Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Sécurité des SI : effet boomerang de la paire de baffes

26 avril 2022 - 09:45,
Communiqué - Cédric Cartau
Tous ceux qui suivent l’actualité des SI et de la réglementation SI voient passer des news sur telle ou telle entreprise qui vient de se prendre une prune par la CNIL. Il y en a eu, il y en a et il y en aura. Ce qui est surprenant est que dans certains cas, il s’agit tantôt d’un responsable de traitement (RT) sanctionné pour les agissements de son sous-traitant (ST), tantôt l’inverse. Ce qui pose, en filigrane, la capacité d’un RT à auditer / contrôler son ST.

Mais la discussion va prendre un tour intéressant si l’on examine de plus près l’annexe A.15 de la norme ISO 27001, consacrée à la gestion des fournisseurs. La disposition A.15.1.2 mentionne explicitement la présence de clauses de sécurité dans les relations contractuelles avec ses fournisseurs (toute la section A.15.1 parle même de charte fournisseur, de PSSI, etc.), et les dispositions A.15.2.1 et A.15.2.2 traitent quant à elles de la surveillance des prestations délivrées par les fournisseurs, soit en mode « croisière », soit lors d’un changement dans les prestations en question. Certes, on est quelquefois à cheval sur le RGPD et l’ISO, mais l’ISO représente un catalogue de pratiques à mettre en œuvre sur lequel des milliers de personnes ont phosphoré pendant des décennies pour en arriver à ce niveau de maturité : on peut donc faire confiance au modèle.

Le chapitre A.15.1 (le volet contractuel) n’est pas si compliqué à mettre en œuvre : clauses et annexes aux CCTP/CCAP, charte fournisseur signée avant l’ouverture des accès en télémaintenance, etc. Par contre, pour les deux clauses du A.15.2, c’est une autre paire de manches : comment s’assure-t-on de la prise en compte de la sécurité dans les prestations de tel ou tel fournisseur ? Dans l’esprit de l’ISO, il appartient au client de poser la question et au fournisseur d’y répondre. J’ai testé pour vous l’année dernière et j’ai eu cette discussion absolument stratosphérique avec un opérateur telco (dont les processus métiers datent à peu près de Germinal) :

– Qu’avez-vous mis en place pour prendre en compte la sécurité dans vos prestations ?
– … (aucune réponse).
– Vous avez un relevé des incidents, un taux de disponibilité annuel, un plan de formation SSI de vos agents, une PSSI, etc. ?

En gros, nada, bernique et peau de balle. Évidemment, pour un opérateur telco, c’est assez facile de répondre, autant du reste que pour un SSII effectuant de la maintenance dans un datacenter ou pour un organisme de formation. Mais posez-vous les mêmes questions pour un commissaire aux comptes (eux, je sais qu’ils ont la réponse), pour une SSII qui réalise une opération technique ponctuelle, pour un cabinet d’avocats qui intervient en mode conseil, etc.

Tiens juste pour rire, quelles dispositions a mis en place le cabinet MacQuisait pour la prestation de conseil sur la constitution d’un stock national de papier toilette au Ministère du transit ? Une charte de déontologie ? Je peux voir une estimation de son efficacité ? Des formations pointues sur les types de papiers ? Je peux voir les feuilles de présence (fastoche), les évaluations des agents formés (plus casse-figure) voire l’estimation de la compétence globale des équipes (bon courage) ?

Le monde professionnel est tout de même en train de prendre une bizarre tournure, à tous s’auditer les uns les autres à longueur de temps : les organismes de contrôle auditent les entreprises, qui auditent leurs fournisseurs, qui eux-mêmes auditent leurs fournisseurs de rang 2, etc. Et au beau milieu de ce joyeux manège, la personne du RSSI (et du DPO !) qui va littéralement passer son temps à poser des questions ouvertes (les pires qui soient) à tout le monde : qu’avez-vous mis en place pour vous assurer de… ? Avez-vous des indicateurs pour mesurer le… ? Et aussi bien à son entreprise qu’aux fournisseurs, c’est cela la beauté du geste. La prochaine fois que je tombe sur un fournisseur de prestations intellectuelles, je vais lui poser cette question juste pour voir sa réaction (si je peux, je prends une photo de sa bobine et je l’encadre), ensuite je poserai la même au service qui a fait appel à ce prestataire. C’est moi qui fabrique le boomerang, mais ce sont eux qui se visent mutuellement avec !

Ça me motive de ouf, j’ai une de ces patates en ce début de semaine, moi !

Avez-vous apprécié ce contenu ?

A lire également.

Illustration France 2030 : l’appel à projets “Pionniers de l’IA” ouvre de nouvelles perspectives pour les hôpitaux

France 2030 : l’appel à projets “Pionniers de l’IA” ouvre de nouvelles perspectives pour les hôpitaux

29 sept. 2025 - 13:08,

Communiqué

- Ministère de l'Enseignement supérieur et de la Recherche

Le programme France 2030 continue de stimuler l’innovation en France. Le ministère de l’Enseignement supérieur et de la Recherche a récemment lancé l’appel à projets “Pionniers de l’intelligence artificielle”, destiné à soutenir des technologies d’IA de rupture dans des secteurs stratégiques, dont l...

On trouve tout à la Samaritaine – y compris des caméras, mais pas encore un EBM

29 sept. 2025 - 10:43,

Tribune

-
Cédric Cartau

Alors OK, elle est hyperfacile, mais impossible de résister, d’autant que j’ai dû aller chercher quelques vieilles publicités de l’époque (ma préférée ici 1), quelle époque épique tout de même !

Refuser de donner son mot de passe lors d’un arrêt maladie serait seulement un problème de désobéissance ? Bullshit.

22 sept. 2025 - 22:16,

Tribune

-
Cédric Cartau

Vous l’avez certainement vu passer, cet article [1] d’acteurspublic.fr qui commente la décision d’un tribunal administratif et qui affirme que « Refuser de donner son mot de passe lors d’un arrêt maladie peut être assimilé à de la désobéissance ». Sauf que l’histoire est un tantinet plus complexe e...

Illustration Philips SpeechMike Ambient : un nouvel assistant IA portable pour transformer la documentation clinique

Philips SpeechMike Ambient : un nouvel assistant IA portable pour transformer la documentation clinique

22 sept. 2025 - 11:46,

Communiqué

- Speech Processing Solutions

Speech Processing Solutions, leader mondial des solutions professionnelles de dictée sous la marque Philips, dévoile le Philips SpeechMike Ambient, un microphone intelligent de nouvelle génération qui place l’IA ambiante au service des soignants.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.