Publicité en cours de chargement...
Pouvoirs du RSSI, une approche Itil de la question
Une part d’entre eux considère que le RSSI est une sorte de gardien du temple avec droit de vie et de mort sur certaines décisions à caractère technique : politique de filtrage URL, connexion d’un PC sur le LAN, etc. On trouve dans cette catégorie les moins avancés, ceux qui confondent encore système informatique et système d’information, et qui s’imaginent avoir un PRA parce qu’ils disposent d’une seconde salle informatique.
Pour l’autre part, les plus avancés, le RSSI est en réalité un officier Sécurité informatique, qui n’a comme valeur ajoutée que sa capacité à faire en sorte que les MOA se posent les bonnes questions sur leur niveau de risque. Cette approche, pour moderne qu’elle soit, présente malgré tout un inconvénient : si tout processus métier est fournisseur de ses clients (internes ou non) et client de ses fournisseurs (internes ou non), rien n’empêche a priori un fournisseur interne (par exemple la DSI) de dégrader son niveau de service sans en alerter ses clients (les processus métiers).
Itil propose une approche aussi simple que redoutable de la notion de processus, qui est caractérisé par trois paramètres : son SLA (Service Level Agreement, ou catalogue de services), son OLA (Operational Level Agreement, organisation interne au processus pour rendre le SLA), et ses UC (Underpinning Contracts, ou contrats passés avec ses propres fournisseurs). Les UC d’un processus sont donc les SLA de ses fournisseurs, et inversement. Partant de cette modélisation, il n’existe que deux situations où le RSSI a un pouvoir de blocage.
D’abord, la modification d’un SLA par un fournisseur ne doit pas être réalisée sans la validation du client. Après tout, rien n’empêche de vendre des 2CV, quand bien même on proposait des Rolls par le passé, si le client n’a besoin que de 2CV : encore faut-il qu’il en soit prévenu et qu’il valide ce nouveau niveau de service. Pour exemple, je n’ai rien contre le fait que les sauvegardes ne soient plus dédoublées, dès lors que les MOA ont acté explicitement l’augmentation mathématique du risque de perte de données (la question de savoir quelle MOA unique interroger sur ce sujet transversal est une autre paire de manches).
Ensuite, toute évolution de l’OLA et du SLA d’un processus ne doit être réalisée qu’après avoir validé que les UC sur lesquels s’appuie ce processus prennent bien en compte les nouvelles contraintes du client. C’est un grand classique dans les DSI : un « machin » anodin tombe en panne (par exemple le DECT d’un agent), et l’on se rend compte que tout le processus de gestion des greffons était basé sur un appel à ce DECT avec des renvois en cascade, ce qu’à aucun moment la DSI n’a validé. Sans compter que les systèmes de renvoi ne sont en aucun cas fiables en termes de disponibilité.
Autrement dit, personne ne vous interdit de courir en chaussettes et les yeux bandés sur un filin tendu entre deux immeubles du moment que vous êtes conscient de ce que vous faites : le pire risque n’est pas celui que l’on prend, mais celui que l’on prend ou que l’on fait prendre aux autres sans le savoir.
Avez-vous apprécié ce contenu ?
A lire également.

En direct du congrès APSSIS 2025 –– conférence sur l’histoire des malwares
24 juin 2025 - 18:00,
Tribune
-Temps fort traditionnel, Michel Dubois nous a habitués à des conférences techniques sur des sujets pointus, telle l’histoire du chiffrement. Nous voilà donc embarqués dans l’histoire des malwares, et on part de loin : machine de Turing, théorie de l’informatique de la fin de la Seconde Guerre mondia...

Interopérabilité en santé : FHIR on fire
23 juin 2025 - 21:47,
Actualité
- DSIH, Guilhem De ClerckHLTH 2025 – Amsterdam, 17 juin 2025 – Sur la scène du congrès HLTH, l’interopérabilité des données de santé s’est imposée comme un enjeu central, illustrant les limites persistantes des systèmes actuels et les espoirs placés dans la norme FHIR (Fast Healthcare Interoperability Resources). Au cœur de...

« Data Opt-in-imism : pourquoi la confiance est-elle la clé du succès de l’EHDS », une question débattue au HLTH 2025
23 juin 2025 - 21:23,
Actualité
- DSIH, Mehdi LebranchuLe 18 juin dernier, au Salon HLTH Europe d’Amsterdam, la conférence « Data Opt-in-imism: Why trust is key to the success of EHDS » a réuni des voix institutionnelles du nord de l’Europe autour d’une question déterminante pour l’avenir du partage de données de santé : la confiance. Prévu pour 2029, l...

HLTH 2025, un Salon sous le signe de l’innovation distribuée
23 juin 2025 - 21:18,
Actualité
- DSIH, Mehdi LebranchuHLTH Europe 2025, qui s’est tenu cette année à Amsterdam, a offert un panorama dense et incarné de l’écosystème européen de la santé numérique. Le Salon a rassemblé géants technologiques, institutions publiques, start-up prometteuses et hôpitaux à la recherche de nouveaux modèles de collaboration. U...