit les éléments suivants :
- Périmètre : plateforme web et mobile, base de données patients, serveurs d’hébergement.
- Objectifs de sécurité : garantir la confidentialité, l’intégrité et la disponibilité des données médicales.
- Socle de sécurité : chiffrement des communications, authentification forte, sauvegardes régulières.
Étape 2 : Étude des sources de risques
Les principales menaces identifiées sont :
- Cybercriminels cherchant à voler ou revendre des données médicales.
- Hackers activistes voulant dénoncer un manque de protection des données.
- Employés malveillants pouvant accéder illégalement aux dossiers patients.
Étape 3 : Scénarios stratégiques
Parmi les scénarios envisagés :
- Attaque par ransomware : un pirate chiffre les données et exige une rançon.
- Intrusion dans la base de données : un attaquant exploite une faille pour voler des dossiers médicaux.
- Fuite d’informations internes : un employé télécharge des données sans autorisation.
Étape 4 : Scénarios opérationnels
Un scénario détaillé est étudié :
- Mode opératoire : un hacker envoie un e-mail piégé à un médecin, qui ouvre une pièce jointe infectée.
- Vulnérabilités exploitées : absence de sensibilisation aux attaques par phishing, absence de double authentification.
- Conséquences : vol de données médicales, compromission de comptes utilisateurs.
Étape 5 : Traitement des risques et validation
MediConnect met en place des mesures :
- Formation des utilisateurs pour détecter les e-mails frauduleux.
- Authentification multi-facteurs pour l’accès aux dossiers patients.
- Surveillance des accès et alertes en cas d’activité suspecte.
Réalisation du PIA
Étape 1 : Description du traitement des données
- Données collectées : nom, prénom, adresse, historique médical, vidéos de consultations.
- Finalité : permettre des consultations médicales à distance.
- Durée de conservation : 5 ans après la dernière consultation.
Étape 2 : Évaluation de la nécessité et de la proportionnalité
- Justification : les données sont essentielles pour assurer un suivi médical.
- Minimisation : seules les informations strictement nécessaires sont collectées.
- Base légale : consentement explicite du patient et obligation légale pour la conservation des dossiers médicaux.
Étape 3 : Analyse des risques sur la vie privée
- Menaces identifiées :
- Piratage des serveurs stockant les dossiers médicaux.
- Utilisation abusive des données par des partenaires externes.
- Mauvaise configuration des permissions d’accès, exposant des informations sensibles.
- Impact potentiel :
- Divulgation d’informations médicales confidentielles.
- Perte de confiance des utilisateurs dans le service.
- Sanctions de la CNIL en cas de non-conformité.
Étape 4 : Gestion des risques et validation
MediConnect applique plusieurs mesures :
- Chiffrement des bases de données pour éviter tout accès non autorisé.
- Contrôle strict des accès aux informations médicales.
- Audit régulier pour s’assurer du respect des règles de confidentialité.
Conclusion
Grâce à EBIOS, MediConnect a identifié et réduit les risques de cybersécurité, garantissant la protection de son infrastructure.
Avec le PIA, l’entreprise s’assure que les données personnelles des patients sont traitées en conformité avec le RGPD.
Cette double approche permet d’offrir un service de télémédecine sécurisé, fiable et respectueux de la vie privée.
Qu'est ce que la minimisation des données ?
La minimisation des données est un principe fondamental du RGPD.
La minimisation des données impose que les organisations ne collectent et ne traitent que les données strictement nécessaires à la finalité du traitement.
Définition officielle (Article 5 du RGPD)
Les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
🎯 Objectif
L’objectif est de réduire les risques pour la vie privée des individus en évitant la collecte excessive ou inutile de données personnelles.
🔍 Exemples
- ❌ Non conforme : Un site e-commerce demande la date de naissance pour un achat qui ne nécessite pas de vérification d’âge.
- ✔️ Conforme : Une application de livraison de repas demande uniquement l’adresse et le numéro de téléphone du client pour assurer la livraison.
🛠 Bonnes pratiques
✔ Définir clairement les finalités du traitement des données.
✔ Ne collecter que les informations indispensables.
✔ Supprimer les données dès qu’elles ne sont plus nécessaires.
✔ Anonymiser ou pseudonymiser les données quand possible.
⚠ Sanctions possibles
Le non-respect du principe de minimisation des données peut entraîner des sanctions de la CNIL ou d’autres autorités de protection des données, pouvant aller jusqu’à 4 % du chiffre d'affaires annuel mondial ou 20 millions d’euros (selon le montant le plus élevé).