opus 6

guide Cyber résilience

Gouvernance
le guide du RSSI intergalactique
Par Cédric CARTAU
 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

sommaire
Cyber résilience

0.6
le guide du RSSI intergalactique
1. Introduction P.7
2. Le RSSI, quelles missions P.8
2.1 Définition du métier
2.2 Les missions du RSSI : ce que cela est, ce que cela n’est pas
2.3 Rattachement hiérarchique
2.4 RSSI, quelle maturité
2.4.1 Niveau 1 : un « paper RSSI »
2.4.2 Niveau 2 : RSSI technique au sein d’une DSI
2.4.3 Niveau 3 : RSSI fonctionnel, sorti d’une DSI
2.4.4 Niveau 4 : RSSI processus
2.4.5 Niveau 5 : RSSI processus second niveau
3. La gouvernance SSI P.14
3.1 Les instances pilotées par le RSSI
3.1.1 L’instance stratégique
3.1.2 L’instance tactique
3.1.3 L’instance opérationnelle
3.2 Les instances auxquelles participe le RSSI
3.3 Les rôles et responsabilités des directions fonctionnelles

Approche métier : Point de vue de WELIOM P.17

4. Les projets du RSSI P.22

4.1 Le projet chapeau
4.1.1 Certification ISO 27001
4.2 Les projets techniques
4.2.1 Sauvegarde / restauration
4.2.2 Bloc d’accès
4.2.3 Sécurisation du parc
4.2.4 Protection AV
4.2.5 Protection du réseau
4.2.6 Chiffrement
4.2.7 Protection du Cloud

Approche métier : Point de vue du MIPIH P.24

4.3 Les projets fonctionnels
4.3.1 Traçabilité
4.3.2 SIEM
4.3.3 SOC
4.3.4 Habilitations
4.3.5 Démarches internes de type Plan Blanc

2 APSSIS / Cédric CARTAU

 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

sommaire
Cyber résilience

0.6
4.4 Les projets mixtes
4.4.1 PCA-PRA
4.4.2 IAM
4.4.3 Archives
4.5 Les projets de conformité
4.5.1 HDS
4.5.2 CAC
4.5.3 Directive NIS
4.5.4 Certifications ISO sectorielles
4.5.5 Exigences ministérielles
4.6 Les projets en attente de classification
4.6.1 La protection ransomware
4.6.2 La cyber assurance
4.6.3 Le juridique

Approche métier : Point de vue de WALLIX P.33

5. Le quotidien du RSSI P.36

5.1 La répartition du temps
5.2 Le choix d’une méthode d’AR
5.3 Les actions et leviers
5.3.1 Les 3 temps
5.3.2 Focaliser sur les 3 situations
5.4 Le lien avec le DPO
5.5 Les dérapages
5.5.1 La technique pour la technique
5.5.2 L’art pour l’art
5.5.3 Sortir de son rôle de conseil
6. Les outils P.41
6.1 Les outils techniques
6.2 Les autres outils
7. Réseauter P.43
8. Le volet juridique P.44
Approche métier : Point de vue de l’avocate P.46

9. Les âneries courantes P.48

9.1 Parler de chiffrement homomorphe à un Directeur Général
9.2 Faire passer ses idées en force
9.3 Aller voir un Directeur Général avec des problèmes
9.4 Prendre systématiquement le parti de la DSI
9.5 Croire tout ce que l’on vous raconte

3 APSSIS / Cédric CARTAU

 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

sommaire
Cyber résilience

0.6
9.6 Croire que la technique va vous résoudre les problèmes de sécurité SI
9.7 Croire que la prochaine version du machinware va régler tous les bugs
10. Les situations délicates P.50
10.1 La gestion des VIP
10.2 La gestion des personnes difficiles
10.3 Les profils de savant fou
10.4 La gestion de crise

