Abstract:
De par le fait que le risque (des systèmes d’informations) est la première préoccupation, mais n’est malheureusement abordée qu’a la veille d’une mise en production ou même encore bien plus tard, après un incident, les décisionnels informatiques et métiers sont contraints d’admettre que “tout n’est pas seulement risque, mais plutôt une meilleure connaissance et acceptation du risque”.
Cet article reflète les inquiétudes de bien des corps de métiers impactés de près ou de loin par les actions primordiales mais pourtant invisibles à ces derniers, des Responsables de la Sécurité des Systèmes d’Informations – RSSI. Dans un but d’offrir de l’humeur sur ces sujets sérieux, cet article est composé en deux épisodes, chacun illustrant un aspect essentiel de la stratégie de sécurité des SI selon les points de vue suivants:
Hannibal → Le Stratège: Les méthodes d’analyse de risque
Futé → Le Lucide: Les matrices d’habilitations, et la traçabilité
Barracuda → Le Dissuadeur: Le dédoublement, et la prévention d’accès
Looping → L’imprévisible: L’utilisateur fiable ou maillon faible
Hannibal → Le Stratège: Les méthodes d’analyse de risque
Points to remember:
Le risque infini, l’ISO 27000, l’ITIL v3, le P2.1 du PRA (PSI), les cinq 9, l’EBIOS, les procédures degradées.
Analysis:
Nous le savons tous, toute méthode d’analyse de risque est, de par son formalisme à la fois structurante et limitée.
Sa structure nous permet de faire un “post mortem” a priori, et sa limite (comme toute méthode formelle) part d’axiomes et suppositions explicites ou implicites. Si vous interrogez un mathématicien sur le résultat espéré d’une multiplication [0 x infini = ?] vous obtiendrez deux réponses selon les limites de [Fa = x^2 / x] ou [Fb = x / x^2].
Cependant dans la triste réalité “ex-libris”, le risque infini pour un établissement de santé peut se réduire à l’envoi de son DG derrière les barreaux.
Synthesis:
Ainsi, notre cher Hannibal nous recommanderait vivement d’éviter les stratégies contraignantes et au contraire d’adopter le croisement de méthodes ou normes comportants chacunes un volet ou chapitre traitant de la sécurité, tel l’ISO 27000, l’ITIL v3, le critère P2.1 du PRA (PSI), les cinq 9 (6 Sigma), l’EBIOS, ou encore les procédures degradées.
Futé → Le Lucide: Les matrices d’habilitations et la traçabilité d’activité
Points to remember:
La hiérarchisation des besoins de sécurité, l’hyperconfidentialité médicale, les systèmes de traçabilité d’activité, l’arbitrage entre la confidentialité et l’obligation médicale.
Analysis:
Pour tout responsable de sécurité ou de qualité médicale, il est clair que les habilitations d’accès aux données médicales sont très complèxes. Nous arrivons à la limite du modèle, à un tel point que les équipes concernées trouvent chaque semaine des exceptions à leurs propres règles.
Même si traditionnellement les établissements opéraient sous un contrôle “a priori” de l’accès à une donnée médicale, l’avenir les contraint à voir les choses différement et à partir sur des contrôles “a posteriori”. Dans la plupart des instances les opérateurs, pilotes et directeurs de cellule disposent d’un outil automatisé pour l’exploitation des traces d’activité, enrichis par l’expérience mais surtout en phase avec le règlement du CNIL; sans pour autant en faire du zelle.
Synthesis:
Ainsi, notre cher Futé nous recommanderait vivement d’assurer un arbitrage objectif entre la confidentialité des données et la nécessité de soigner ou sauver le patient, autrement dit le plus important reste l’obligation médicale.
Call to action:
Mon parcours professionnel me permet d’échanger librement et honnêtement avec les professionnels impliqués ou affectés par ce phénomène. Si vous vous trouvez engagé dans une planification de projet ou encore une conduite de changement numérique, rejoignez-moi sur la toile pour plus de réflexion.
Pour une étude plus poussée, vous permettant de prendre de meilleures decisions, veuillez consulter notre bureau d’études chez SIH Solutions.
Mr Sosthène Grosset-Janin
Conseiller Indépendent en stratégie numérique
Rejoignez-moi sur SIH Solutions pour les “Lundis de la sécurité numérique”!
www.sih-solutions.fr
