Publicité en cours de chargement...
GHT : stratégie de convergence SSI, partie II
Démarrer par les audits permet, a minima, de se faire une idée des niveaux de maturité respectifs de chaque établissement. Commencer par utiliser des outils simples et pas chers – voire gratuits – n’obère en rien la qualité des résultats obtenus. Selon nous, si on devait faire un choix sur les cibles à auditer en priorité, il y aurait bien entendu l’AD tel qu’évoqué ci-dessus, mais on pourrait ajouter au moins deux domaines techniques : le niveau de protection périmétrique et le niveau de maîtrise du parc d’actifs IP.
Le niveau de protection périmétrique fait référence à deux items : la protection périmétrique à proprement parler (pare-feu, robustesse de l’architecture, etc.) et les vulnérabilités exposées (équipements patchés, configuration des serveurs Web, etc.). Les produits du marché qui répondent à ce besoin (par exemple IKare de la société ITrust) affichent des tarifs catalogue aux environ de 100 euros par adresse IP auditée et par an. Même pour un CHU exposant 100 IP, la facture est tout à fait raisonnable, d’autant que ces produits permettent de réaliser autant de scans que souhaité. Faire une telle économie de bouts de chandelle, à l’heure des GHT, relève tout simplement de l’inconscience aiguë. Certes, on n’évitera pas les audits d’architecture, mais il peut être opportun de les accoler aux projets de renouvellement de l’infrastructure.
Pour ce qui concerne enfin le niveau de maîtrise du parc d’actifs IP (ce qui englobe absolument tout ce qui est connecté au réseau, que ce soit en filaire ou en wifi, qu’il s’agisse de matériels acquis et maintenus par la DSI ou non, de PC ou pas), l’expérience montre que les DSI se rangent en deux catégories : celles qui sont mauvaises, et celles qui sont très mauvaises. Si vous voulez vous en convaincre, demandez donc à votre DSI de vous produire le delta entre la totalité des actifs IP sur le LAN et le parc connu de la DSI : sans même parler d’interdire la connexion des actifs non maîtrisés (BYOD sauvage), encore faudrait-il dans un premier temps les mesurer… Cette mesure peut être réalisée avec des outils très simples de gestion de parc : Nmap, SCCM, AD, etc. La production de listes sous format tableur et leur fusion, le tout par script, est du niveau licence L1 ou L2.
Pourquoi ces trois types d’audit ? Parce qu’ils sont faciles à mettre en œuvre et permettent de se faire rapidement une idée du niveau de maturité des établissements d’un GHT où, en fonction de la taille, de l’histoire et des budgets, on trouve des situations très diverses.
Si quelqu’un a une meilleure idée…
(1) /article/2873/ght-strategie-de-convergence-ssi-partie-i.html
Avez-vous apprécié ce contenu ?
A lire également.
Le second appel, dédié à la continuité et à la reprise d’activité, poursuit la dynamique lancée, avec une enveloppe de 45 millions d’euros et une mobilisation importante du secteur.
12 nov. 2025 - 23:37,
Actualité
- Rédaction, DSIHLe programme CaRE continue d’élargir son action en santé, en mettant l’accent sur la continuité et la reprise d’activité après les incidents. Cette étape du dispositif s’appuie sur une enveloppe de financement de 45 millions d’euros et vise à renforcer les procédures de continuité, à sécuriser et re...
Interdictions et blocages se fracassent sur le mur de la technologie
03 nov. 2025 - 21:43,
Tribune
-Avec le temps, on s’assagit, mais cela n’empêche pas de rester étonné. Étonné devant l’amnésie collective qui frappe régulièrement les décideurs ou certains membres de la société civile dès lors que, sous couvert de bonnes intentions souvent réelles, il faut bloquer ceci ou cela.
Numih France : une métamorphose au service d’un numérique hospitalier souverain, éthique et sécurisé
03 nov. 2025 - 18:54,
Actualité
- DSIH,Né de la fusion entre le Mipih et le SIB, Numih France s’impose comme un acteur public de référence dans le domaine du numérique en santé. Porté par une gouvernance 100 % publique et hospitalière, le Groupement d’Intérêt Public déploie une stratégie alliant excellence opérationnelle, ancrage territo...
L’IA générative en santé : un outil prometteur, à utiliser de manière responsable
30 oct. 2025 - 11:15,
Communiqué
- HASFace à l’expansion rapide des systèmes d’intelligence artificielle (IA) générative – tels que Mistral AI, CoPilot ou ChatGPT – la HAS publie ses premières clés pour un usage responsable de ces technologies dans les secteurs sanitaire, social et médico-social. Ce guide concis et pédagogique, destiné ...