Approche métier : Point de vue de Philippe LOUDENOT P.52

11. Pour aller plus loin P.56

11.1 Évolutions à venir du métier
11.2 Connaissances annexes indispensables
12. Annexe 1 : Les 10 commandements P.58
13. Annexe 2 : bibliographie P.59
13.1 Management de la sécurité des systèmes d’information
13.2 Ouvrages techniques
13.3 Ouvrages généralistes sur la gestion des risques
13.4 Ouvrages sur la sociologie du traitement des risques
13.5 Soft skills
14. Annexe 3 : ressources documentaires P.61
14.1 Revues
14.2 Sites institutionnels
14.3 Sécurité des systèmes d’information
14.4 Blogs
14.5 Droit
14.6 Dépôt de preuve numérique
14.7 Sites de formation
14.8 Outils de sensibilisation
14.9 Chaines Youtube spécialisées
14.10 10 Vidéos sur la SSI
14.10.1 Clip Airbus
14.10.2 Divers
14.10.3 RGPD
14.11 Ressources documentaires
14.12 Serious Game
14.13 Podcast
14.14 Fiches métier SSI
15. Annexe 4 : les outils P.65
15.1 Mot de passe
15.2 Boites aux lettres
15.3 Analyse d’un AD

4 APSSIS / Cédric CARTAU

 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

sommaire
Cyber résilience

0.6
15.4 Détection de compromission d’un compte
15.5 Analyse d’une messagerie
15.6 Solution MFA
15.7 Outil d’analyse réseau
15.8 Protection antivirale
15.9 Vérification de compromission ou de réputation d’un site Web
15.10 Scanners
15.11 Chiffrement
15.12 Carte des attaques mondiales en temps réel
15.13 Anonymisation
15.14 Test de phishing
15.15 Divers
15.16 Portails Open Source
16. Annexe 5 : ce que le DPO n’est pas P.69
16.1 DPO, ce que cela n’est pas
16.2 DPO, ce que cela n’est pas - suite

5 APSSIS / Cédric CARTAU

 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

L’auteur
Cédric CARTAU est RSSI et DPO du CHU de NANTES et
du GHT44. Il est vice-président de l’APSSIS et enseigne
à l’EHESP, à l’ESIEA et au CNEH. Il est également auteur
de plusieurs ouvrages chez Eyrolles ou aux Presses de
l’EHESP, sa dernière publication étant « La sécurité du
système d’information des établissements de santé », en
2018.

[email protected]

L’auteur et l’APSSIS remercient ces contributeurs d’avoir accepté le difficile exercice de

présenter une approche métier sur une question aussi complexe que la gouvernance.

6 APSSIS / Cédric CARTAU

 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

1. Introduction
Le profil de poste d’un RSSI - ce qu’il fait, ce Cette publication s’inscrit dans la suite
qu’il ne fait pas - est un sujet de discussions des précédents guides de cyber résilience
entre les RSSI eux-mêmes mais aussi avec (Tome 1 : les mots de passe ; Tome 2 : les
les professions qui ont affaire aux RSSI : cyberattaques ; Tome 3 : les habilitations
Directions Générales, DSI, chefs de projet, d’accès aux données métier, Tome 4 : la
etc. protection du Cloud ; Tome 5 : les indicateurs),
publiés avec le précieux concours de l’APSSIS
Nous constatons également que les RSSI avec l’ambition de constituer un corpus de
récemment nommés expriment souvent des référence sur les questions relatives à la
difficultés sur une question somme toute sécurité du SI.
basique : par quoi dois-je commencer en
arrivant dans ce poste, qui est, il faut le dire, Comme pour chaque guide, les contributions
un peu bizarre par certains moments ?! en annexe constituent un complément très
riche, des points de vue de professionnels
Par quoi commencer ? Comment se du secteur chacun dans sa spécialité.
positionner ? Quelle limite de son action
? Quelle partie non négociable de son Et comme toujours, les remarques,
périmètre de décision ? Quels outils suggestions d’amélioration sont à envoyer
méthodologiques ? Quel type de pouvoir directement à l’auteur pour être prises en
(soft ou moins soft) ? Autant de questions compte dans les prochaines versions.
pour lesquelles il n’existe que peu de
publications ou d’ouvrages de fond, la Bonne lecture.
plupart des productions existantes se
focalisant sur la technique ou les outils
(logiciels ou matériels).

7 APSSIS / Cédric CARTAU

 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

2. Le RSSI, quelles missions

2.1 Définition du métier

Parler du métier de RSSI c’est d’abord le Liens hiérarchiques ou fonctionnels entre

définir, et pour cela la meilleure source eCS et RSSI
reste sans discussion possible l’annuaire des Il n’y a pas nécessairement de liens
métiers SI du CIGREF, qui est régulièrement hiérarchiques entre ces deux fonctions :
mis à jour depuis 1991. le RSSI peut parfaitement se trouver
hors de la DSI (c’est mieux) et le eCS en
Dans sa version de 2021 (voir Annexe «14.14 plein dedans, aucun souci. Par contre, les
Fiches métier SSI» pour le lien), l’annuaire liens fonctionnels sont très forts, chacun
définit clairement trois métiers autour de la alimentant l’autre de ses contraintes et de
sécurité des SI : ses feedbacks.

