Publicité en cours de chargement...
Sécurité des SI : penser GHT, partie I
Curieusement, le domaine de la SSI est un peu à part, et ce pour plusieurs raisons. La première, c’est que la mise en ordre de marche des établissements périphériques (qui n’ont souvent pas de RSSI) relève de la prise de conscience des organisations : c’est donc un problème de maturité organisationnelle, et pas d’argent, au moins dans un premier temps. Bien entendu, viendra un moment où il faudra sortir le carnet de chèques, et chacun se demandera qui doit payer la facture. Mais tout le monde sait aussi qu’avant de dépenser le moindre euro en sécurité, beaucoup de choses peuvent être faites.
Ensuite, le décret prévoit que la mise en conformité avec la Cnil est assurée par l’établissement support. Traduction : si l’établissement support dispose déjà d’un CIL ou simplement d’une organisation structurée pour assurer la conformité Cnil, c’est naturellement ce dispositif qui va prendre la main sur le sujet Informatique et Libertés de tout le GHT. Il y a tout juste un an, je vous aurais dit : « OK, et alors ? ». Sauf que maintenant, nous avons tous en ligne de mire mai 2018 et le règlement général européen sur la protection des données personnelles, le fameux RGPD, qui impulse très clairement un changement de braquet sans précédent à ce niveau : appréciation des risques obligatoire avant toute mise en œuvre de traitement, privacy by design, etc. C’est, à mon avis, un boulevard énorme dans lequel les RSSI des établissements supports doivent s’engouffrer pour asseoir leur légitimité.
De façon plus prosaïque, les retours que j’ai pu avoir sur les schémas directeurs en cours (SDSI) dans les GHT font apparaître une chose curieuse, mais qui, en fait, ne l’est qu’en apparence : les Amoa retenues, dans certains groupes de travail, jouent plutôt le rôle de groupe de parole façon soutien psychologique : tout le monde sait où l’on va (une DSI unique coordonnée sur tout un territoire), le but des séances étant de faire admettre cette réalité par tous les participants en y mettant les formes. Mais, au sein de ces mêmes groupes de travail, le sujet SSI est rarement celui qui pose souci : les « petits » établissements sont souvent conscients d’être « aux pâquerettes » sur le sujet, et attendent impatiemment l’aide du RSSI support.
Le sujet SSI va donc vite devenir : « Par quoi on commence ? », compte tenu du fait qu’à peu près tout le monde est d’accord pour mutualiser ce machin compliqué.
À suivre…
Avez-vous apprécié ce contenu ?
A lire également.
Le futur de l’IA : Big Crunch, Big Freeze ou TVA ?
12 mai 2026 - 06:50,
Tribune
-C’est un fait : nous finirons tous cramés comme des merguez ou gelés comme des ours polaires.
Cyber-résilience hospitalière : renforcer détection et réponse sans surcharger ses ressources
11 mai 2026 - 11:24,
Actualité
- Fabrice Deblock, DSIHLe secteur de la santé n’est plus une cible secondaire, mais un objectif récurrent pour le cybercrime organisé. Entre les exigences de NIS2 et l’interconnexion croissante des systèmes, la seule détection ne suffit plus à contenir les risques. Les établissements doivent désormais renforcer leur capac...
Centre hospitalier de Moulins-Yzeure : conserver une capacité de coordination lorsque la crise survient
05 mai 2026 - 07:15,
Actualité
- Fabrice Deblock, DSIHPlan Blanc, cyberattaque, intoxication… Les établissements de santé doivent piloter des crises impliquant SAMU, services, direction de garde et partenaires extérieurs. Au CH de Moulins-Yzeure, les solutions CrisiSoft structurent l’alerte, le suivi des ressources et la coordination territoriale.
Fuites de données en France : inquiétant, désabusé…ou espoir ?
28 avril 2026 - 08:10,
Tribune
-En 2025, la France a détenu le record du nombre de fuites de données personnelles (ramené à la population), tout pays de l’OCDE confondu.
