Publicité en cours de chargement...
GHT : stratégie de convergence SSI, partie I
En revanche, quid de la sécurité des SI ? On conçoit facilement que si le SI converge, c’est que la SSI doit elle aussi s’aligner. Pas question de mettre à disposition de plusieurs établissements le même DPI si certains d’entre eux ne maîtrisent pas les identifiants des utilisateurs : présence de logins génériques, incapacité à s’assurer que les personnes ayant quitté l’établissement ont leurs accès verrouillés, etc.
Le nerf de la guerre, dans une démarche SSI structurée tout bien comme il faut, c’est le triptyque appréciation des risques/suivi des actions/audit. Intéressons-nous aux audits puisqu’ils constituent un bon moyen à la fois de mesurer, de communiquer et d’alimenter les deux autres volets de la démarche.
Ce qu’il ne faut pas faire : lancer des audits mégalos, le genre qui vous consomme des dizaines de journées de consultant externe, au moins autant en interne (car les consultants ne travaillent pas ex nihilo) et vous produisent des rapports de 200 pages inexploitables. Mauvaise stratégie.
Ce qu’il faut faire : pratiquer la pingrerie comme un art, doublée d’une fainéantise terrible sur le périmètre à couvrir, la taille du rapport et la liste des mesures correctives. Par exemple, dans le genre des outils que j’adore, je ne saurais trop conseiller PingCastle (https://www.pingcastle.com) pour auditer un AD. Un utilitaire à installer sur un PC banalisé, un compte de connexion sans privilèges particuliers, et quelques minutes plus tard vous avez un joli petit rapport (avec des camemberts en couleurs tout mignons, oui madame) listant les plus grosses vulnérabilités de votre AD (si vous croyez que votre AD est propre, vous croyez aussi que Casimir a vraiment existé et que les filles naissent dans les choux et les garçons dans les roses – ou l’inverse). À partir de là, il « suffit » (!!!) de prendre les 20 % des vulnérabilités les plus criantes, de les corriger… et de recommencer le mois suivant.
Pour qui veut s’en donner la peine, le Web regorge d’outils du même tonneau, auxquels on pourra trouver certes tous les défauts du monde (comme celui, par exemple, de ne pas être au catalogue des grands cabinets d’audit), mais quand ces outils ne remonteront plus rien sur nos infras, c’est que l’on aura franchi un cap, que dis-je, une péninsule.
La montée en maturité de la SSI d’un GHT passe nécessairement par une stratégie comme celle-ci : il va être impensable de consommer autant de jours payants par établissement que compte un GHT, pour autant d’audits, pour autant de mesures, sans ETP supplémentaires pour gérer le tout et encore moins les budgets, qui sinon risquent d’exploser.
Avez-vous apprécié ce contenu ?
A lire également.

Certification des établissements de santé : démarrage du 6ᵉ cycle au 1er septembre 2025
05 sept. 2025 - 11:39,
Actualité
- DSIHDepuis le 1er septembre 2025, la Haute Autorité de santé (HAS) a officiellement lancé le sixième cycle de certification (2025-2030) des établissements de santé. Ce dispositif, renouvelé tous les quatre ans, constitue un levier majeur d’évaluation de la qualité et de la sécurité des soins dans les st...
PSSI et Care D2 : suite de la réflexion sur la question de la signature
01 sept. 2025 - 22:56,
Tribune
-Dans le prolongement du précédent article(1) , intéressons-nous maintenant à un sujet qui déclenche souvent pas mal de débats : qui doit signer la PSSI ? Et d’ailleurs, doit-elle être signée ?
PSSI et Care D2, des questions pas si simples
26 août 2025 - 08:49,
Tribune
-Care Domaine 2 exige, entre autres, une PSSI pour le GHT qui candidate. Cela peut paraître simple, mais en fait cette exigence amène des questions et des réponses, surtout plus de questions que de réponses. Pour en avoir discuté avec pas mal de confrères ces derniers temps, force est de constater qu...
La cyber et les sacs de luxe
30 juin 2025 - 20:44,
Tribune
-C’est la fin du premier semestre, il est temps de faire un bilan à mi-course de l’année 2025. Et il s’en est passé, des choses, pas forcément douces et roses.