• l’expert en cyber sécurité (eCS) ; certains le On retiendra donc comme définition des
nomment « Correspondant en sécurité SI », missions du RSSI celle du CIGREF qui fait foi,
ou expert en sécurité SI (nous conserverons à savoir :
la dénomination du CIGREF) ;
• l’auditeur SSI (aSSI) ; « Sa mission première est de s’assurer et
• le responsable de la sécurité des SI, ou garantir la bonne application de la politique
RSSI ; de sécurité du SI. Le RSSI assure un rôle de
conseil, d’assistance, d’information, de
Il y a souvent confusion entre l’eCS et le RSSI formation et d’alerte. Il préconise toute
et il n’est pas rare de croiser des experts en décision d’intervention sur les systèmes
Cyber Sécurité qui se présentent comme d’information, dans leur globalité, de son
des RSSI. Parmi les différences notables (il périmètre pour préserver l’intégrité et la
y en a pas mal), le eCS est souvent dédié continuité du SI. »
à des actions techniques (Pentest, audit
de vulnérabilité, etc.) et n’est pas supposé La version de la FPH
aborder le volet métier (MOA) de la SSI : Le répertoire des métiers de la Fonction
l’assistance à la rédaction des procédures Publique Hospitalière donne une version
dégradées métiers n’est pas dans son quasi identique du métier de RSSI.
périmètre, pas plus que les appréciations
des risques avec les MOA ni la négociation
des budgets SSI avec la Direction Générale.
A contrario, un RSSI - surtout dans une
structure de taille conséquente - n’est pas en
situation de manipuler des outils techniques
complexes, et perd d’ailleurs rapidement
la technicité nécessaire du fait des autres
tâches qui absorbent son quotidien.

8 APSSIS / Cédric CARTAU

 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

2.2 Les missions du RSSI : ce que cela est, ce que cela

n’est pas

En 2019, j’ai publié dans DSIH Magazine procéder lui-même à des appréciations des
une série d’articles sur ce que n’est pas un risques (AR) (c’est à la MOA de le faire), dans
DPO (voir annexe «16. Annexe 5 : ce que le les faits ce sujet est assez technique et c’est
DPO n’est pas»). Ce point déroute pas mal une des missions du RSSI, surtout quand on
de DPO, et encore plus de RSSI (qui sont parle de risques systémiques qui touchent
souvent issus de la technique) et qui, on le toute l’organisation et pas simplement
constate, ont du mal à « faire leur deuil » une MOA précise. Mais que cela soit clair :
de leur capacité à infléchir l’organisation. Le en déroulant une AR, un RSSI n’est que le
sujet est identique entre les deux métiers : il factotum d’une MOA (qui devrait dérouler
s’agit de la différence entre l’opérationnel et elle-même cette AR mais n’a pas forcément
le conseil. les compétences pour le faire), mais une fois
cette AR déroulée, la MOA seule valide cette
Un expert technique (eCS, ingénieur réseau, AR, décide des risques qu’elle réduit et tient
développeur, etc.) utilise les outils dont il compte, ou non, de l’avis et des alertes du
dispose pour configurer un LAN, développer RSSI.
un nouvel écran, patcher des machines,
etc. Bref, il agit. Et sauf à ce qu’il fasse des Risques et voitures
bêtises, personne n’a à lui dire comment Je vous alerte sur le fait qu’il est dangereux
faire son travail dans son volet MOE (sa MOA et illégal de ne pas mettre sa ceinture de
lui impose bien entendu les objectifs mais sécurité quand on prend le volant. Mais
pas la façon d’y arriver). c’est vous qui voyez : votre voiture, votre
décision, votre responsabilité juridique,
Le métier de RSSI a ceci de bizarre qu’il ne votre vie.
s’exerce qu’en conseil, alerte et audit. Il
conseille une MOA sur des points relevant Par contre, corollaire du point précédent,
de la SSI, mais en dernier recours la MOA personne n’a à imposer au RSSI les conseils
décide ou pas de suivre ces conseils, car la et alertes qu’il doit ou pas faire remonter. Le
MOA est propriétaire de ses propres risques RGPD est au moins clair sur ce point, stipulant
métiers. que le DPO ne reçoit pas d’instructions dans
l’exercice de sa mission (art 38 et 39), mais
MOA et risques il en va de même pour le RSSI - sinon le
La MOA est propriétaire de ses risques conseil pourrait être biaisé. C’est d’ailleurs
métiers, le RSSI n’est en fait Responsable l’un des rares éléments qui pourrait engager
d’aucun risque et dans les pays anglo- la responsabilité juridique du RSSI (comme
saxons, il se nomme « Officier Sécurité IT » celle du DPO), quand il n’a pas exercé son
ou CISO pour Chief Information Security devoir de conseil et d’alerte, qui doit donc
Officer. logiquement être non-entravé. Il appartient
au RSSI d’alerter, de conseiller, de bien veiller
Même si, stricto sensu, le RSSI ne devrait pas à ce que la MOA ait compris ses conseils

