Publicité en cours de chargement...
La fanfare Microsoft Office 365 : quel rôle pour le RSSI ?
Les responsables marketing de Microsoft usent leur salive sur le sujet du Cloud Act, mais en pure perte : tous les arguments utilisés relèvent de l’incantatoire ou de la méthode Coué. Quand Microsoft présente des tableaux indiquant le nombre de requêtes des autorités judiciaires pour obtenir les données des clients, le nombre de celles auxquelles ils se sont opposés, les types de données concernées, et j’en passe, les chiffres présentés sont totalement invérifiables. Microsoft pourrait afficher des tableaux présentant des chiffres deux fois plus élevés ou deux fois moins, cela ne changerait rien : si je ne peux pas vérifier une information, c’est qu’elle est fausse. D’ailleurs, confidence pour confidence, je ne l’ai jamais dit à personne, mais j’arrive à léviter à deux mètres du sol par la seule force de ma pensée, mais uniquement quand personne ne me regarde. Si, si, je vous jure ! Bref, je persiste et signe, ce discours marketing ne vaut pas tripette. Mais la question n’est pas là.
Tout d’abord, il faut rappeler que l’hôpital n’est pas dirigé par le RSSI – et heureusement. Le RSSI, tout comme le DPO du reste, a un devoir de conseil et d’alerte, il doit produire pour les MOA les appréciations des risques nécessaires à la prise de décision, mais l’arbitrage final relève de la MOA et d’elle seule, qui décide, ou non, de tenir compte des préconisations du RSSI puisqu’elle assume seule les conséquences de sa décision. La MOA accepte formellement les risques, pour autant que le RSSI ait produit une analyse aussi juste que claire et joué en toute transparence son rôle de conseil et d’alerte.
À partir de ce constat, un projet 0365 n’est rien de plus que l’externalisation de plusieurs briques du SI : serveurs de fichiers, messagerie, collaboratif, visio, etc. La question de l’externalisation a été abordée dans mon troisième ouvrage (Stratégies du système d’information : vers l’hôpital numérique, Presses de l’EHESP) et, en substance, tout projet de ce type doit traiter les sept items suivants : les aspects stratégiques, les RH, le projet opérationnel, les aspects financiers, les aspects juridiques et contractuels, la sécurité du SI et l’intégration au reste du SI. La question du Cloud Act relève soit de la partie juridique et contractuelle, soit de la partie Sécurité du SI et doit être abordée sous l’angle de l’analyse de risques, et rien d’autre.
Il faut simplement considérer comme une donnée de base que le Cloud Act induit un risque sur la donnée stockée chez Microsoft, point barre. Ce risque constitue l’un des risques identifiés (avec, entre autres, le risque de perte temporaire d’accessibilité du fait d’une coupure Internet, le risque de dépôt de bilan du prestataire, le risque d’intrusion puisque le prestataire est une cible, etc., etc., etc.) et la matrice obtenue constitue le travail que doit produire le RSSI dans le cadre de son étude sur le projet 0365. De plus – et ce point est majeur –, un projet d’externalisation ne réduit pas les risques : il les déplace. La matrice de risques dans la version On Premise de l’écosystème Microsoft (hébergement interne) est différente de celle de la version SaaS (O365) : certains risques disparaissent ou sont réduits (obsolescence du parc de licences, un grand classique), tandis que d’autres subsistent ou apparaissent (le Cloud Act, objet du présent article). Cela étant dit, inutile de s’époumoner, dans un sens comme dans un autre, sur la frange de Donald Trump, le sens de la vie ou la couleur de la barre de menu de Word. Tout le sujet est résumé à cette seule phrase : la MOA est-elle prête à accepter cette nouvelle matrice des risques ? Si une MOA décide d’accepter la matrice des risques du projet d’externalisation O365, c’est donc en connaissance de cause : c’est bien la MOA qui décide et la MOA qui assume. La matrice des risques n’est que l’un des sept items susnommés sur la base desquels le Go/no go de la MOA sera décidé, et non le seul axe d’appréciation ; ce n’est pas le RSSI qui dirige l’hôpital.
En tant que RSSI, mon avis sur le projet 0365, c’est que je n’en ai pas. Ou plutôt que je renvoie à une question : la MOA est-elle prête à assumer les risques identifiés ? En fait, je n’ai pas un avis, mais plutôt des préconisations : il y a certaines briques pour lesquelles O365 n’induit pas une augmentation préoccupante des risques (mais, là encore, c’est la MOA qui tranche), par exemple les fichiers bureautiques contenant des données administratives. J’ai par contre un avis défavorable pour des secteurs plus stratégiques telle la recherche (et c’est encore la MOA qui tranche).
Si on élève maintenant un peu le débat, il faut reconnaître que la question ne se pose pas de savoir si l’on passera ou non à 0365 – on y passera –, mais plutôt quand et pour quels métiers. Les responsables marketing Microsoft avancent d’ailleurs, et à juste titre, que parmi les risques réduits se trouve celui du dépôt de fichiers sauvages – quel hôpital n’a pas été confronté à des usages sauvages de Dropbox pour du partage de fichiers entre équipes multi-appartenantes ? – du fait de l’absence de solution adaptée mise à disposition par la DSI. Encore et toujours, comparaison avant/après des matrices de risques. Certains métiers ou fonctions peuvent tout à fait être candidats à O365 – outils collaboratifs, visio, etc. Pour d’autres, je n’ai aucun avis (contrôle de gestion ? médecine du travail ? RH ?) ou j’y suis fortement défavorable (recherche, DG, etc.). L’avenir n’est ni On Premise ni Cloud, il est hybride, et la valeur ajoutée du RSSI est d’aider les métiers à bien positionner la frontière.
À suivre…
[1] /article/3296/la-fanfare-microsoft-office-365-trompettes-et-pipeau-la-partie-trompettes.html ; /article/3306/la-fanfare-microsoft-office-365-trompettes-et-pipeau-la-partie-pipeau.html
Avez-vous apprécié ce contenu ?
A lire également.

Certification des établissements de santé : démarrage du 6ᵉ cycle au 1er septembre 2025
05 sept. 2025 - 11:39,
Actualité
- DSIHDepuis le 1er septembre 2025, la Haute Autorité de santé (HAS) a officiellement lancé le sixième cycle de certification (2025-2030) des établissements de santé. Ce dispositif, renouvelé tous les quatre ans, constitue un levier majeur d’évaluation de la qualité et de la sécurité des soins dans les st...
PSSI et Care D2 : suite de la réflexion sur la question de la signature
01 sept. 2025 - 22:56,
Tribune
-Dans le prolongement du précédent article(1) , intéressons-nous maintenant à un sujet qui déclenche souvent pas mal de débats : qui doit signer la PSSI ? Et d’ailleurs, doit-elle être signée ?
PSSI et Care D2, des questions pas si simples
26 août 2025 - 08:49,
Tribune
-Care Domaine 2 exige, entre autres, une PSSI pour le GHT qui candidate. Cela peut paraître simple, mais en fait cette exigence amène des questions et des réponses, surtout plus de questions que de réponses. Pour en avoir discuté avec pas mal de confrères ces derniers temps, force est de constater qu...
La cyber et les sacs de luxe
30 juin 2025 - 20:44,
Tribune
-C’est la fin du premier semestre, il est temps de faire un bilan à mi-course de l’année 2025. Et il s’en est passé, des choses, pas forcément douces et roses.