Publicité en cours de chargement...
Sécurité des SI : penser GHT, partie I
Curieusement, le domaine de la SSI est un peu à part, et ce pour plusieurs raisons. La première, c’est que la mise en ordre de marche des établissements périphériques (qui n’ont souvent pas de RSSI) relève de la prise de conscience des organisations : c’est donc un problème de maturité organisationnelle, et pas d’argent, au moins dans un premier temps. Bien entendu, viendra un moment où il faudra sortir le carnet de chèques, et chacun se demandera qui doit payer la facture. Mais tout le monde sait aussi qu’avant de dépenser le moindre euro en sécurité, beaucoup de choses peuvent être faites.
Ensuite, le décret prévoit que la mise en conformité avec la Cnil est assurée par l’établissement support. Traduction : si l’établissement support dispose déjà d’un CIL ou simplement d’une organisation structurée pour assurer la conformité Cnil, c’est naturellement ce dispositif qui va prendre la main sur le sujet Informatique et Libertés de tout le GHT. Il y a tout juste un an, je vous aurais dit : « OK, et alors ? ». Sauf que maintenant, nous avons tous en ligne de mire mai 2018 et le règlement général européen sur la protection des données personnelles, le fameux RGPD, qui impulse très clairement un changement de braquet sans précédent à ce niveau : appréciation des risques obligatoire avant toute mise en œuvre de traitement, privacy by design, etc. C’est, à mon avis, un boulevard énorme dans lequel les RSSI des établissements supports doivent s’engouffrer pour asseoir leur légitimité.
De façon plus prosaïque, les retours que j’ai pu avoir sur les schémas directeurs en cours (SDSI) dans les GHT font apparaître une chose curieuse, mais qui, en fait, ne l’est qu’en apparence : les Amoa retenues, dans certains groupes de travail, jouent plutôt le rôle de groupe de parole façon soutien psychologique : tout le monde sait où l’on va (une DSI unique coordonnée sur tout un territoire), le but des séances étant de faire admettre cette réalité par tous les participants en y mettant les formes. Mais, au sein de ces mêmes groupes de travail, le sujet SSI est rarement celui qui pose souci : les « petits » établissements sont souvent conscients d’être « aux pâquerettes » sur le sujet, et attendent impatiemment l’aide du RSSI support.
Le sujet SSI va donc vite devenir : « Par quoi on commence ? », compte tenu du fait qu’à peu près tout le monde est d’accord pour mutualiser ce machin compliqué.
À suivre…
Avez-vous apprécié ce contenu ?
A lire également.
Approche hétérodoxe du concept de risque résiduel
02 juin 2025 - 22:42,
Tribune
-Vous voulez être le bon élève de l’auditeur 27001 qui vient constater, de visu, comment vous mettez en œuvre un SMSI. Le bon élève, avec les félicitations, le bisou sur le front et le petit papier qui va bien.
Fondation Santé Service choisit GPLExpert pour un hébergement web conforme au référentiel CaRE
02 juin 2025 - 15:00,
Communiqué
- GPLExpertGPLExpert rejoint le groupe itp tout en conservant vos interlocuteurs. Fort de 30 ans d’histoire, 160 collaborateurs, 11 agences et 6 domaines d’expertise, qui sont désormais à votre service :
La cyber et les probabilités paresseuses
26 mai 2025 - 21:29,
Tribune
-Récemment, j’ai assisté à la conférence d’un entrepreneur qui propose des prestations de service relatives à des « calculs d’impact ». Oui, dit comme cela, c’est étrange, mais en fait pas autant qu’il y paraît : dans l’idée, si vous disposez d’un budget fixe, entre deux choix de projets cyber (par e...
Cybersécurité, simuler pour protéger : la force des formations immersives
19 mai 2025 - 23:41,
Tribune
-Dans un secteur aussi sensible que celui de la santé, la cybersécurité et la cyber résilience sont prioritaires. Les séquences immersives intégrées dans les formations à la cybersécurité jouent un rôle essentiel pour préparer les professionnels à faire face aux menaces. Ces approches pédagogiques re...
