Publicité en cours de chargement...

Publicité en cours de chargement...

Les archives, meilleurs amis du RSSI ?

30 juil. 2018 - 12:48,
Tribune - Cédric Cartau
Pour le dernier article de cette première moitié d’année, j’ai décidé de revenir sur la question du rattachement hiérarchique et fonctionnel du RSSI : après tout, tant qu’à commenter des idées stupides, autant qu’elles viennent directement de moi. En l’occurrence, je me suis interrogé sur la question de savoir s’il était opportun ou pas de rattacher le RSSI au service des archives.

J’entends d’ici les commentaires et quolibets des confrères : quoi, comment donc, qu’est-ce à dire, rattacher le RSSI à des binocleux poussifs, avec des lunettes aussi épaisses que des culs de bouteille et qui passent leur journées voûtés à transporter des piles de dossiers datant de la reine Berthe ? Tout d’abord, il faut savoir que la profession est fortement féminisée, l’idée que le profil moyen d’un archiviste ressemble à celui de Dumbledore est donc totalement éculée. Ensuite, la profession est fortement informatisée, comment faire autrement quand il s’agit de localiser un dossier papier dans des kilomètres linéaires d’étagères ? Enfin, il faut réaliser que les projets d’informatisation des fonctions d’archives, par exemple l’archivage à valeur probante des données issues des DPI, sont d’une très grande complexité, et qu’à plusieurs reprises j’ai pu constater par moi-même le très haut niveau des spécialistes du domaine.

Bref, quelle idée loufoque m’est-donc passée par la tête ? Quand la majorité s’étripe pour savoir s’il faut ou non rattacher le RSSI à la DSI (çà, par contre, c’est complètement idiot), voilà que le RSSI du GHT44 lorgne du côté des archives. En fait, l’idée est loin d’être stupide, surtout quand on y regarde de plus près.

L’articulation de la sécurité du SI autour de l’habituel triptyque DIC (disponibilité, intégrité, confidentialité), et le rattachement du RSSI qui en découle, donnent une orientation claire à celui des trois critères qui sera mis en avant. La DSI est surtout focalisée sur le D, car c’est celui des trois sur lequel elle dispose de leviers. Quand « ça » tombe en panne, c’est évidemment la DSI qui peut réagir, et c’est également la DSI qui peut mettre en œuvre des moyens pour réduire le risque de panne. Mais la DSI ne dispose par exemple de quasiment aucuns moyens pour garantir le C qui, la plupart du temps, relève essentiellement des politiques d’habilitation métier aux données. La meilleurs infrastructure clusterisée du monde destinée à garantir le D ne peut strictement rien pour ce qui concerne le C, car ce dernier relève des métiers : sans politique d’habilitations aux données médicales ou RH, la DSI ne peut rien garantir de la confidentialité – même si elle met en œuvre des outils de traçabilité pour faciliter.

Dans la même veine, la DSI dispose de très peu de moyens pour garantir le I : à part dérouler des batteries de tests fonctionnels au moment de la réception des progiciels ou à chaque nouvelle version mise en production, on est un peu « sec » du côté de la DSI. Et c’est là que les archives ont une vraie valeur ajoutée. En s’intéressant tout spécifiquement au devenir de la donnée dans le temps – c’est-à-dire avec une perspective allant bien au-delà de la durée de vie des logiciels qui la produisent -, les archives donnent une perspective intéressante à la question du rattachement fonctionnel. En d’autres termes, en mettant l’accent sur le I, les archives vont devoir, de facto, devenir intrusives dans le cycle de production de la donnée, en s’insérant bien en amont du moment où il faut archiver les données d’un logiciel qui est abandonné. Par exemple, la question du devenir de la donnée à la fin de la vie du logiciel est une question qui n’est presque jamais traitée dans les projets informatiques : or, cela doit être vu en amont, au même titre que les clauses de réversibilités dans un marché. On se retrouve ainsi dans une situation où la seule réponse de la DSI est de sauvegarder le logiciel, voire effectuer une image OS + données du serveur…stratégie bien évidemment inefficace, car il est évidement que ladite image ne sera plus lisible dans 20 ou 30 ans.

Bref, le rattachement du RSSI aux archives est tout sauf idiot…et si vous trouver l’argumentation stupide je pourrais toujours rétorquer que le soleil de la plage m’a un peu trop tapé sur le crâne.

Bonnes vacances, retour en septembre.

Avez-vous apprécié ce contenu ?

A lire également.

Illustration MedGPT : le premier assistant IA médical français, alternative à ChatGPT

MedGPT : le premier assistant IA médical français, alternative à ChatGPT

17 sept. 2025 - 08:48,

Actualité

- DSIH

La startup bordelaise Synapse Medicine vient de franchir une étape majeure dans le domaine de la santé numérique avec le lancement de MedGPT, un assistant conversationnel basé sur l’intelligence artificielle et conçu exclusivement pour les professionnels de santé.

Regonfler un pneu ou s’attaquer à la root cause : vision 27001 de la mise sous contrainte

15 sept. 2025 - 22:20,

Tribune

-
Cédric Cartau

Imaginez un peu la scène : vous êtes dans votre jardin en train de tailler vos rosiers, et par-dessus la clôture vous apercevez votre voisin que vous saluez chaleureusement. Vous en profitez pour le prévenir que le pneu arrière gauche de sa voiture, garée dans son allée et que vous voyez très bien d...

Illustration Tour de France CaRE Domaine 2

Tour de France CaRE Domaine 2

13 sept. 2025 - 16:20,

Communiqué

- Orange Cyberdefense

La cybersécurité n’est plus une option pour les établissements de santé ! Grâce au programme CaRE, vous pouvez bénéficier de subventions pour augmenter votre résilience numérique. Orange Cyberdefense vous invite à son Tour de France autour du Domaine 2 du programme CaRE de mi-septembre à mi-octobre.

Illustration CaRE D2 : renforcer la continuité et la reprise d’activité grâce au test du PCRA

CaRE D2 : renforcer la continuité et la reprise d’activité grâce au test du PCRA

08 sept. 2025 - 11:50,

Tribune

-
Manon DALLEAU

Le mois de juillet 2025 a marqué le lancement de CaRE D2, avec pour objectif de renforcer la stratégie de continuité et de reprise d'activité des établissements de santé, aussi bien sur le plan métier que sur le plan informatique. Au cœur du dispositif : le Plan de Continuité et de Reprise d'Activit...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.