RSSI cherche Maîtrise d’ouvrage désespérément !
2024 sera sans nul doute une année exceptionnelle pour la dynamique cybersécurité du système de santé. Le Programme CaRE[1], aboutissement d’une année de travail et de concertation, est à la hauteur des enjeux et corrélé aux diagnostics partagés depuis plus de 5 ans. 750 millions d’euros vont être consacrés à la sécurisation des SI de santé, distribués sur 4 ans, pour répondre à 20 objectifs déclinant 4 axes : gouvernance et résilience, ressources et mutualisation, sensibilisation à tous les niveaux et sécurité opérationnelle.
Les RSSI santé vont avoir de nouveaux moyens, y compris humains. Leur impact sur les SI, sur les projets et sur les relations avec les métiers et les fournisseurs va prendre de l’ampleur. Pour réussir ses missions, le RSSI va devoir exercer ses prérogatives en transversalité, sans aucun pouvoir particulier. Sans maîtrise d’ouvrage forte, c’est impossible ! Que ce soit en lien direct avec le Directeur général, AQSSI[2] et « vrai responsable » de la sécurité numérique et des traitements de données à caractère personnel (comme le préconisait HOP’EN), ou au sein de la CSSI[3], ou via un Comité de pilotage du SI ou un Comité de sécurité dédié, le RSSI doit prendre ses ordres et rendre des comptes auprès d’une autorité indiscutable dont les décisions auront des impacts significatifs.
Je milite de longue date pour un Comité de cybersécurité, spécifique ou sous-ensemble de l’autorité stratégique en charge du SI (CSSI, COPIL SI), auxquelles les décisions concernant le plan d’action sécurité (ou programme de sécurité) doivent être confiées. Les membres de cette instance ou sous-instance devraient être a minima le DG (ou le DGA), le Président de CME (ou l’un des vice-présidents), le DRH, le Directeur des soins, le Directeur des affaires médicales, le Directeur de crise (un médecin), le Directeur de la Qualité, le Directeur technique, le DSI, le DPO, le Médecin DIM. Cette Maîtrise d’ouvrage (MOA) doit porter la responsabilité de la mise en œuvre du plan d’action sécurité, car à l’issue des diagnostics, les décisions entraîneront des conséquences souvent importantes sur les métiers, sur le SI, sur l’ingénierie biomédicale, sur les services techniques, sur les contrats et conventions, sur les projets de recherche et sur les partenariats métiers.
Fort des décisions du Comité, qui doit se réunir 3 à 4 fois par an, et dont les arbitrages sont pour partie largement communiqués, la sécurité pourra se déployer à tous les niveaux et le RSSI ordonnancer ce déploiement et en mesurer les conséquences sur l’évolution du niveau de sécurité (par de la surveillance, des contrôles et des audits) ainsi que sur la conformité aux réglementations européennes et françaises. Sans cette Maîtrise d’ouvrage dûment organisée, consciente de son rôle et prenant ses responsabilités, arbitrant parfois dans le sens du RSSI, parfois dans celui de l’acceptation du risque, les projets n’avanceront pas et les RSSI s’épuiseront.
Aujourd’hui, cette organisation n’est pas opérationnelle dans tous les établissements, qu’ils soient publics ou privés. Les enjeux de sécurité et l’impulsion donnée par le programme CaRE doivent installer ce fonctionnement à long terme, comme une routine, où chacun porte son rôle et qui offre au RSSI les « moyens d’exercer », c’est-à-dire la légitimité pour contrôler et modifier des pratiques, pour initier des projets, et pour interagir avec les parties prenantes.
L’APSSIS offrira cette année l’occasion d’en débattre, d’écouter les retours d’expériences et d’influer sur l’installation de modèles de gouvernance efficaces et humainement satisfaisants ! Le Congrès National de la SSI Santé #CNSSIS2024 se tiendra au Mans, les 18, 19 et 20 juin, et les Rencontres SSI Santé, réservées aux adhérents, se dérouleront à Paris, le jeudi 26 septembre, à la Maison des Polytechniciens.
Dans l’attente de se retrouver, toute l’équipe l’APSSIS vous souhaite à toutes et à tous une excellente année 2024, remplie de bonnes choses, tant sur le plan professionnel que dans votre vie personnelle !
[1] Détail du programme CaRE : https://esante.gouv.fr/strategie-nationale/cybersecurite
[2] Autorité qualifiée pour la sécurité des systèmes d’information – Arrêté du 13/12/2016
[3] Commission stratégique du système d’information, créée par le Comité stratégique du GHT – Loi Touraine 2016