Le RSSI et ses relations dans l’organisation

Rôles et responsabilités du RSSI

Pour que tout cela prenne du sens, le RSSI doit animer une dynamique de Sécurité auprès des équipes, il aura 2 activités essentielles :

• Contrôler, par le suivi de Key Performance Indicators (KPI) et la réalisation d’audits ; il s’agit de mesurer l’efficacité des mesures en place et d’identifier des actions d’amélioration
• Communiquer, par la formation et la sensibilisation ; le RSSI est un communicant, un pédagogue capable de faire passer les messages essentiels en vue de préserver et améliorer la sécurité du SI. Au travers de comités de pilotage SSI, il diffuse une culture de la sécurité.

Le SI étant devenu transverse à toute l’organisation, ses actions doivent permettre d’assurer la sécurité de l’information au travers de l’ensemble des processus métiers.

La question de la répartition des responsabilités de la sécurité de l’information est complexe mais une chose est sûre, le Responsable SSI n’est pas l’unique dépositaire des risques qui pèsent sur le SI. Bien qu’il soit amené à imposer certaines mesures, notamment pour répondre à des obligations réglementaires, il peut aussi émettre de simples recommandations qui seront suivies, ou non, par une équipe projet, la DSI, le DPO, un responsable de traitement ou la Direction Générale. Leur responsabilité pourra être engagée en cas d’incident. 

Positionnement au sein de l’organisation 

En théorie, le RSSI devrait être positionné en dehors de la DSI ou du service informatique en raison de son activité de contrôle. Ne pouvant pas être à la fois juge et partie, il ne devrait pas pouvoir interpréter les décisions et les mesures qu’il a lui-même mises en place. Ce contrôle doit provenir d’une personne dont la position lui permet d’être totalement objectif et partial, au risque de rétrograder la sécurité au second plan.

Il peut alors être rattaché à la Direction Générale, une position qui a du sens étant donné qu’elle est l’ultime décisionnaire, qu’elle porte une responsabilité sur la Sécurité de l’information et surtout qu’elle contribue à la définition et à la mise en œuvre des moyens et budgets nécessaires pour la protection du SI.

Il est également intéressant de le voir rattaché au service Qualité et Gestion des Risques, une fonction pour laquelle la culture du Risk Management est forte.

En pratique, c’est bien plus compliqué que cela et le positionnement du RSSI dépend généralement de la taille et de la maturité de l’organisation. 

Dans les petites structures sanitaires ou dans le médico-social, on rencontre généralement 2 cas de figure :

1. Le RSSI n’est pas encore désigné
2. Le RSSI est le Responsable Informatique

De plus en plus, les établissements de santé s’efforcent de « détacher » le RSSI du service informatique afin de satisfaire les exigences du programme national HOP’EN. Le « RSSI » désigné peut être le RAQ et parfois même la Direction Générale, mais cette évolution n’a d’effet que sur la fiche de poste et les pratiques restent inchangées.
Dans les structures plus importantes, l’attribution de la fonction est sujette à davantage de discussions car il n’y a plus un Responsable Informatique mais une Direction des SI. Pour autant, le problème reste généralement le même puisque le RSSI nommé fait souvent partie de la DSI. 

Pourquoi un tel décalage ? 

Si les pratiques ne parviennent pas à s’aligner avec le modèle cible de gouvernance de la Sécurité du SI, c’est parce qu’il persiste encore un manque de maturité sur le sujet. Il est en effet important d’avoir à l’esprit que :

• On ne peut pas juger avec équité de ses propres décisions 
• Le système d’information ne se limite pas au système informatique

On constate également un manque de moyen humain évident qui ne permet pas à l’heure actuelle d’implémenter ce modèle de fonctionnement. Seuls les grands groupes sanitaires et les gros GHT parviennent à dégager une ressource, voire un service, dédié à la Sécurité du SI. 

Une solution alternative, dont les adeptes sont de plus en plus nombreux, pourrait être celle de l’externalisation du RSSI, à condition qu’il ait une bonne connaissance des processus métiers.

Les rapports du RSSI avec son environnement

S’il ne devrait pas être intégré à la DSI, le RSSI doit pour autant collaborer de manière très étroite avec elle. Parce qu’elle a la main mise sur le SI, il doit régner une relation de confiance entre les 2 entités pour qu’une coordination efficiente puisse être instaurée. Une communication assidue et transparente doit être établie, au même titre qu’avec toutes les autres équipes et membres de l’organisation. C’est aussi cette position centrale, au carrefour de tous les corps de métiers, qui fait la richesse du métier de RSSI.

Pour conclure ? 

Les relations du RSSI avec les autres ressources de l’organisation sont essentielles, surtout lorsque l’on sait que le facteur humain est le premier rempart contre la cyber-insécurité. Cela suggère une polyvalence et une capacité d’adaptation à toute épreuve. 

Le RSSI est en quelque sorte le chef d’orchestre de la sécurité de l’information qui guide et coordonne les équipes afin de « produire une belle symphonie » et surtout, éviter la fausse note !

Par Brice SIMON – Consultant WELIOM

À propos de WELIOM

Pour être efficiente, la transformation des établissements de santé doit être pensée de manière globale en prenant en compte l’ensemble des enjeux économiques, réglementaires, sociétaux et médicaux. WELIOM, né de l’union entre Odsis et Cosilog, se positionne en partenaire de cette transformation, en mettant au service des acteurs du monde de la santé des experts reconnus et des méthodologies adaptées à leurs domaines d’activité. En tant que société de conseil et de service dédiée au secteur de la santé, WELIOM accompagne ses clients en intégrant à leur réflexion l’évolution des organisations, le développement des services numériques et le respect des obligations réglementaires. Plus d’infos : https://www.weliom.fr/