Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

La rentabilité de la sécurité des SI : pipeau et clarinette

15 mars 2022 - 08:12,
Tribune - Cédric Cartau
La première fois que je suis tombé sur ce discours, j’avoue ne pas avoir vu venir l’esbroufe. Il s’agissait d’une discussion avec un consultant à qui j’avais demandé une prestation d’analyse et de conseil en amont de l’arrivée du RGPD, histoire de voir de quoi il retournait (on était en 2017) et ce qu’il fallait faire : on passait tout de même d’une logique purement administrative à une logique de gestion des risques, ce qui n’était pas un petit changement. Au cours de la conversation, il a été question d’un accompagnement de plusieurs centaines de journées hommes : j’ai dû un peu tiquer car le consultant m’a parlé de retour sur investissement de la démarche de conformité RGPD. Ben voyons.

Dans la série éponyme, le Dr House part d’un postulat systématique à chaque épisode : tout le monde ment. Les patients, les collègues, l’administration, les confrères, les fournisseurs, absolument tout le monde va chercher à un moment donné à vous faire passer des vessies pour des lanternes, consciemment ou pas. Partir du principe qu’on a systématiquement en face de soi un arracheur de dents est une pratique saine du métier de RSSI (utilisée depuis plus de dix ans par votre serviteur, garantie et approuvée). Et quand j’ai commencé à entendre le son de la clarinette à serpent, je n’ai pas pu m’empêcher de demander comment il était arrivé à cette conclusion. Réponse : 250 jh au TJM de 1 000 euros, soit 250 000 euros, chiffre bien inférieur aux 2 % du budget annuel de mon CHU (on parle en millions), amende dont il devrait s’acquitter envers la Cnil en cas de non-conformité, emballez, c’est pesé. Sauf que c’est honteusement faux : qui s’est pris le max des 2 % dans la figure depuis 2018 ? Même Facebook et Google n’ont pas réussi à énerver la Cnil au point de se taper une amende de plus du dixième du max (4 % pour eux). Et encore on ne parle même pas de la probabilité d’un contrôle.

Il existe plusieurs raisons pour lesquelles la rentabilité (ou return on investment – ROI) de la SSI (qu’il s’agisse des aspects réglementaires ou techniques) est un non-sujet. La première est que la SSI est une assurance, et que l’assurance n’a pas de ROI. Qui serait assez crétin pour aller dire à son DG qu’il faut assurer le parc de véhicules de l’entreprise parce qu’il y a un ROI sur les assurances des véhicules ? Il n’y a aucun ROI, il faut le faire parce que c’est la loi. Qui prétendrait que faire la vidange ou changer les pneus est rentable ? Il n’y a aucun ROI, il faut le faire parce que sinon on risque de casser le moteur ou de partir dans un platane par temps de pluie, c’est tout. Couvrir un risque n’a aucun ROI.

La deuxième raison est que le seul à qui le risque rapporte (à part le consultant susnommé qui est tout de même reparti bredouille) est l’assureur, selon un principe conceptuellement simple : si le risque pour l’assuré est un black swan (probabilité infime, impact énorme), pour l’assureur, sur la masse des risques couverts et des clients assurés, les statistiques sont de son côté et la somme des remboursements est inférieure aux primes perçues (et heureusement d’ailleurs). Couvrir un risque est un métier.

Mais ceux qui sont encore persuadés qu’il faut « vendre » à son DG un ROI hypothétique pour sortir du board avec des budgets feraient mieux de s’interroger sur le point suivant : la différence entre le risque et le danger. Une activité risquée suppose des risques connus et quantifiés, des contre-mesures identifiées, des risques résiduels après traitement évaluables. Une activité dangereuse, a contrario, n’est absolument pas quantifiable. La voltige aérienne, la varappe, la plongée sous-marine sont des activités risquées, mais pas dangereuses. Envoyer des fusées habitées dans l’espace était, jusque dans les années 1980, une activité dangereuse. Une activité risquée est assurable, une activité dangereuse ne l’est (quasiment) pas.

Or la cyber est en train de passer du statut d’activité risquée à celui d’activité dangereuse, si l’on en croit la fuite massive des assureurs de ce champ d’activité, et le fait que ceux qui restent se recentrent sur du conseil ou des propositions d’assistance pendant le sinistre (un peu comme si l’assureur de votre maison refusait de vous rembourser en cas d’incendie, mais vous proposait juste d’envoyer des pompiers avec un beau camion tout rouge qui fait pin-pon quand les flammes feraient craquer la charpente).

Certes, ce n’est pas spécialement vendeur de dire à son DG qu’il faut mettre de plus en plus de pépettes, juste pour continuer d’utiliser le truc qui a déjà coûté une blinde (au fait j’ai un scoop : après Windows 11, il faudra migrer vers Windows 12). Mais la profession ferait mieux de s’interroger sur des thèmes plus urgents, à savoir éviter justement de passer du statut risqué au statut dangereux.

Bon, en même temps, on peut positiver : si j’en crois les news, bientôt les Russes vont être coupés d’Internet, et comme on nous bassine depuis des lustres que c’est de là-bas que viennent les attaques cyber, on ne sera plus attaqués du tout. J’ai bon ?

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Traçabilité des DMI : votre établissement de santé n’est pas encore en conformité ?

Traçabilité des DMI : votre établissement de santé n’est pas encore en conformité ?

20 oct. 2025 - 14:04,

Communiqué

- Computer Engineering

Pas de panique ! Vous êtes encore nombreux à chercher des solutions dématérialisées pour répondre à l’évolution de la réglementation européenne concernant le suivi renforcé des Dispositifs Médicaux Implantables (DMI).

Illustration L’ARS Pays de la Loire dévoile sa feuille de route du numérique en santé 2025-2026 en Mayenne

L’ARS Pays de la Loire dévoile sa feuille de route du numérique en santé 2025-2026 en Mayenne

17 oct. 2025 - 10:18,

Actualité

- Rédaction, DSIH

L’Agence régionale de santé (ARS) Pays de la Loire, en partenariat avec la Caisse primaire d’assurance maladie (CPAM) de la Mayenne et le groupement e-santé régional, a présenté la feuille de route du numérique en santé 2025-2026.

Illustration Le CHU de Reims certifié ISO 27001 et HDS : un engagement fort pour la cybersécurité au service des patients

Le CHU de Reims certifié ISO 27001 et HDS : un engagement fort pour la cybersécurité au service des patients

13 oct. 2025 - 19:56,

Communiqué

- CHU de Reims

Le Centre hospitalier universitaire de Reims franchit une étape majeure dans sa stratégie de sécurisation des données de santé en obtenant la double certification ISO 27001 :2022 et Hébergeur de données en santé (HDS) V2. Ces certifications attestent de la conformité du CHU aux normes les plus exige...

Illustration Accès au DPI et secret médical : un professionnel de santé ne peut tout voir, même en équipe

Accès au DPI et secret médical : un professionnel de santé ne peut tout voir, même en équipe

13 oct. 2025 - 11:17,

Tribune

-
Alexandre FIEVEÉ &
Alice ROBERT

L’accès aux dossiers patients informatisés (« DPI ») dans le respect du secret médical est une question épineuse à laquelle sont confrontés, au quotidien, les professionnels de santé. Dans une récente affaire, le Conseil d’Etat s’est prononcé sur le cas de l’accès aux DPI d’un service médical hospit...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.