Accueil / Les articles WELIOM / CYBERSÉCURITÉ : L’ENJEU DE LA GOUVERNANCE

CYBERSÉCURITÉ : L’ENJEU DE LA GOUVERNANCE

Approche métier : Point de vue de WELIOM

Par Xavier Jung, Manager WELIOM

Nous sommes régulièrement sollicités par nos clients pour les accompagner dans la définition et la mise en œuvre de systèmes de gouvernance de la sécurité des Systèmes d’Information. Il s’agit de définir et de déployer un système de management de la sécurité adapté, alimenté par l’état de l’art mais aussi par les exigences et les contrôles particuliers aux structures de santé, OSE ou non.

Pour être efficiente, il est admis que cette gouvernance doit être positionnée au plus haut niveau de l’organisation (Direction générale, Secrétariat général…) et doit disposer de l’adhésion et de l’appui de celle-ci. Le RSSI étant avant toute chose un « conseiller », sans pouvoir direct sur les organisations, ses recommandations ne peuvent être suivies d’effets sur la structure que s’il dispose de suffisamment de crédibilité institutionnelle.

La gouvernance de la SSI se doit d’embarquer l’ensemble des parties prenantes (Directions fonctionnelles, Directions métiers, DSI, …), et être pilotée par un véritable chef d’orchestre, disposant des bonnes compétences, d’une vision stratégique, d’une trajectoire et de budgets directs ou indirects adaptés.

Une comitologie à 2 niveaux

Qui dit gouvernance dit pilotage. La définition et la mise en œuvre d’une comitologie en est un prérequis. Principalement animées par le RSSI, les instances de pilotage sont structurantes et permettent de créer du lien avec les différentes parties prenantes de la sécurité. Elles sont généralement de plusieurs natures :

• Stratégique : en présence des membres décisionnaires, les enjeux sont de valider et suivre une feuille de route, des orientations stratégiques, des objectifs de sécurité et des moyens pour les atteindre.
• Opérationnelle : plus proche du terrain, en présence des maîtrises d’œuvres techniques ou métiers, le RSSI conseille, contrôle, alerte sur des projets et trouve des compromis entre les besoins fonctionnels des métiers et des objectifs de sécurité.

Pour être efficient, le pilotage d’une instance se doit d’être structuré : calendrier de réunions avec fréquence régulière et adaptée, liste à jour des participants, ordre du jour et compte-rendu systématiques, plan d’actions et suivi d’indicateurs. Ces instances doivent être le lieu d’arbitrages, de prises de décisions et de partage d’informations en cohérence avec leur nature et objectif (stratégique vs opérationnelle).

Un responsable avec une feuille de route validée

Cette gouvernance, à la tête du « projet sécurité », doit être accompagnée de la désignation d’un (ou d’une) chef d’orchestre qui aura pour mission de piloter « l’activité sécurité » en transversalité. Plutôt technique ou organisationnel mon RSSI ? Pour répondre à cette question, il faut repartir du rôle même du RSSI.

Sa mission principale est de mettre en place et d’assurer le bon déroulement d’un Système de Management de la Sécurité de l’Information (SMSI). Ce système est basé sur une démarche d’amélioration continue appliquée à la sécurité du SI : mise en place d’une gouvernance, analyses de risques, suivi de plans d’actions, suivi d’indicateurs, actions correctives…

Il requiert donc un pilote, à plein temps, qui n’aura pas la bande passante pour garder les mains dans le moteur. Fini le paramétrage des matrices de flux du Firewall ou la configuration de l’antivirus, même si ces connaissances « techniques » seront toujours très utiles au RSSI ! Ce pilote, délégué de l’AQSSI (Autorité Qualifiée pour la Sécurité des SI), aura pour mission d’auditer et de conseiller les métiers, y compris la DSI. Pour cela, nul besoin d’être un expert technique, même si un socle de connaissances de base reste essentiel.

Le positionnement du RSSI est un sujet non encore abouti dans le secteur de la santé. Dans les faits, le RSSI est encore souvent rattaché à la Direction des Systèmes d’Information. Afin de pouvoir assurer son rôle de contrôle et de conseil de façon indépendante, son positionnement hors de la DSI est préférable. Directement rattaché à la Direction Générale, à la DGA, ou à la Direction de la Qualité, il pourra pleinement exercer son rôle, en transversalité, et impacter les principaux processus métiers. Par ce positionnement et grâce à la comitologie détaillée précédemment, le RSSI devient le maillon faisant le lien entre la vision stratégique et réglementaire de la SSI et sa mise en œuvre opérationnelle, par des politiques, des procédures, des plans d’actions.

