Publicité en cours de chargement...

Publicité en cours de chargement...

GHT : stratégie de convergence SSI, partie III

27 mars 2018 - 11:03,
Tribune - Cédric Cartau
Dans un précédent article(1), nous traitions des stratégies de convergence SSI au sein d’un GHT s’appuyant sur le triptyque audit/appréciation des risques/suivi des actions et, en premier lieu, de l’audit en décrivant un outil très simple (PingCastle) qui permet d’évaluer le niveau de protection de l’AD. Dans un second volet(2), nous avons développé plus particulièrement les audits de la protection périmétrique.  

Il est essentiel, dans une stratégie globale à l’échelle d’un GHT, de définir des indicateurs SSI : ils permettent, d’une part, d’objectiver le niveau général d’avancement et, d’autre part, d’afficher le niveau de chaque établissement comparé à celui des autres. Sur ce dernier point, il n’existe pas de meilleur allié du RSSI que l’aiguillon de la comparaison (souvenez-vous de vos années de primaire, quand l’institutrice vous filait une tôle et vous montrait en exemple le bon élève avec la raie au milieu, le pantalon de velours côtelé et la chemise à carreaux…). 

La définition d’indicateurs se heurte en général à deux écueils : en déterminer suffisamment pour qu’ils soient représentatifs et couvrent un périmètre optimal, mais pas trop, sinon il sera impossible de les collecter. Dans l’idéal, il faudrait se limiter à une quinzaine tout au plus, et nous proposons pour base de réflexion la liste suivante :

– RSSI et DPO officiellement nommés, les trois applications les plus critiques en conformité avec le RGPD ;

– appréciation des risques à jour ;

– processus d’audit défini et respecté ;

– socle documentaire (PSSI, chartes) à jour ;

– taux d’équipement disposant d’un antivirus à jour, avec une cible de 95 % ;

– taux de couverture des procédures dégradées, qui doivent au moins comprendre les logiciels critiques ;

– taux d’OS PC et serveurs à jour ;

– niveau de protection des composants du dispositif périmétrique (pare-feu) : en l’occurrence, non-présence de failles critiques ;

– taux d’utilisateurs avec des comptes AD sans privilèges ;

– taux d’agents de la DSI disposant d’un compte admin distinct de leur compte utilisateur ;

– taux d’agents de la DSI ayant validé le Mooc de l’Anssi (SecNumEdu) ;

– annuaires AD et RH interconnectés.

Soit 12 indicateurs en tout, dont certains empruntent à la partie organisationnelle, d’autres à la partie technique ; certains sont issus des 42 mesures d’hygiène de l’Anssi, d’autres de la vie courante. Tous sont critiquables, tous sont aussi faciles à collecter qu’à mesurer et, surtout, tous font référence à des items qu’il est aisé de faire progresser.

Pantalon de velours ne va pas trop la ramener…


(1) /article/2873/ght-strategie-de-convergence-ssi-partie-i.html 

(2) /article/2883/ght-strategie-de-convergence-ssi-partie-ii.html 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

01 juil. 2025 - 00:00,

Actualité

- DSIH

La 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...

Illustration Le 8ème opus des guides cyber-résilience de l’APSSIS est en ligne !

Le 8ème opus des guides cyber-résilience de l’APSSIS est en ligne !

30 juin 2025 - 20:50,

Communiqué

- APSSIS

L’APSSIS a le plaisir d’annoncer la publication du 8ème opus des Guides Cyber-résilience à destination des professionnels du secteur. Conçus et élaborés par Cédric Cartau, ces guides se veulent à la fois accessibles, techniques et pratiques.

La cyber et les sacs de luxe

30 juin 2025 - 20:44,

Tribune

-
Cédric Cartau

C’est la fin du premier semestre, il est temps de faire un bilan à mi-course de l’année 2025. Et il s’en est passé, des choses, pas forcément douces et roses.

Illustration En direct du congrès APSSIS 2025 –– conférence sur l’histoire des malwares

En direct du congrès APSSIS 2025 –– conférence sur l’histoire des malwares

24 juin 2025 - 18:00,

Tribune

-
Cédric Cartau

Temps fort traditionnel, Michel Dubois nous a habitués à des conférences techniques sur des sujets pointus, telle l’histoire du chiffrement. Nous voilà donc embarqués dans l’histoire des malwares, et on part de loin : machine de Turing, théorie de l’informatique de la fin de la Seconde Guerre mondia...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.