Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Le RSSI et ses relations dans l’organisation

01 fév. 2021 - 13:36,
Actualité - WELIOM
Le RSSI a pour mission d’identifier des objectifs de sécurité du SI puis de mettre en œuvre les moyens nécessaires pour les atteindre. C’est la définition même d’une Politique de Sécurité des Systèmes d’Information. Pour qu’elle soit efficiente, la PSSI doit présenter des objectifs SMART (#qualité) : Spécifiques, Mesurables, Atteignables, Réalisables et Temporellement définis. Le RSSI s’appuie alors sur un référentiel existant (ISO 27001, PGSSI-S, PSSI-MCAS etc.) puis réalise et tient à jour une analyse des risques SI ainsi qu’un plan de traitement des risques. 

Rôles et responsabilités du RSSI

Pour que tout cela prenne du sens, le RSSI doit animer une dynamique de Sécurité auprès des équipes, il aura 2 activités essentielles :

  • Contrôler, par le suivi de Key Performance Indicators (KPI) et la réalisation d’audits ; il s’agit de mesurer l’efficacité des mesures en place et d’identifier des actions d’amélioration
  • Communiquer, par la formation et la sensibilisation ; le RSSI est un communicant, un pédagogue capable de faire passer les messages essentiels en vue de préserver et améliorer la sécurité du SI. Au travers de comités de pilotage SSI, il diffuse une culture de la sécurité.

Le SI étant devenu transverse à toute l’organisation, ses actions doivent permettre d’assurer la sécurité de l’information au travers de l’ensemble des processus métiers.

La question de la répartition des responsabilités de la sécurité de l’information est complexe mais une chose est sûre, le Responsable SSI n’est pas l’unique dépositaire des risques qui pèsent sur le SI. Bien qu’il soit amené à imposer certaines mesures, notamment pour répondre à des obligations réglementaires, il peut aussi émettre de simples recommandations qui seront suivies, ou non, par une équipe projet, la DSI, le DPO, un responsable de traitement ou la Direction Générale. Leur responsabilité pourra être engagée en cas d’incident. 

Positionnement au sein de l’organisation 

En théorie, le RSSI devrait être positionné en dehors de la DSI ou du service informatique en raison de son activité de contrôle. Ne pouvant pas être à la fois juge et partie, il ne devrait pas pouvoir interpréter les décisions et les mesures qu’il a lui-même mises en place. Ce contrôle doit provenir d’une personne dont la position lui permet d’être totalement objectif et partial, au risque de rétrograder la sécurité au second plan.

Il peut alors être rattaché à la Direction Générale, une position qui a du sens étant donné qu’elle est l’ultime décisionnaire, qu’elle porte une responsabilité sur la Sécurité de l’information et surtout qu’elle contribue à la définition et à la mise en œuvre des moyens et budgets nécessaires pour la protection du SI.

Il est également intéressant de le voir rattaché au service Qualité et Gestion des Risques, une fonction pour laquelle la culture du Risk Management est forte.

En pratique, c’est bien plus compliqué que cela et le positionnement du RSSI dépend généralement de la taille et de la maturité de l’organisation. 

Dans les petites structures sanitaires ou dans le médico-social, on rencontre généralement 2 cas de figure :

  1. Le RSSI n’est pas encore désigné
  2. Le RSSI est le Responsable Informatique

De plus en plus, les établissements de santé s’efforcent de « détacher » le RSSI du service informatique afin de satisfaire les exigences du programme national HOP’EN. Le « RSSI » désigné peut être le RAQ et parfois même la Direction Générale, mais cette évolution n’a d’effet que sur la fiche de poste et les pratiques restent inchangées.
Dans les structures plus importantes, l’attribution de la fonction est sujette à davantage de discussions car il n’y a plus un Responsable Informatique mais une Direction des SI. Pour autant, le problème reste généralement le même puisque le RSSI nommé fait souvent partie de la DSI. 

Pourquoi un tel décalage ? 

Si les pratiques ne parviennent pas à s’aligner avec le modèle cible de gouvernance de la Sécurité du SI, c’est parce qu’il persiste encore un manque de maturité sur le sujet. Il est en effet important d’avoir à l’esprit que :

  • On ne peut pas juger avec équité de ses propres décisions 
  • Le système d’information ne se limite pas au système informatique

On constate également un manque de moyen humain évident qui ne permet pas à l’heure actuelle d’implémenter ce modèle de fonctionnement. Seuls les grands groupes sanitaires et les gros GHT parviennent à dégager une ressource, voire un service, dédié à la Sécurité du SI. 

