Journal du Net > Solutions > Sécurité >  Sécurité > Chat > Thierry Rivat (RSSI - Hôpitaux de Strasbourg)
Chat
 
13/12/2007

Thierry Rivat (Hôpitaux de Strasbourg) : "La cible idéale est d'essayer d'intégrer la sécurité dans l'ensemble des projets"

Spécificités du secteur de la santé, rôle du RSSI dans le mangement de la sécurité, implication des métiers, norme ISO 27001, mise en place d'un SMSI : un RSSI, co-auteur d'un ouvrage spécialisé, répond.
  Envoyer Imprimer  

 
Thierry Rivat (RSSI - Hôpitaux de Strasbourg)
 
 
 

Comment définiriez-vous le rôle du RSSI ?

Le RSSI est une personne méthodique et pragmatique. Il est en outre un bon communicant, sachant dans la même journée discuter avec un membre du comité de direction, un expert système et un utilisateur.

Dans l'ouvrage sur le management de la sécurité des SI, il est question de trois catégories principales de RSSI, dont les "nouveaux" RSSI. Cette dernière représente-t-elle l'avenir de la fonction ?

Les "nouveaux RSSI" représentent certainement l'avenir de la profession dans la mesure où ils entrent en fonction en début ou milieu de carrière, contrairement aux 2 autres catégories, dites "historiques", qui terminent sur ce poste. Il est néanmoins important que ce dernier profil gagne en expérience, et surtout en connaissance sur les enjeux métiers.

Comment impliquer les utilisateurs dans la gestion de la sécurité ? N'y a-t-il pas un risque à trop les impliquer paradoxalement ?

Il faut déjà et surtout les impliquer dans les bonnes pratiques à respecter au quotidien. C'est le job du RSSI que de traduire la politique de sécurité, voire la charte, parfois vue comme théorique, en comportement du quotidien. Par exemple, le comportement à adopter sur Internet, sur la messagerie, mais également dans un train, une gare, pour certains cadres en déplacements professionnels.

Il faut en outre impliquer les représentants métiers dans la gouvernance de la sécurité de l'organisation, et pourquoi pas s'appuyer sur un comité de référents utilisateurs dédiés à la sécurité, pour relayer "la bonne parole" au plus près des utilisateurs.

Quels sont les incidents les plus appréhendés par les RSSI ?

La question dépend du contexte, de l'exposition aux risques, et des enjeux en termes de disponibilité. Pour être pragmatique, je pense qu'une panne électrique d'un datacenter, ou une attaque virale massive restent toujours des incidents redoutés !

 
Photo © Marie Bruggeman
 

Comment gérez-vous la montée en puissance de la dimension juridique dans le métier de RSSI ?

C'est effectivement une dimension qui est récente, et de plus en plus importante, quel que soit le secteur d'activité. Le plus important est d'identifier les principaux textes et contraintes pesant sur l'entreprise, les SI et les déclinaisons spécifiques à son secteur d'activité et/ou le pays concerné. Il faut ensuite essayer de mener une veille juridique sur ces principaux, mais c'est un domaine qui n'est pas naturel pour un ingénieur ou un informaticien.

Nous sommes éditeur d'une solution de collaboration par internet. Quelles normes a respecter, et que prendre en compte pour faire une offre spécifique au domaine de la sante (PACS, etc.) ?

Les contraintes en termes de sécurité dans le monde de la santé en France aujourd'hui sont, outre la disponibilité, un besoin croissant sur les domaines de la confidentialité et de la traçabilité. Il y a d'ailleurs depuis la mi-mai 2007 un décret "confidentialité" imposant notamment l'utilisation de la carte de professionnel de santé (CPS) comme média d'authentification incontournable pour accéder aux données médicales, dans toutes les structures publiques et privées.

Etes-vous favorable à la conduite de tests d'intrusion ? Qu'est-ce que cela apporte selon vous ?

Tout dépend de l'objectif, des besoins, et du niveau de maturité. Ils peuvent être un moyen très pédagogique de sensibilisation du management, et valent souvent mieux qu'un long discours. Il faut néanmoins sélectionner un prestataire sérieux, s'assurer de son éthique, exiger une traçabilité des actions réalisées (afin de reproduire si besoin les résultats). Ils peuvent en outre être utilisés comme procédure de recette avant mise en production, par exemple d'un nouveau serveur sur Internet. Mais comme avec tout prestataire, un pilotage ciblé est nécessaire.

"Un SMSI c'est tout simplement l'organisation à mettre en place pour manager la sécurité"

Vous avez des astuces, des techniques personnelles pour faire passer vos projets ?

Elles dépendent du contexte et de la personnalité du RSSI. Personnellement, j'essaie d'éviter les conflits stériles, et tente de persuader du bien fondé de la démarche Sécurité. En outre, la cible idéale est finalement de n'avoir aucun projet à mener en direct, mais d'essayer d'intégrer la sécurité dans l'ensemble des projets liés aux Systèmes d'Information, techniques ou fonctionnels.

Quelle mesure est efficace quand on doit gérer un espace ouvert au public ?

Le plus important est de concevoir une architecture de DMZ robuste, éprouvée (pourquoi pas par des tests d'intrusions), et sur les zones privées, de bien gérer les utilisateurs (authentification, habilitations).

Je pense plus particulièrement a l'installation d'une sonde sur un câble réseau et non d'une attaque externe ou là il est vrai la DMZ est efficace.

