Publicité en cours de chargement...
Qui va garder le chien ?
Il y a ensuite des questions sur lesquelles les acteurs ont un avis. Par exemple, le rattachement hiérarchique du RSSI (dans la DSI ou pas?), le pouvoir de blocage du RSSI dans un projet (pouvoir absolu ou simple avis dans la prise globale de décision?). Il en va de même d'ailleurs pour les contraintes CNIL, les aspects juridiques, etc. Tout est affaire d'arbitrage en ce bas monde, là plus qu'ailleurs.
Il est ensuite des questions sur lesquelles les interrogés avancent prudemment de peu de se faire taper sur les doigts. Les affres du décret confidentialité, le déploiement de la carte CPS dans les établissements de soins, l'avenir du DMP (non là je blague, on sait tous comment ça finira!), de la messagerie sécurisée, etc.
Et puis il est des questions pour lesquelles la majorité des parties prenantes ne sont même pas conscientes que la question existe. Par exemple, lorsque la DSI produit une prestation d'informatisation d'un service métier, le RSSI est censé sécuriser ledit processus informatisé, d'une part en sécurisant l'infrastructure (ce que l'on appelle le Plan de Secours Informatique) et d'autre part en rendant les métiers résilients à une future panne (procédures dégradée, cellule de crise, bref ce que l'on appelle le Plan de Continuité ou de Reprise d'Activité).
Mais si, globalement, le RSSI doit sécuriser les processus des métiers, qui sécurise les processus de la DSI ? Si l'on utilise la norme ABC (Activity Based Costing), ces processus se divisent en deux : les projets ou prestations de services qu'elle délivre à ses clients internes (projets métiers – le BUILD -, gestion de parc PC – le RUN - , etc.), et ses propres processus internes (circuit des demandes, traitement des incidents et des problèmes au sens ITIL du terme, etc.).
La seconde catégorie – les processus internes – fait l’objet de débats « sportifs » car de fait le RSSI se retrouve en mode ingérence vis-à-vis de la DSI qui est soit son rattachement hiérarchique, soit son prestataire maîtrise d'œuvre. Facile à dire que l'on est ITIL-compliant : dans les faits ce n'est jamais le cas : les problèmes sont rarement traités comme tels, la documentation rarement à jour, les procédures – qualification, changement, etc. - rarement respectées.
Quant à la première, la lecture d'ouvrages sur le Lean Management ou sur la théorie des contraintes (Goldratt) démontre un point indiscutable : en matière de production de services (ce qu'est la DSI au même titre qu'une usine produit des boulons ou des voitures) les informaticiens sont clairement à l'âge de pierre. Fondamentaux non respectés, notion de risque dans les projets rarement traités, voire même le simple quadriptyque projet (la gouvernance, le périmètre, les budgets et le niveau de qualité) même pas abordé. La DSI produit de l'énergie numérique pour ses clients, mais cette production en est à l'ère pré-fordienne. Qui alors doit surveiller la DSI ?
Avez-vous apprécié ce contenu ?
A lire également.

Des lignes directrices sur la portée des obligations applicables aux modèles d'IA à usage général (1)
29 juil. 2025 - 11:09,
Actualité
-Le règlement (UE) 2024/1689 (AI Act), entré en vigueur le 1er août 2024, vise à encadrer le développement et l’utilisation de l’intelligence artificielle dans l’Union européenne, en conciliant innovation technologique et protection des droits fondamentaux.

Dernier billet philosohico-cyber avant la plage
21 juil. 2025 - 10:00,
Tribune
-À l’approche des congés d’été, l’heure est à la réflexion — et pas seulement sur la température de l’eau ou le bon dosage de crème solaire. Entre arnaques bancaires de plus en plus sophistiquées, dérives technologiques, illusions cyber-industrielles et lacunes dans la gouvernance publique, ce billet...

Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé
07 juil. 2025 - 23:57,
Actualité
- DSIHLe ministre chargé de la Santé et de l’Accès aux soins, Yannick Neuder, a réuni ce 1er juillet un Comité stratégique exceptionnel pour présenter les premières étapes de la stratégie nationale sur l’intelligence artificielle (IA) et l’utilisation secondaire des données de santé. Objectif : structurer...

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS
01 juil. 2025 - 00:00,
Actualité
- DSIHLa 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...