9 APSSIS / Cédric CARTAU

 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

et alertes (et cela peut être très complexe alerte et de propriété des risques est claire,
dans certains cas) mais le reste du film ne le chacun (RSSI et MOA) sait où s’arrête la
concerne pas. mission de l’autre et où commence sa propre
responsabilité. Ce point nécessite toutefois
De la même manière, la fonction d’audit du des rappels réguliers de la part du RSSI.
RSSI ne souffre d’aucune restriction (il doit
pouvoir auditer ce qu’il veut quand il veut), De bon ton
et les recommandations issues de ses audits Il est de bon ton, pour un RSSI, de rappeler à
suivent le même processus que les conseils une MOA qu’il n’est qu’en conseil et alerte.
et alertes ci-dessus. D’une part pour mettre cette MOA devant
ses responsabilités, mais aussi pour lui
Cela paraît étrange aux nouveaux venus dans dire que l’avis du RSSI n’est pas suspensif.
la profession, mais les situations suivantes D’expérience, cela facilite le relationnel.
(qui ne sont là qu’à titre d’exemples pour
illustrer le propos de façon quasi caricaturale) Dans les rares cas (ils sont vraiment rares)
ne sont en aucun cas une anomalie : où la discussion peut devenir compliquée, la
seule attitude du RSSI doit être de tracer les
• une MOA qui refuse un audit du RSSI ; échanges, et de s’en tenir là, tout en restant
• une MOA qui reçoit une AR du RSSI mais courtois. Une MOA qui refuse de tenir
décide de ne pas en tenir compte ; compte des alertes ? Courrier ou mail interne,
• une MOA qui a bien compris les alertes du horodaté et avec accusé de réception. Une
RSSI sur un dysfonctionnement détecté mais alerte sur un risque d’obsolescence auprès
qui décide de passer outre ; de la DSI ou de la DG qui n’est pas suivie d’un
• une MOA qui réalise elle-même ses AR SSI plan d’action ? Une présentation sous forme
sans en référer à son RSSI, ni sur la méthode de slides, horodatée avec copie interne.
ni sur le résultat ; Ne pas oublier que le RSSI peut être mis en
Si une telle situation devait se produire, le cause pour défaut de conseil, et c’est bien
RSSI doit simplement tracer les échanges, cela qui va être examiné à la loupe en cas de
rien de plus. dysfonctionnement grave du SI.

Par contre, les situations suivantes sont des L’impression PDF pour salut
anomalies : Je conseille fortement de conserver les
mails litigieux, non pas dans le système
• une MOA qui demande au RSSI de modifier de messagerie, mais en les exportant sous
son AR au motif que cela ne lui plait pas ; format PDF dans un répertoire spécial, dans
• une MOA qui demande au RSSI d’endosser l’espace de fichiers du RSSI, avec un système
un risque résiduel ; d’horodatage de type date à l’envers dans
le nom du fichier.
Le RSSI doit absolument refuser de rentrer
dans ces pièges, aucune négociation ne Dans l’immense majorité des cas, le
devant être possible. relationnel se passe bien, il faut tout de
même le signaler. A titre personnel, en plus
Quand tout se passe bien (ce qui est le plus de 12 années de poste, sur des centaines
souvent le cas), la répartition de conseil / de sollicitations et de dossiers instruits, le

10 APSSIS / Cédric CARTAU

 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

nombre de dossiers vraiment compliqués se

compte sur les doigts d’une seule main.

