Sécurité des SI : penser GHT, partie I

Curieusement, le domaine de la SSI est un peu à part, et ce pour plusieurs raisons. La première, c’est que la mise en ordre de marche des établissements périphériques (qui n’ont souvent pas de RSSI) relève de la prise de conscience des organisations : c’est donc un problème de maturité organisationnelle, et pas d’argent, au moins dans un premier temps. Bien entendu, viendra un moment où il faudra sortir le carnet de chèques, et chacun se demandera qui doit payer la facture. Mais tout le monde sait aussi qu’avant de dépenser le moindre euro en sécurité, beaucoup de choses peuvent être faites.

Ensuite, le décret prévoit que la mise en conformité avec la Cnil est assurée par l’établissement support. Traduction : si l’établissement support dispose déjà d’un CIL ou simplement d’une organisation structurée pour assurer la conformité Cnil, c’est naturellement ce dispositif qui va prendre la main sur le sujet Informatique et Libertés de tout le GHT. Il y a tout juste un an, je vous aurais dit : « OK, et alors ? ». Sauf que maintenant, nous avons tous en ligne de mire mai 2018 et le règlement général européen sur la protection des données personnelles, le fameux RGPD, qui impulse très clairement un changement de braquet sans précédent à ce niveau : appréciation des risques obligatoire avant toute mise en œuvre de traitement, privacy by design, etc. C’est, à mon avis, un boulevard énorme dans lequel les RSSI des établissements supports doivent s’engouffrer pour asseoir leur légitimité. 

De façon plus prosaïque, les retours que j’ai pu avoir sur les schémas directeurs en cours (SDSI) dans les GHT font apparaître une chose curieuse, mais qui, en fait, ne l’est qu’en apparence : les Amoa retenues, dans certains groupes de travail, jouent plutôt le rôle de groupe de parole façon soutien psychologique : tout le monde sait où l’on va (une DSI unique coordonnée sur tout un territoire), le but des séances étant de faire admettre cette réalité par tous les participants en y mettant les formes. Mais, au sein de ces mêmes groupes de travail, le sujet SSI est rarement celui qui pose souci : les « petits » établissements sont souvent conscients d’être « aux pâquerettes » sur le sujet, et attendent impatiemment l’aide du RSSI support.

Le sujet SSI va donc vite devenir : « Par quoi on commence ? », compte tenu du fait qu’à peu près tout le monde est d’accord pour mutualiser ce machin compliqué.

À suivre…