Les articles WELIOM

LE RSSI ET SES RELATIONS DANS L’ORGANISATION

Par Brice Simon, consultant WELIOM

Le RSSI a pour mission d’identifier des objectifs de sécurité du SI puis de mettre en œuvre les moyens nécessaires pour les atteindre. C’est la définition même d’une Politique de Sécurité des Systèmes d’Information.

Pour qu’elle soit efficiente, la PSSI doit présenter des objectifs SMART (#qualité) : Spécifiques, Mesurables, Atteignables, Réalisables et Temporellement définis. Le RSSI s’appuie alors sur un référentiel existant (ISO 27001, PGSSI-S, PSSI-MCAS etc.) puis réalise et tient à jour une analyse des risques SI ainsi qu’un plan de traitement des risques.

Rôles et responsabilités du RSSI

Pour que tout cela prenne du sens, le RSSI doit animer une dynamique de Sécurité auprès des équipes, il aura 2 activités essentielles :

  • Contrôler, par le suivi de Key Performance Indicators (KPI) et la réalisation d’audits ; il s’agit de mesurer l’efficacité des mesures en place et d’identifier des actions d’amélioration
  • Communiquer, par la formation et la sensibilisation ; le RSSI est un communicant, un pédagogue capable de faire passer les messages essentiels en vue de préserver et améliorer la sécurité du SI. Au travers de comités de pilotage SSI, il diffuse une culture de la sécurité.

Le SI étant devenu transverse à toute l’organisation, ses actions doivent permettre d’assurer la sécurité de l’information au travers de l’ensemble des processus métiers.

La question de la répartition des responsabilités de la sécurité de l’information est complexe mais une chose est sûre, le Responsable SSI n’est pas l’unique dépositaire des risques qui pèsent sur le SI. Bien qu’il soit amené à imposer certaines mesures, notamment pour répondre à des obligations réglementaires, il peut aussi émettre de simples recommandations qui seront suivies, ou non, par une équipe projet, la DSI, le DPO, un responsable de traitement ou la Direction Générale. Leur responsabilité pourra être engagée en cas d’incident. 

Positionnement au sein de l’organisation 

En théorie, le RSSI devrait être positionné en dehors de la DSI ou du service informatique en raison de son activité de contrôle. Ne pouvant pas être à la fois juge et partie, il ne devrait pas pouvoir interpréter les décisions et les mesures qu’il a lui-même mises en place. Ce contrôle doit provenir d’une personne dont la position lui permet d’être totalement objectif et partial, au risque de rétrograder la sécurité au second plan.

Il peut alors être rattaché à la Direction Générale, une position qui a du sens étant donné qu’elle est l’ultime décisionnaire, qu’elle porte une responsabilité sur la Sécurité de l’information et surtout qu’elle contribue à la définition et à la mise en œuvre des moyens et budgets nécessaires pour la protection du SI.

Il est également intéressant de le voir rattaché au service Qualité et Gestion des Risques, une fonction pour laquelle la culture du Risk Management est forte.

En pratique, c’est bien plus compliqué que cela et le positionnement du RSSI dépend généralement de la taille et de la maturité de l’organisation. 

Dans les petites structures sanitaires ou dans le médico-social, on rencontre généralement 2 cas de figure :

  1. Le RSSI n’est pas encore désigné
  2. Le RSSI est le Responsable Informatique

De plus en plus, les établissements de santé s’efforcent de « détacher » le RSSI du service informatique afin de satisfaire les exigences du programme national HOP’EN. Le « RSSI » désigné peut être le RAQ et parfois même la Direction Générale, mais cette évolution n’a d’effet que sur la fiche de poste et les pratiques restent inchangées.

Dans les structures plus importantes, l’attribution de la fonction est sujette à davantage de discussions car il n’y a plus un Responsable Informatique mais une Direction des SI. Pour autant, le problème reste généralement le même puisque le RSSI nommé fait souvent partie de la DSI. 

Pourquoi un tel décalage ? 

Si les pratiques ne parviennent pas à s’aligner avec le modèle cible de gouvernance de la Sécurité du SI, c’est parce qu’il persiste encore un manque de maturité sur le sujet. Il est en effet important d’avoir à l’esprit que :

  • On ne peut pas juger avec équité de ses propres décisions 
  • Le système d’information ne se limite pas au système informatique

On constate également un manque de moyen humain évident qui ne permet pas à l’heure actuelle d’implémenter ce modèle de fonctionnement. Seuls les grands groupes sanitaires et les gros GHT parviennent à dégager une ressource, voire un service, dédié à la Sécurité du SI. 

Une solution alternative, dont les adeptes sont de plus en plus nombreux, pourrait être celle de l’externalisation du RSSI, à condition qu’il ait une bonne connaissance des processus métiers.

Les rapports du RSSI avec son environnement

S’il ne devrait pas être intégré à la DSI, le RSSI doit pour autant collaborer de manière très étroite avec elle. Parce qu’elle a la main mise sur le SI, il doit régner une relation de confiance entre les 2 entités pour qu’une coordination efficiente puisse être instaurée.

Une communication assidue et transparente doit être établie, au même titre qu’avec toutes les autres équipes et membres de l’organisation. C’est aussi cette position centrale, au carrefour de tous les corps de métiers, qui fait la richesse du métier de RSSI.

Pour conclure ? 

Les relations du RSSI avec les autres ressources de l’organisation sont essentielles, surtout lorsque l’on sait que le facteur humain est le premier rempart contre la cyber-insécurité. Cela suggère une polyvalence et une capacité d’adaptation à toute épreuve

Le RSSI est en quelque sorte le chef d’orchestre de la sécurité de l’information qui guide et coordonne les équipes afin de « produire une belle symphonie » et surtout, éviter la fausse note !

Brice Simon, consultant WELIOM
les relations du RSSI

La publication DSIH

les actualités weliom récentes

lire
RETOUR SUR LE 11ÈME CONSEIL DU NUMÉRIQUE EN SANTÉ02/07/2024
Le 11ème Conseil du Numérique en Santé s'est tenu ce 18 juin au ministère de la Santé. Nathalie Bessis Levy, Senior Manager WELIOM y a assisté et nous en fait un résumé. 
Publications

lire
LE NUMÉRIQUE EST-IL FACILITATEUR DE PARCOURS ?25/06/2024
C'est la question brillamment abordée lors de la conférence "Numérique facilitateur de parcours de santé, de soins et de vie" organisée par l’université Paris Dauphine [...]
Publications

lire
LE NOUVEAU REFERENTIEL HDS 2024 : CE QUE VOUS DEVEZ SAVOIR13/06/2024
Il s’était fait attendre, le nouveau référentiel d’Hébergement des Données de Santé (HDS) est paru le 16 mai dernier au Journal Officiel. Les organisations concernées [...]
Non classéPublications