EBIOS Risk Manager

EBIOS Risk Manager

Méthode d'appréciation et de traitement des risques numériques publiée par l'Agence nationale de la sécurité et des systèmes d'information (ANSSI) avec le soutien du Club EBIOS

La méthode EBIOS Risk Manager (ou EBIOS RM) a été publiée par l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information).

Il s'agit de la méthode conseillée par l'ANSM (Agence Nationale de Sécurité du Médicament et des produits de santé) pour assurer la cybersécurité (ou ) des incorporant du logiciel (DMIL) et des logiciels dispositifs médicaux en soi (ou SaMD pour "Software as Medical Device").

En effet, pour le respect de la réglementation relative aux dispositifs médicaux (DM ou DMDIV), cette méthode d'identification, d'évaluation et de maîtrise des de cybersécurité peut être mise en œuvre dans le cadre d'un (SMQ) conforme aux exigences de la EN ISO 13485 (Dispositifs médicaux — Systèmes de management de la qualité — Exigences à des fins réglementaires).

Une approche par les scénarios

L'approche de proposée par la méthode EBIOS Risk Manager (ou EBIOS RM) peut être représentée sous la forme d'une pyramide de gestion des risques numériques.

Elle se concentre sur les risques de cybersécurité liés à des causes intentionnelles et délègue la gestion des risques liés à des causes accidentelles ou environnementales à une approche par conformité réglementaire et normative.

Pyramide de gestion du risque numérique

Pyramide de gestion du risque numérique

Une démarche itérative

La méthode EBIOS Risk Manager (ou EBIOS RM) est structurée en 5 ateliers à mettre en œuvre de manière itérative pour assurer la cybersécurité d'un dispositif médical (DM) ou d'un (DMDIV).

L'infographie ci-dessous vous présente les finalités et l'agencement ces ateliers.

Ateliers EBIOS Risk Manager

Ateliers EBIOS Risk Manager

La méthode EBIOS Risk Manager (ou EBIOS RM) prévoit deux cycles constitués de ces 5 ateliers pour assurer une de cybersécurité initiale :

  • un premier cycle qui s'attarde sur l'étude des scénarios stratégiques et
  • un deuxième cycle pour revenir sur les scénarios opérationnels.

A l'occasion du deuxième cycle il est intéressant de revoir les approches de maîtrise retenues à la lumière de l'évolution des modes opératoires des cyberattaques, de l'apparition de nouvelles vulnérabilités et des incidents de cybersécurité survenus.

Documentation de la gestion des risques

Dans le cadre de la gestion des risques de cybersécurité d'un dispositif médical (DM) ou d'un dispositif médical de diagnostic in vitro (DMDIV), le résultat de ces ateliers doit être documenté suivant les exigences de la norme EN ISO 14971 (Dispositifs médicaux — Application de la gestion des risques aux dispositifs médicaux).

Pour en savoir plus

La norme EN ISO 14971 est au cœur de la gestion des risques des dispositifs médicaux (DM) et des dispositifs médicaux de diagnostic in vitro (DMDIV).

Dans le cadre des dispositifs médicaux (DM ou DMDIV), il est important de ne pas confondre les risques de sécurité et les risques de cybersécurité.