Des ressources, du maillage

L’une des principales difficultés rencontrées dans les structures de grande taille est de réussir à faire parvenir son message à l’oreille de tous… Ainsi, on comprend rapidement que le RSSI va avoir besoin d’alliés, de relais, de porte-paroles pour diffuser ses conseils et les bonnes pratiques de sécurité. Il devra pouvoir s’appuyer sur des ressources ayant pour rôle, entre autres, de porter la bonne parole auprès des équipes, de participer au maintien en conditions opérationnelles de sécurité des systèmes et des processus, d’en intégrer de nouveaux dans le respect des bonnes pratiques, de contribuer à la réalisation d’audits internes… Ce maillage permettra un contact régulier avec les utilisateurs, au plus proche de leurs usages et du terrain

A maturité, on peut imaginer un service sécurité de l’information composé de profils hiérarchiquement rattachés au RSSI (RSSI adjoint, auditeurs SSI, analystes SOC, administrateurs dédiés aux systèmes de sécurité ou aux identités) et travaillant avec les chefs de projets métiers et les équipes techniques de la DSI (voir schéma ci-dessous).

Une stratégie évolutive

Intègre-t-on « de la sécurité à tous les niveaux requis du SDSI », ou construit-on un Schéma Directeur de la SSI (SDSSI), en transversalité de tous les processus métiers, y compris le processus SI ? Plus l’on converge vers des modèles certifiants, plus le SDSSI, basé sur un SMSI, va devenir incontournable. On peut imaginer un SDSSI aborder les mêmes strates que le SDSI et lui appliquer les mêmes procédés :

• Réaliser un audit sur toutes les strates concernées, poser un diagnostic
• Définir sa cible, la trajectoire de mise en œuvre à 3 ans et la chiffrer en ressources humaines et financières.

Cette trajectoire peut alors couvrir tous les maillons composant la sécurité :

• La règlementation, primordiale car elle donne souvent les grandes orientations.
• La stratégie SSI, adaptée aux enjeux stratégiques de la structure.
• L’organisation de l’équipe SSI, avec des liens hiérarchiques ou fonctionnels avec les différents acteurs, l’outillage de l’équipe SSI ou l’usage partagé de celui de la DSI.
• La communication entre les différentes parties prenantes. Avoir un plan de communication permet de transférer le bon message aux bonnes personnes via le bon canal (indispensable quand tout va bien mais surtout en temps de crise).
• La sensibilisation / formation de tous les professionnels à la SSI, le pilotage de ce plan de sensibilisation et la centralisation d’éléments de preuves et d’évaluations de ces actions.

L’intérêt d’une telle démarche de construction d’un plan stratégique dédié à la SSI est similaire à la démarche réalisée lors de l’élaboration d’un schéma directeur SI : donner une vision, élaborer un plan, pouvoir communiquer aux instances décisionnaires, définir au plus juste un budget annuel et être en capacité de le défendre, en présentant une vision d’ensemble priorisée, répondant aux enjeux à court et moyen termes.

Un budget ? Quel budget ?

Puisque l’on évoque le budget, le gouvernement n’a-t-il pas déclaré, à la suite des cyberattaques qui ont touché les hôpitaux de Dax et de Villefranche en février 2021, « qu’aucun projet ne pourra désormais faire l’objet d’un soutien de l’Etat si une part de à 5 à 10 % de son budget informatique n’est pas dédiée à la cybersécurité ».

Même si cette évolution marque une prise de conscience notable, sa pertinence reste discutable. Partant du principe que le budget alloué au SI est d’en moyenne 1,5% du budget global d’un établissement de santé, ce qui reste sous-dimensionné, cela implique de grignoter sur un budget déjà restreint. Négocier pour une hausse du budget SI pourrait être la solution, mais ce n’est pas si simple étant donné que beaucoup de structures de santé fonctionnent déjà à budget contraint et ce depuis des années. Un cercle vicieux…

Au travers de programmes nationaux, le gouvernement met à disposition un certain nombre d’aides financières permettant d’initier les grands chantiers de sécurité. Les ARS et les GRADeS communiquent en ce moment même sur une nouvelle enveloppe de 10 millions d’euros (à l’échelle nationale) destinée au financement des établissements sanitaires pour la réalisation d’exercices cyber.

Ce sont d’excellentes nouvelles, qui suivent le plan France Relance de l’ANSSI, mais la problématique de la maintenabilité dans le temps se pose toujours, surtout lorsqu’il s’agit de l’acquisition de solutions logicielles ou de la mise en œuvre de processus récurrents. Qu’en sera-t-il dans quelques années ? Les choses évoluent, certes, mais espérons la mise en place, par les pouvoirs publics, de mesures pérennes à la hauteur de l’enjeu.

Une instruction ministérielle à paraître devrait imposer à chaque établissement la réalisation annuelle d’exercices de continuité d’activité. C’est clairement prioritaire, comme unique méthode pragmatique de riposte à moyen terme. Il va falloir organiser ces exercices, les installer dans la durée et en tirer les enseignements. Encore du travail pour le RSSI !

On peut aisément conclure qu’il ne peut y avoir de sécurité sans gouvernance, ni de gouvernance efficace sans sponsor, sans animation, sans un chef d’orchestre visible, entendu et entouré, œuvrant dans le cadre d’une stratégie partagée et d’une trajectoire financée. La pertinence de la gouvernance constitue un levier essentiel dans le renforcement de la résilience des établissements face au contexte de croissance des cyber menaces. Il convient d’y attacher une importance toute particulière, nos expériences le démontrent !

Téléchargez le Guide Cyber-résilience – Opus 6 – Gouvernance – Le Guide du RSSI Intergalactique sur le site de l’Apssis