Un IDS ou IPS peuvent être un outil intéressant, à condition de savoir les paramétrer et d'avoir les ressources pour les administrer.

On a tendance à ranger un peu tout et n'importe quoi derrière la dénomination de politique de sécurité. Que faut-il réellement y mettre ?

Effectivement ! On fait souvent des raccourcis du type politique= charte utilisateur ou politique = matrice des flux sur un firewall. Dans la pratique, la politique est un ensemble documentaire composé d'un document cadre et de différentes déclinaisons (chartes, bonnes pratiques, procédures, règles techniques). Quelques exemples sont donnés dans le chapitre 7 du livre "Manager la Sécurité du SI".

En synthétisant, un SMSI, c'est quoi ? Et que peut-il apporter à l'entreprise ?

Question très difficile à synthétiser: pour faire très simple, un SMSI c'est tout simplement l'organisation à mettre en place pour manager la sécurité. Ce point renvoi inévitablement vers la norme ISO 27001, dont les qualiticiens se sentiront très proches. La mise en place d'un SMSI répond obligatoirement aux exigences d'une partie prenante (Client/Fournisseurs/Partenaires). Il y néanmoins plusieurs niveaux, allant de l'inspiration à la certification, en passant par la conformité.

 
Photo © Marie Bruggeman
 

Pas de certification ISO 27001 sans SMSI ?

ISO 27001 prône la mise en place impérative d'un SMSI, donc effectivement la certification d'un périmètre d'une entité nécessite sa mise en place !

Quels rôles joue le RSSI dans la mise en place du SMSI ?

Très bonne question ! Le RSSI doit il en être l'animateur, le coordinateur, l'auditeur interne, le réalisateur... ? Dans tous les cas, la ségrégation des tâches est impérative, le RSSI ne peut être juge et partie. Après tout dépend du rôle actuel du RSSI: est-il porté sur l'opérationnel ou sur le management ? Est-il rattaché à l'audit interne ou à la DSI ? Les réponses à ces questions impactent certainement son rôle dans le SMSI.

Comment convaincre et impliquer la direction dans ce type de projet ?

Difficile de répondre à la question, car effectivement la démarche est relativement récente en France, contrairement à d'autres pays (Japon notamment). La question préalable est de savoir si le SMSI est une demande d'un tiers de l'entreprise. Le plus simple pour convaincre le management, si vous pensez qu'un SMSI a un sens dans votre structure, est de le sensibiliser avec l'aide d'un prestataire spécialisé.

Comment définir une politique de sécurité avec des utilisateurs en général difficilement prévisibles ?

Il y a différents types d'utilisateurs, chacun avec leurs besoins et leurs contraintes. Le plus important reste d'avoir une légitimité par le management à écrire pour faire imposer ces règles. Si ce n'est pas le cas, c'est peine perdue !

"La discussion, l'échange, en interne comme en externe sont plus efficaces sur le long terme que la répression systématique"

Un bon tableau de bord en sécurité, c'est quoi pour vous ? Le modèle de Kaplan et Norton uniquement ?

Comme écrit au chapitre 8, le bon tableau de bord n'est pas le modèle X ou Y, mais un outil adapté à la cible. Il y a différents niveaux: Stratégique, Tactique, Opérationnel. Pour chacun d'entre eux, les indicateurs, les moyens de les collecter, les valider, les analyser et les faire vivre sont très différents.

Une des sources de progrès en termes de productivité du monde de la santé (et de baisse des coûts) réside dans l'utilisation accrue des TIC (télémédecine, télédiagnostic, etc). Et un des freins essentiels réside dans des règlements anciens qui en ralentissent l'implémentation pour des raisons (très) largement dépassée - du fait bien souvent de l'ignorance de leurs auteurs de l'état de l'art. Les RSSI dans la santé discutent-ils de cela avec le législateur ? Êtes-vous consultés proactivement. ou seulement en "arrière-garde" pour sécuriser une fois que le principe des décisions ont été prises ?

Il y a en réalité peu de textes règlementaires propres à la santé. Concernant le décret "Confidentialité", on peut certainement discuter du délai de mise en conformité, mais à mon avis pas de l'objectif. Après, je pense qu'il ne faut pas opposer le déploiement des projets et la nécessaire prise en compte des besoins de sécurité, quel que soit le domaine d'activité. D'où la nécessité d'intégrer la sécurité en amont des projets. En outre, nous traitons tout de même d'informations nominatives médicales, tout RSSI sérieux du monde de la santé ne peut l'ignorer, tout comme les fournisseurs.

Qu'apportent à l'entreprise des normes comme ISO 27001 ou 17799 ?

Une norme apporte une référence commune, un vocabulaire partagé. Maintenant n'oublier pas que c'est une référence, mais qu'il ne s'agit pas forcément d'y être conforme à 100 %. Dans bien des cas, s'en inspirer permet de faire beaucoup de chose !

 
En savoir plus
 
 
 

Votre vision ou philosophie du management de la sécurité, quelle est-elle ?

Mon optique a toujours été de se positionner en tant que gestionnaire de risques liés aux SI : je dois décrypter, identifier, analyser et évaluer les risques, mais il appartient uniquement au management de décider des moyens pour les traiter !

La discussion, l'échange, en interne comme en externe, permettent de convaincre, et sont plus efficaces sur le long terme que la répression systématique et l'interdiction.

Au revoir et merci.

 


JDN Solutions Envoyer Imprimer Haut de page

Sondage

Votre entreprise évolue-t-elle vers une informatique bimodale ?

Tous les sondages