Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Qui va garder le chien ?

08 déc. 2014 - 16:39,
Tribune - Cédric Cartau
En matière de SI et aussi de sécurité du SI, il y a des questions pour lesquelles la réponse est connue, le problème fini, rangé, classé. Par exemple, il faut mettre un antivirus sur les postes de travail, il faut mettre à jour les signatures et les patches de sécurité, etc. Dans la plupart des cas il s'agit de points techniques et la fameuse liste des fondamentaux de Patrick Pailloux se classe dans cette catégorie.

Il y a ensuite des questions sur lesquelles les acteurs ont un avis. Par exemple, le rattachement hiérarchique du RSSI (dans la DSI ou pas?), le pouvoir de blocage du RSSI dans un projet (pouvoir absolu ou simple avis dans la prise globale de décision?). Il en va de même d'ailleurs pour les contraintes CNIL, les aspects juridiques, etc. Tout est affaire d'arbitrage en ce bas monde, là plus qu'ailleurs.

Il est ensuite des questions sur lesquelles les interrogés avancent prudemment de peu de se faire taper sur les doigts. Les affres du décret confidentialité, le déploiement de la carte CPS dans les établissements de soins, l'avenir du DMP (non là je blague, on sait tous comment ça finira!), de la messagerie sécurisée, etc.

Et puis il est des questions pour lesquelles la majorité des parties prenantes ne sont même pas conscientes que la question existe. Par exemple, lorsque la DSI produit une prestation d'informatisation d'un service métier, le RSSI est censé sécuriser ledit processus informatisé, d'une part en sécurisant l'infrastructure (ce que l'on appelle le Plan de Secours Informatique) et d'autre part en rendant les métiers résilients à une future panne (procédures dégradée, cellule de crise, bref ce que l'on appelle le Plan de Continuité ou de Reprise d'Activité).

Mais si, globalement, le RSSI doit sécuriser les processus des métiers, qui sécurise les processus de la DSI ? Si l'on utilise la norme ABC (Activity Based Costing), ces processus se divisent en deux : les projets ou prestations de services qu'elle délivre à ses clients internes (projets métiers – le BUILD -, gestion de parc PC – le RUN - , etc.), et ses propres processus internes (circuit des demandes, traitement des incidents et des problèmes au sens ITIL du terme, etc.).

La seconde catégorie – les processus internes – fait l’objet de débats « sportifs » car de fait le RSSI se retrouve en mode ingérence vis-à-vis de la DSI qui est soit son rattachement hiérarchique, soit son prestataire maîtrise d'œuvre. Facile à dire que l'on est ITIL-compliant : dans les faits ce n'est jamais le cas : les problèmes sont rarement traités comme tels, la documentation rarement à jour, les procédures – qualification, changement, etc. - rarement respectées.

Quant à la première, la lecture d'ouvrages sur le Lean Management ou sur la théorie des contraintes (Goldratt) démontre un point indiscutable : en matière de production de services (ce qu'est la DSI au même titre qu'une usine produit des boulons ou des voitures) les informaticiens sont clairement à l'âge de pierre. Fondamentaux non respectés, notion de risque dans les projets rarement traités, voire même le simple quadriptyque projet (la gouvernance, le périmètre, les budgets et le niveau de qualité) même pas abordé. La DSI produit de l'énergie numérique pour ses clients, mais cette production en est à l'ère pré-fordienne. Qui alors doit surveiller la DSI ?

 

 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Ségur du numérique : lancement du financement de l’équipement en ville

Ségur du numérique : lancement du financement de l’équipement en ville

19 mai 2025 - 23:32,

Actualité

- Damien Dubois, DSIH

Après la publication mi-mai d’un arrêté au Journal officiel, la vague 2 du Ségur du numérique démarre pour l’équipement des médecins de ville, en particulier pour la fonction « Logiciel de gestion de cabinet ».

Illustration Sylvain Delair rejoint l’Anap et dirige la nouvelle cellule Data

Sylvain Delair rejoint l’Anap et dirige la nouvelle cellule Data

14 mai 2025 - 16:59,

Communiqué

- ANAP

Sylvain Delair, directeur d’hôpital, prend la tête de la nouvelle cellule Data de l’Anap. Après avoir créé la Direction Data du CHU de Grenoble, il met son expertise au service de l’ensemble des établissements en contribuant à renforcer l’offre Data de l’Anap.

Illustration TVA : Maîtriser une réglementation complexe, fluidifier ses ressources financières.

TVA : Maîtriser une réglementation complexe, fluidifier ses ressources financières.

09 mai 2025 - 15:31,

Communiqué

- ANAP

L’Anap publie un guide et un outil numérique d’aide à la décision pour permettre aux établissements de maîtriser la TVA, optimiser leurs flux et trouver facilement les dispositions applicables à leur situation.

Illustration Élargissement de la feuille de route pour la performance des achats et de la logistique

Élargissement de la feuille de route pour la performance des achats et de la logistique

06 mai 2025 - 08:10,

Actualité

- Damien Dubois, DSIH

Le 28 avril, la feuille de route pour la performance des achats et de la logistique des établissements de santé et médico-sociaux a été étendue selon trois axes structurants : Pilotage, Produits de santé et criticité, Pratiques et processus d’achat.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.