La fanfare Microsoft Office 365 : quel rôle pour le RSSI ?

Les responsables marketing de Microsoft usent leur salive sur le sujet du Cloud Act, mais en pure perte : tous les arguments utilisés relèvent de l’incantatoire ou de la méthode Coué. Quand Microsoft présente des tableaux indiquant le nombre de requêtes des autorités judiciaires pour obtenir les données des clients, le nombre de celles auxquelles ils se sont opposés, les types de données concernées, et j’en passe, les chiffres présentés sont totalement invérifiables. Microsoft pourrait afficher des tableaux présentant des chiffres deux fois plus élevés ou deux fois moins, cela ne changerait rien : si je ne peux pas vérifier une information, c’est qu’elle est fausse. D’ailleurs, confidence pour confidence, je ne l’ai jamais dit à personne, mais j’arrive à léviter à deux mètres du sol par la seule force de ma pensée, mais uniquement quand personne ne me regarde. Si, si, je vous jure ! Bref, je persiste et signe, ce discours marketing ne vaut pas tripette. Mais la question n’est pas là.

Tout d’abord, il faut rappeler que l’hôpital n’est pas dirigé par le RSSI – et heureusement. Le RSSI, tout comme le DPO du reste, a un devoir de conseil et d’alerte, il doit produire pour les MOA les appréciations des risques nécessaires à la prise de décision, mais l’arbitrage final relève de la MOA et d’elle seule, qui décide, ou non, de tenir compte des préconisations du RSSI puisqu’elle assume seule les conséquences de sa décision. La MOA accepte formellement les risques, pour autant que le RSSI ait produit une analyse aussi juste que claire et joué en toute transparence son rôle de conseil et d’alerte.

À partir de ce constat, un projet 0365 n’est rien de plus que l’externalisation de plusieurs briques du SI : serveurs de fichiers, messagerie, collaboratif, visio, etc. La question de l’externalisation a été abordée dans mon troisième ouvrage (Stratégies du système d’information : vers l’hôpital numérique, Presses de l’EHESP) et, en substance, tout projet de ce type doit traiter les sept items suivants : les aspects stratégiques, les RH, le projet opérationnel, les aspects financiers, les aspects juridiques et contractuels, la sécurité du SI et l’intégration au reste du SI. La question du Cloud Act relève soit de la partie juridique et contractuelle, soit de la partie Sécurité du SI et doit être abordée sous l’angle de l’analyse de risques, et rien d’autre.

Il faut simplement considérer comme une donnée de base que le Cloud Act induit un risque sur la donnée stockée chez Microsoft, point barre. Ce risque constitue l’un des risques identifiés (avec, entre autres, le risque de perte temporaire d’accessibilité du fait d’une coupure Internet, le risque de dépôt de bilan du prestataire, le risque d’intrusion puisque le prestataire est une cible, etc., etc., etc.) et la matrice obtenue constitue le travail que doit produire le RSSI dans le cadre de son étude sur le projet 0365. De plus – et ce point est majeur –, un projet d’externalisation ne réduit pas les risques : il les déplace. La matrice de risques dans la version On Premise de l’écosystème Microsoft (hébergement interne) est différente de celle de la version SaaS (O365) : certains risques disparaissent ou sont réduits (obsolescence du parc de licences, un grand classique), tandis que d’autres subsistent ou apparaissent (le Cloud Act, objet du présent article). Cela étant dit, inutile de s’époumoner, dans un sens comme dans un autre, sur la frange de Donald Trump, le sens de la vie ou la couleur de la barre de menu de Word. Tout le sujet est résumé à cette seule phrase : la MOA est-elle prête à accepter cette nouvelle matrice des risques ? Si une MOA décide d’accepter la matrice des risques du projet d’externalisation O365, c’est donc en connaissance de cause : c’est bien la MOA qui décide et la MOA qui assume. La matrice des risques n’est que l’un des sept items susnommés sur la base desquels le Go/no go de la MOA sera décidé, et non le seul axe d’appréciation ; ce n’est pas le RSSI qui dirige l’hôpital.

En tant que RSSI, mon avis sur le projet 0365, c’est que je n’en ai pas. Ou plutôt que je renvoie à une question : la MOA est-elle prête à assumer les risques identifiés ? En fait, je n’ai pas un avis, mais plutôt des préconisations : il y a certaines briques pour lesquelles O365 n’induit pas une augmentation préoccupante des risques (mais, là encore, c’est la MOA qui tranche), par exemple les fichiers bureautiques contenant des données administratives. J’ai par contre un avis défavorable pour des secteurs plus stratégiques telle la recherche (et c’est encore la MOA qui tranche).

Si on élève maintenant un peu le débat, il faut reconnaître que la question ne se pose pas de savoir si l’on passera ou non à 0365 – on y passera –, mais plutôt quand et pour quels métiers. Les responsables marketing Microsoft avancent d’ailleurs, et à juste titre, que parmi les risques réduits se trouve celui du dépôt de fichiers sauvages – quel hôpital n’a pas été confronté à des usages sauvages de Dropbox pour du partage de fichiers entre équipes multi-appartenantes ? – du fait de l’absence de solution adaptée mise à disposition par la DSI. Encore et toujours, comparaison avant/après des matrices de risques. Certains métiers ou fonctions peuvent tout à fait être candidats à O365 – outils collaboratifs, visio, etc. Pour d’autres, je n’ai aucun avis (contrôle de gestion ? médecine du travail ? RH ?) ou j’y suis fortement défavorable (recherche, DG, etc.). L’avenir n’est ni On Premise ni Cloud, il est hybride, et la valeur ajoutée du RSSI est d’aider les métiers à bien positionner la frontière.

À suivre…

[1] /article/3296/la-fanfare-microsoft-office-365-trompettes-et-pipeau-la-partie-trompettes.html ; /article/3306/la-fanfare-microsoft-office-365-trompettes-et-pipeau-la-partie-pipeau.html