Publicité en cours de chargement...

Publicité en cours de chargement...

Sécurité des SI : effet boomerang de la paire de baffes

26 avril 2022 - 09:45,
Communiqué - Cédric Cartau
Tous ceux qui suivent l’actualité des SI et de la réglementation SI voient passer des news sur telle ou telle entreprise qui vient de se prendre une prune par la CNIL. Il y en a eu, il y en a et il y en aura. Ce qui est surprenant est que dans certains cas, il s’agit tantôt d’un responsable de traitement (RT) sanctionné pour les agissements de son sous-traitant (ST), tantôt l’inverse. Ce qui pose, en filigrane, la capacité d’un RT à auditer / contrôler son ST.

Mais la discussion va prendre un tour intéressant si l’on examine de plus près l’annexe A.15 de la norme ISO 27001, consacrée à la gestion des fournisseurs. La disposition A.15.1.2 mentionne explicitement la présence de clauses de sécurité dans les relations contractuelles avec ses fournisseurs (toute la section A.15.1 parle même de charte fournisseur, de PSSI, etc.), et les dispositions A.15.2.1 et A.15.2.2 traitent quant à elles de la surveillance des prestations délivrées par les fournisseurs, soit en mode « croisière », soit lors d’un changement dans les prestations en question. Certes, on est quelquefois à cheval sur le RGPD et l’ISO, mais l’ISO représente un catalogue de pratiques à mettre en œuvre sur lequel des milliers de personnes ont phosphoré pendant des décennies pour en arriver à ce niveau de maturité : on peut donc faire confiance au modèle.

Le chapitre A.15.1 (le volet contractuel) n’est pas si compliqué à mettre en œuvre : clauses et annexes aux CCTP/CCAP, charte fournisseur signée avant l’ouverture des accès en télémaintenance, etc. Par contre, pour les deux clauses du A.15.2, c’est une autre paire de manches : comment s’assure-t-on de la prise en compte de la sécurité dans les prestations de tel ou tel fournisseur ? Dans l’esprit de l’ISO, il appartient au client de poser la question et au fournisseur d’y répondre. J’ai testé pour vous l’année dernière et j’ai eu cette discussion absolument stratosphérique avec un opérateur telco (dont les processus métiers datent à peu près de Germinal) :

– Qu’avez-vous mis en place pour prendre en compte la sécurité dans vos prestations ?
– … (aucune réponse).
– Vous avez un relevé des incidents, un taux de disponibilité annuel, un plan de formation SSI de vos agents, une PSSI, etc. ?

En gros, nada, bernique et peau de balle. Évidemment, pour un opérateur telco, c’est assez facile de répondre, autant du reste que pour un SSII effectuant de la maintenance dans un datacenter ou pour un organisme de formation. Mais posez-vous les mêmes questions pour un commissaire aux comptes (eux, je sais qu’ils ont la réponse), pour une SSII qui réalise une opération technique ponctuelle, pour un cabinet d’avocats qui intervient en mode conseil, etc.

Tiens juste pour rire, quelles dispositions a mis en place le cabinet MacQuisait pour la prestation de conseil sur la constitution d’un stock national de papier toilette au Ministère du transit ? Une charte de déontologie ? Je peux voir une estimation de son efficacité ? Des formations pointues sur les types de papiers ? Je peux voir les feuilles de présence (fastoche), les évaluations des agents formés (plus casse-figure) voire l’estimation de la compétence globale des équipes (bon courage) ?

Le monde professionnel est tout de même en train de prendre une bizarre tournure, à tous s’auditer les uns les autres à longueur de temps : les organismes de contrôle auditent les entreprises, qui auditent leurs fournisseurs, qui eux-mêmes auditent leurs fournisseurs de rang 2, etc. Et au beau milieu de ce joyeux manège, la personne du RSSI (et du DPO !) qui va littéralement passer son temps à poser des questions ouvertes (les pires qui soient) à tout le monde : qu’avez-vous mis en place pour vous assurer de… ? Avez-vous des indicateurs pour mesurer le… ? Et aussi bien à son entreprise qu’aux fournisseurs, c’est cela la beauté du geste. La prochaine fois que je tombe sur un fournisseur de prestations intellectuelles, je vais lui poser cette question juste pour voir sa réaction (si je peux, je prends une photo de sa bobine et je l’encadre), ensuite je poserai la même au service qui a fait appel à ce prestataire. C’est moi qui fabrique le boomerang, mais ce sont eux qui se visent mutuellement avec !

Ça me motive de ouf, j’ai une de ces patates en ce début de semaine, moi !

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Vu à SantExpo 2025 : Automatiser et revaloriser le codage des séjours hospitaliers grâce à l’interaction du PMSI Dedalus et de l’IA SANCARE

Vu à SantExpo 2025 : Automatiser et revaloriser le codage des séjours hospitaliers grâce à l’interaction du PMSI Dedalus et de l’IA SANCARE

10 juin 2025 - 10:27,

Actualité

- DSIH, Pauline Nicolas

Optimiser le codage PMSI par l’innovation et l’intelligence artificielle, tel est le message clé de la dernière conférence qui s’est tenue au sein de l’auditorium Dedalus en clôture de cette 59ème édition de SantExpo. Dedalus, leader des solutions PMSI en France, et SANCARE, spécialiste de l’intelli...

Illustration Partenariat Malt-Resah Un levier stratégique pour accéder à l’expertise freelance

Partenariat Malt-Resah Un levier stratégique pour accéder à l’expertise freelance

09 juin 2025 - 20:54,

Actualité

- DSIH, Damien Dubois

Le jeudi 5 juin, Malt et le Resah ont organisé un webinaire commun sur leur partenariat et les opportunités qu’il offre aux projets des adhérents du Resah, lors duquel Xavier Vallin, freelance engagé auprès d’établissements de santé, a fait part de son retour d’expérience.

Illustration Libérer du temps soignant et sécuriser les approvisionnements : deux priorités au cœur de la stratégie logistique de l’Anap

Libérer du temps soignant et sécuriser les approvisionnements : deux priorités au cœur de la stratégie logistique de l’Anap

06 juin 2025 - 18:32,

Actualité

- DSIH

Face aux tensions sur les organisations hospitalières, l’Agence nationale de la performance sanitaire et médico-sociale (Anap) renforce son engagement aux côtés des établissements avec deux outils complémentaires :

Illustration MentalTech, vers un Observatoire français de la e-santé mentale

MentalTech, vers un Observatoire français de la e-santé mentale

02 juin 2025 - 22:20,

Actualité

- Damien Dubois, DSIH

Le 21 mai, le collectif MentalTech a annoncé l’arrivée de dix nouveaux membres et dévoilé sa feuille de route 2025 avec pour ambition de s’affirmer comme l’Observatoire de la e-santé mentale.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.