Une solution alternative, dont les adeptes sont de plus en plus nombreux, pourrait être celle de l’externalisation du RSSI, à condition qu’il ait une bonne connaissance des processus métiers.

Les rapports du RSSI avec son environnement

S’il ne devrait pas être intégré à la DSI, le RSSI doit pour autant collaborer de manière très étroite avec elle. Parce qu’elle a la main mise sur le SI, il doit régner une relation de confiance entre les 2 entités pour qu’une coordination efficiente puisse être instaurée. Une communication assidue et transparente doit être établie, au même titre qu’avec toutes les autres équipes et membres de l’organisation. C’est aussi cette position centrale, au carrefour de tous les corps de métiers, qui fait la richesse du métier de RSSI.

Pour conclure ? 

Les relations du RSSI avec les autres ressources de l’organisation sont essentielles, surtout lorsque l’on sait que le facteur humain est le premier rempart contre la cyber-insécurité. Cela suggère une polyvalence et une capacité d’adaptation à toute épreuve. 

Le RSSI est en quelque sorte le chef d’orchestre de la sécurité de l’information qui guide et coordonne les équipes afin de « produire une belle symphonie » et surtout, éviter la fausse note !


Par Brice SIMON – Consultant WELIOM

À propos de WELIOM

Pour être efficiente, la transformation des établissements de santé doit être pensée de manière globale en prenant en compte l’ensemble des enjeux économiques, réglementaires, sociétaux et médicaux. WELIOM, né de l’union entre Odsis et Cosilog, se positionne en partenaire de cette transformation, en mettant au service des acteurs du monde de la santé des experts reconnus et des méthodologies adaptées à leurs domaines d’activité. En tant que société de conseil et de service dédiée au secteur de la santé, WELIOM accompagne ses clients en intégrant à leur réflexion l’évolution des organisations, le développement des services numériques et le respect des obligations réglementaires. Plus d’infos : https://www.weliom.fr/ 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Horizon Santé 360 : Innovons ensemble pour notre souveraineté en santé

Horizon Santé 360 : Innovons ensemble pour notre souveraineté en santé

02 oct. 2025 - 10:31,

Communiqué

- La Poste Santé & Autonomie

Rendez-vous le 9 octobre 2025 à Paris pour la 3ᵉ édition d’Horizon Santé 360, l'événement annuel de La Poste Santé & Autonomie.

Illustration Le Data Act : une nouvelle ère pour la gouvernance des données de santé

Le Data Act : une nouvelle ère pour la gouvernance des données de santé

30 sept. 2025 - 07:15,

Tribune

-
Marguerite Brac de La Perrière

Le 12 septembre 2025 a marqué une étape décisive dans la stratégie européenne de la donnée avec l’entrée en application du Data Act (Règlement UE 2023/2854). Ce texte, pilier du marché unique de la donnée, vise à encadrer l’accès, le partage et la portabilité des données générées par les produits ...

Illustration « Intelligence artificielle au service de la santé » : quelle stratégie nationale règlementaire ?

« Intelligence artificielle au service de la santé » : quelle stratégie nationale règlementaire ?

29 sept. 2025 - 20:33,

Tribune

-
Alexandre FIEVEÉ &
Alice ROBERT

Partant du constat que l’IA est un « levier de transformation majeur » pour le système de santé français et qu’il est nécessaire d’organiser son développement en tenant compte de paramètres clés tels que la confiance et la clarté du paysage règlementaire et éthique, une stratégie interministérielle ...

Illustration Domaine 2 du programme CaRE : une matinée pour se faire accompagner

Domaine 2 du programme CaRE : une matinée pour se faire accompagner

29 sept. 2025 - 11:30,

Actualité

- Valentine Bellanger, DSIH

Dans le cadre de son Tour de France, Orange Cyberdefense propose des matinales de rencontres et d’échanges autour d’une thématique très attendue : le Domaine 2 du programme CaRE (1). L’objectif : maîtriser les prérequis du programme CaRE et se faire accompagner pour bénéficier des soutiens financier...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.