Vous êtes dans : Accueil > Tribunes libres >
Dans une précédente publication, Cybersécurité : l’enjeu de la Gouvernance (1), parue dans le Guide cyber-résilience APSSIS - Opus 6 (2), nous discutions de l’implémentation d’une gouvernance de Sécurité et du rôle du RSSI dans cette démarche. Nous avons pu voir que les qualités requises pour un RSSI sont nombreuses mais nous nous arrêterons aujourd’hui sur l’une d’entre elles : l’anticipation. La gestion des risques pour la Sécurité de l’information devrait, ou doit, être considérée dès la phase d’un nouveau projet informatique, quelle que soit sa nature (intégration d’une nouvelle solution, d’un nouvel équipement, une migration, etc.) C’est le principe de l’Intégration de la Sécurité dans les Projets (ISP), un pilier essentiel de l'approche de la « Security by Design ». Le principe est simple : bien faire les choses dès le départ.
Par Brice SIMON et Xavier JUNG, Consultants WELIOM
Textes, référentiels et normes
Et ça ne date pas d’hier puisque la majorité des textes, référentiels et normes pour la sécurité de l’information intègrent cette mesure :
o A noter que la PGSSI-S découle des référentiels de PSSI-E puis de la PSSI-MCAS, qui énoncent évidemment des exigences pour l’ISP.
Ce que cela implique
La stratégie d’intégration de la sécurité dans les projets peut prendre différentes formes pour un établissement de santé mais de manière très simplifiée, la démarche à suivre devrait s’apparenter à cela :
Et oui... pour sécuriser les projets, il faut évidemment les connaitre (et ce n’est pas toujours si facile). Le RSSI doit déterminer un moyen de communication avec les métiers pour recenser les projets informatiques en cours et à venir.
Une étude des risques doit ensuite être co-réalisée avec les métiers. Le RSSI doit accompagner les acteurs du projet dans cet exercice, leur fournir une méthodologie et un outil adéquat. C’est aussi ici que le métier pourra rappeler les besoins en sécurité pour son projet.
En découle un plan de traitement des risques.
En s’appuyant sur l’appréciation des risques, le RSSI émet des conseils et recommandations quant à la suite du projet. Il peut également proposer de nouvelles orientations.
Conscient des risques pour la sécurité et des recommandations fournies par le RSSI, le métier valide ou non son projet. S’il le valide, cela signifie qu’il en accepte les risques résiduels issus de l’analyse des risques.
Suite à cette décision, le RSSI prend en compte ce projet dans sa stratégie de pilotage des risques. Il pourra apporter des solutions pour sécuriser certains aspects du projet. Exemple de la contractualisation avec la mise à disposition des modèles de clauses adéquates (de sécurité et de réversibilité) ou encore du suivi de l’implémentation d’une fonction d’authentification forte dans une solution métier.
Les bénéfices d’une telle démarche
N’oublions pas qu’une telle démarche est bénéfique pour toutes les parties :
Sur le plus long terme, les bénéfices pour la sécurité sont non-négligeables :
La mise en œuvre de la sécurité dans les projets est un levier essentiel qui permettra de réduire, petit à petit, le retard accumulé ces dernières années. La sécurité n’a pas pu suivre la croissance exponentielle des besoins métiers en matière d’informatisation de solutions. Les établissements exploitent aujourd’hui des équipements et solutions, biomédicales notamment, qui ne peuvent fonctionner qu’avec une informatique obsolète et vulnérable.
Le RSSI dépense aujourd’hui de l’énergie à combler les brèches ouvertes dans le passé. Pour les refermer il doit…
o N.B. : suite à la cyberattaque du CHSF, l’établissement a pris la décision de renouveler son parc d’équipements sensibles et obsolètes : un chantier estimé à 1,8 millions d’euros.
Un exercice loin d’être évident dans le contexte où les fabricants et éditeurs ne font pas encore de la sécurité un avantage concurrentiel
(1) https://www.weliom.fr/publications/cybersecurite-lenjeu-de-la-gouvernance/ : Article extrait du Guide cyber-résilience APSSIS - Opus 6. Guide écrit par Cédric Cartau et publié sous licence Creative Common
(2) https://www.apssis.com/nos-actions/publication/654/guide-cyber-resilience-opus-6-gouvernance-le-guide-du-rssi-intergalactique.htm : Guide cyber-résilience APSSIS - Opus 6. Guide écrit par Cédric Cartau et publié sous licence Creative Common
A propos de WELIOM
WELIOM, cabinet de conseil dédié au service de la santé, s’est donné pour mission d’élever le système de Santé à la hauteur des enjeux de demain. Avec plus de 10 ans d’expérience, 45 consultant(e)s experts santé réparti(e)s sur l’ensemble du territoire, plus de 300 structures accompagnées et plus de 1000 projets réalisés, le cabinet de conseil WELIOM est le partenaire privilégié de tous les acteurs de la santé pour les accompagner dans leur transformation numérique, de la stratégie à la réalisation, en intégrant l’ensemble des enjeux économiques, réglementaires, sociétaux et médicaux.
www.weliom.fr | Contact : 02 51 80 05 33 ou contact@weliom.fr
Les plus lus