Publicité en cours de chargement...

Publicité en cours de chargement...

Qui va garder le chien ?

08 déc. 2014 - 16:39,
Tribune - Cédric Cartau
En matière de SI et aussi de sécurité du SI, il y a des questions pour lesquelles la réponse est connue, le problème fini, rangé, classé. Par exemple, il faut mettre un antivirus sur les postes de travail, il faut mettre à jour les signatures et les patches de sécurité, etc. Dans la plupart des cas il s'agit de points techniques et la fameuse liste des fondamentaux de Patrick Pailloux se classe dans cette catégorie.

Il y a ensuite des questions sur lesquelles les acteurs ont un avis. Par exemple, le rattachement hiérarchique du RSSI (dans la DSI ou pas?), le pouvoir de blocage du RSSI dans un projet (pouvoir absolu ou simple avis dans la prise globale de décision?). Il en va de même d'ailleurs pour les contraintes CNIL, les aspects juridiques, etc. Tout est affaire d'arbitrage en ce bas monde, là plus qu'ailleurs.

Il est ensuite des questions sur lesquelles les interrogés avancent prudemment de peu de se faire taper sur les doigts. Les affres du décret confidentialité, le déploiement de la carte CPS dans les établissements de soins, l'avenir du DMP (non là je blague, on sait tous comment ça finira!), de la messagerie sécurisée, etc.

Et puis il est des questions pour lesquelles la majorité des parties prenantes ne sont même pas conscientes que la question existe. Par exemple, lorsque la DSI produit une prestation d'informatisation d'un service métier, le RSSI est censé sécuriser ledit processus informatisé, d'une part en sécurisant l'infrastructure (ce que l'on appelle le Plan de Secours Informatique) et d'autre part en rendant les métiers résilients à une future panne (procédures dégradée, cellule de crise, bref ce que l'on appelle le Plan de Continuité ou de Reprise d'Activité).

Mais si, globalement, le RSSI doit sécuriser les processus des métiers, qui sécurise les processus de la DSI ? Si l'on utilise la norme ABC (Activity Based Costing), ces processus se divisent en deux : les projets ou prestations de services qu'elle délivre à ses clients internes (projets métiers – le BUILD -, gestion de parc PC – le RUN - , etc.), et ses propres processus internes (circuit des demandes, traitement des incidents et des problèmes au sens ITIL du terme, etc.).

La seconde catégorie – les processus internes – fait l’objet de débats « sportifs » car de fait le RSSI se retrouve en mode ingérence vis-à-vis de la DSI qui est soit son rattachement hiérarchique, soit son prestataire maîtrise d'œuvre. Facile à dire que l'on est ITIL-compliant : dans les faits ce n'est jamais le cas : les problèmes sont rarement traités comme tels, la documentation rarement à jour, les procédures – qualification, changement, etc. - rarement respectées.

Quant à la première, la lecture d'ouvrages sur le Lean Management ou sur la théorie des contraintes (Goldratt) démontre un point indiscutable : en matière de production de services (ce qu'est la DSI au même titre qu'une usine produit des boulons ou des voitures) les informaticiens sont clairement à l'âge de pierre. Fondamentaux non respectés, notion de risque dans les projets rarement traités, voire même le simple quadriptyque projet (la gouvernance, le périmètre, les budgets et le niveau de qualité) même pas abordé. La DSI produit de l'énergie numérique pour ses clients, mais cette production en est à l'ère pré-fordienne. Qui alors doit surveiller la DSI ?

 

 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée

Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée

24 avril 2025 - 15:14,

Actualité

- DSIH

La Délégation au numérique en santé (DNS) publie le premier rapport d’activité de la Plateforme d’éthicovigilance du numérique en santé, un dispositif inédit lancé fin 2023 pour recueillir les signalements d’usagers et de professionnels confrontés à des enjeux éthiques liés aux technologies de santé...

Illustration Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine

Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine

21 avril 2025 - 19:07,

Tribune

-
Cédric Cartau

Récemment, un post sur LinkedIn racontait l’histoire suivante : un enseignant soucieux de repérer les élèves qui faisaient rédiger leur copie par ChatGPT transmettait ses consignes sous forme de fichiers PDF dans lesquels il incluait des morceaux de texte en caractères blancs, donc invisibles pour l...

Illustration L’arnaque à l’arrêt de travail comme source de réflexion

L’arnaque à l’arrêt de travail comme source de réflexion

14 avril 2025 - 21:57,

Tribune

-
Cédric Cartau

Soupçonné d’avoir mis en place un site Web permettant d’acheter de « faux » arrêts de travail en quelques clics et pour 9 euros seulement, un jeune homme de 22 ans originaire des Landes est sous le coup d’une accusation et de poursuites diverses. Les faux arrêts de travail étaient générés automatiqu...

Illustration Panorama forcément non exhaustif du fléau des arnaques en ligne en ce début 2025

Panorama forcément non exhaustif du fléau des arnaques en ligne en ce début 2025

08 avril 2025 - 07:19,

Tribune

-
Cédric Cartau

Le temps des mails provenant d’un prince nigérian qui requiert votre aide pour toucher un héritage, ou de la petite Marie qui attend désespérément une greffe, est révolu : les techniques ont évolué, les outils aussi, les réseaux se sont structurés et professionnalisés. Petit panorama, forcément inco...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.