GHT : stratégie de convergence SSI, partie III

    27 mars 2018 - 11:03,
    Tribune - Cédric Cartau
    Gestion administrativeSécurité
    Dans un précédent article(1), nous traitions des stratégies de convergence SSI au sein d’un GHT s’appuyant sur le triptyque audit/appréciation des risques/suivi des actions et, en premier lieu, de l’audit en décrivant un outil très simple (PingCastle) qui permet d’évaluer le niveau de protection de l’AD. Dans un second volet(2), nous avons développé plus particulièrement les audits de la protection périmétrique.  

    Il est essentiel, dans une stratégie globale à l’échelle d’un GHT, de définir des indicateurs SSI : ils permettent, d’une part, d’objectiver le niveau général d’avancement et, d’autre part, d’afficher le niveau de chaque établissement comparé à celui des autres. Sur ce dernier point, il n’existe pas de meilleur allié du RSSI que l’aiguillon de la comparaison (souvenez-vous de vos années de primaire, quand l’institutrice vous filait une tôle et vous montrait en exemple le bon élève avec la raie au milieu, le pantalon de velours côtelé et la chemise à carreaux…). 

    La définition d’indicateurs se heurte en général à deux écueils : en déterminer suffisamment pour qu’ils soient représentatifs et couvrent un périmètre optimal, mais pas trop, sinon il sera impossible de les collecter. Dans l’idéal, il faudrait se limiter à une quinzaine tout au plus, et nous proposons pour base de réflexion la liste suivante :

    – RSSI et DPO officiellement nommés, les trois applications les plus critiques en conformité avec le RGPD ;

    – appréciation des risques à jour ;

    – processus d’audit défini et respecté ;

    – socle documentaire (PSSI, chartes) à jour ;

    – taux d’équipement disposant d’un antivirus à jour, avec une cible de 95 % ;

    – taux de couverture des procédures dégradées, qui doivent au moins comprendre les logiciels critiques ;

    – taux d’OS PC et serveurs à jour ;

    – niveau de protection des composants du dispositif périmétrique (pare-feu) : en l’occurrence, non-présence de failles critiques ;

    – taux d’utilisateurs avec des comptes AD sans privilèges ;

    – taux d’agents de la DSI disposant d’un compte admin distinct de leur compte utilisateur ;

    – taux d’agents de la DSI ayant validé le Mooc de l’Anssi (SecNumEdu) ;

    – annuaires AD et RH interconnectés.

    Soit 12 indicateurs en tout, dont certains empruntent à la partie organisationnelle, d’autres à la partie technique ; certains sont issus des 42 mesures d’hygiène de l’Anssi, d’autres de la vie courante. Tous sont critiquables, tous sont aussi faciles à collecter qu’à mesurer et, surtout, tous font référence à des items qu’il est aisé de faire progresser.

    Pantalon de velours ne va pas trop la ramener…

    (1) /article/2873/ght-strategie-de-convergence-ssi-partie-i.html 

    (2) /article/2883/ght-strategie-de-convergence-ssi-partie-ii.html 

    # Rgpd# Audit# Hygiène informatique# Indicateurs ssi# Anssi# Ght# Rssi# Sécurité informatique

    Avez-vous apprécié ce contenu ?

    A lire également.

    Illustration Piloter la performance par la Data : l’Anap lance une offre globale

    Piloter la performance par la Data : l’Anap lance une offre globale

    09 mars 2026 - 19:08,

    Communiqué

    - l’Anap

    Face aux enjeux de performance et de soutenabilité financière, la donnée est une ressource clé pour renforcer le pilotage des établissements. Lors d’une webconférence avec près de 850 participants, l’Anap a présenté « Votre Cockpit DATA » une plateforme gratuite qui permet aux établissements de retr...

    Illustration Observatoire des ruptures de parcours : L’Anap outille les Dispositifs d’Appui à la Coordination (DAC)

    Observatoire des ruptures de parcours : L’Anap outille les Dispositifs d’Appui à la Coordination (DAC)

    05 mars 2026 - 15:26,

    Communiqué

    - Rédaction, DSIH

    Alors que les observatoires des ruptures de parcours se déploient progressivement dans les territoires, l’Anap lance une plateforme destinée à accompagner les Dispositifs d’Appui à la Coordination (DAC). L’initiative vise à structurer la collecte, l’analyse et le partage des données afin d’objective...

    Illustration Fuite de données chez CEGEDIM – la question des zones à commentaire

    Fuite de données chez CEGEDIM – la question des zones à commentaire

    02 mars 2026 - 20:10,

    Tribune

    -
    Cédric Cartau

    Les données de 15 millions[1] de Français auraient été piratées lors d’une attaque survenue il y a plus de deux mois au sein de la société CEGEDIM et de logiciels utilisés par des médecins libéraux. Les grands médias (Le Monde, France Info) en ont fait état, et fait rarissime, même la ministre de la...

    Illustration Aligner la stratégie IA avec le projet d’établissement, le projet médical et le SDSI : une exigence de cohérence et de performance

    Aligner la stratégie IA avec le projet d’établissement, le projet médical et le SDSI : une exigence de cohérence et de performance

    23 fév. 2026 - 19:09,

    Tribune

    -
    Arnaud HAVE

    L’Intelligence Artificielle transforme les organisations, les pratiques professionnelles et les parcours patients. Pourtant, trop d’initiatives émergent encore sous forme d’expérimentations isolées, plutôt que comme la résultante d’une vision stratégique globale. Or, une stratégie IA découle des ori...

    Lettre d'information.

    Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

    Inscrivez-vous à notre lettre d’information hebdomadaire.

    A propos

    Nous suivre

    Contact

    Abonnement

    DSIH Magazine

    Nos marques

    Logo DSIHLogo Thema Radiologie