Cas fictif – Société de biotechnologie

EBIOS Risk Manager – Formation – Jamal SAAD 1

 A1

Atelier 1 : cadrage et socle de sécurité

OBJECTIF : Définir le cadre de l’étude et du projet, son périmètre métier et technique

ÉLÉMENTS EN SORTIE :
• Éléments de cadrage de l’étude : participants, planning…
ATELIER 1 • Périmètre métier et technique : missions, valeurs
CADRAGE ET
SOCLE DE
métier, biens supports
SÉCURITÉ
• Événements redoutés et leur niveau de gravité
• Socle de sécurité : liste des référentiels applicables, état
d’application, identification des écarts

PARTICIPANTS : Direction, Métiers, RSSI, DSI

EBIOS Risk Manager – Formation – Jamal SAAD 2

 A1
1. Définir le périmètre métier et technique
Les questions à se poser
* Biens essentiels
dans EBIOS 2010
Quelles sont les VALEURS MÉTIER *
(processus, activités, données)
permettant à l’objet étudié de
réaliser ses missions ?

Quels sont les BIENS

SUPPORTS (systèmes
A quoi sert l’objet de l’étude ? numériques, réseaux
Quelles sont ses MISSIONS informatiques, ressources
principales, ses finalités ? humaines, locaux) qui
permettent de mener à bien
les valeurs métier ?

EBIOS Risk Manager – Formation – Jamal SAAD 3

 A1
1. Définir le périmètre métier et technique
Comment limiter le nombre de valeurs métier et de biens supports ?

Il ne s’agit pas dans cette étape de lister l’intégralité des valeurs métier et biens
supports de l’organisation
Nous ne sommes pas dans une démarche de cartographie du système d’information

Ne conserver que les valeurs

métiers identifiées comme
les plus pertinentes ou
sensibles
(les classer par exemple selon leurs
besoins de sécurité)
Considérer des ensembles 5 à 10 valeurs métiers
d’informations plutôt que constituent généralement
des informations isolées une base suffisante

Les valeurs métier qui n’auront pas été retenues pourront hériter des mesures prises pour protéger les
autres valeurs métier

EBIOS Risk Manager – Formation – Jamal SAAD 4

 A1 1. Définir le périmètre métier et technique
Exemple : société de biotechnologie
MISSIONS IDENTIFIER ET FABRIQUER DES VACCINS

VALEURS MÉTIER Recherche & développement (R&D) Fabriquer des vaccins Traçabilité et contrôle
Activité de recherche et développement des vaccins nécessitant :
Activité consistant à réaliser : Informations permettant
• l’identification des antigènes ;
• le remplissage de d’assurer le contrôle qualité et
• la production des antigènes (vaccin vivant atténué, inactivé, sous-
seringues (stérilisation, la libération de lot (exemples :
DESCRIPTION unité) : fermentation (récolte), purification, inactivation, filtration,
remplissage) ; antigène, répartition
stockage ;
• le conditionnement aseptique, conditionnement,
• l’évaluation préclinique ;
(étiquetage et emballage). libération finale…)
• le développement clinique.

ENTITÉ RESPONSABLE
(INTERNE/EXTERNE)
Pharmacien Production Qualité

BIENS SUPPORTS SI bureautique SI bureautique Système de production Système de production des

SI bureautique (interne)
ASSOCIÉS (interne) (externe) des antigènes (externe) vaccins (interne)

SI bureautique Ensemble de machines

SI bureautique Ensemble de machines et SI bureautique permettant de
permettant de et équipements
permettant de équipements informatiques stocker l’ensemble des
DESCRIPTION traiter et stocker informatiques
stocker une partie permettant de fabriquer des données relatives à la
l’ensemble des permettant de produire
des données de R&D vaccins à grande échelle traçabilité et au contrôle
données de R&D des antigènes

ENTITÉ RESPONSABLE DSI + Fournisseurs de

DSI Laboratoires partenaires DSI
(INTERNE/EXTERNE) matériels

EBIOS Risk Manager – Formation – Jamal SAAD 5