Les amis et les ennemis

Les amis coûtent cher au RSSI (ils lui
demandent toujours des services, des
dérogations, etc.) mais les ennemis
lui coûtent encore plus cher. Rester
professionnel, courtois, bien expliquer le
périmètre du poste et la limite du rôle de
conseil et d’alerte. Surtout, rester en bons
termes avec l’ensemble des interlocuteurs.

2.3 Rattachement hiérarchique

Partant de là, il est clair que le RSSI ne peut contrôlent (ils sont certes liés par un marché
en aucun cas dépendre hiérarchiquement du mais engagent leur responsabilité civile
DSI. J’ai participé à des dizaines de débats sur et pénale en cas de manquement avéré à
la question, je n’argumente même plus. Le leurs missions, d’où leur indépendance),
principe de base des organisations modernes, toute fonction de contrôle interne (RSSI
et ce depuis au moins l’affaire Enron, est la et bien évidemment DPO) ne peut pas
séparation entre ceux qui décident, ceux hiérarchiquement dépendre de l’entité qu’il
qui exécutent et ceux qui contrôlent (le contrôle. Au moins pour le DPO c’est clair
scandale Enron est entre autres imputable à (art 38 et 39, toujours), pour le RSSI cela
la collusion entre la fonction de décision et commence à faire son chemin, même si
la fonction de contrôle). certains DSI font de la résistance.

DECIDEUR La mauvaise foi caractérisée

Lors d’une discussion avec un DSI dont je
tairai le nom, ce dernier voulait garder le
RSSI « à sa botte » et n’avait strictement
audit / aucun argument à part que le rattachement
contrôle du RSSI est de la décision du DG (décision
qu’il se chargeait d’orienter dans le sens qui
lui convenait cela va sans dire). Et moi de lui
faire remarquer le parallèle avec le DPO, les
exécutant CAC (qui sont régis par une réglementation
à laquelle le DG doit se plier) mais il n’en
De la même manière que les Commissaires démordait pas, cela relevait de la décision
aux Comptes (CAC) sont strictement du DG. Il n’y a pas pire sourd que celui qui
indépendants de l’entreprise qu’ils ne veut rien entendre.

11 APSSIS / Cédric CARTAU

 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

Globalement, rien qu’en observant la ce qui est le cas le plus favorable pour les
position hiérarchique du RSSI, il est possible raisons susnommées.
d’en déduire la maturité de l’entreprise au
regard de la problématique SSI : Dans le dernier cas, où rattacher le RSSI ? Il
y a plusieurs solutions, qui sont « personne-
• cas du « paper RSSI » : très courant, dépendante », aucune n’est mauvaise en soi
l’entreprise a juste « bombardé » RSSI celui et tout dépend du contexte global. On peut
qui s’occupe de l’antivirus ou des règles du citer entre autres :
pare-feu ; non seulement il y a collision entre • un rattachement au N+1 du DSI (ils auront
la fonction de MOA (le RSSI est MOA de la le même chef) ;
SSI) et de MOE (l’agent en question est en • un rattachement à la Direction Qualité (la
exécution), ce qui est interdit, mais en plus SSI n’est jamais que de la Qualité appliquée
on voit mal comment un informaticien déjà au SI) ;
bien chargé pourrait en sus assumer une • un rattachement à la Direction de la
fonction qui réclame un large plein temps ; sécurité des biens et des personnes, au
• cas du RSSI rattaché à la DSI : on retrouve motif que sécurité physique et logique ont
la collision MOA / MOE, en plus de l’absence des synergies ;
d’indépendance, pourtant indispensable ; • un rattachement DG (compliqué dans les
l’argument selon lequel le RSSI doit gros CHU), ou DG adjoint voire Secrétaire
être « dans les équipes DSI pour mieux Général (excellente solution dans les CHU) ;
collaborer » ne tient pas 2 minutes (depuis • un rattachement à la Direction de la
quand une MOA doit-elle être intégrée au Conformité s’il y en a une ;
sein de sa MOE ? Heureusement que cela
n’est jamais le cas, sinon le BTP n’aurait Globalement, de plus en plus de publications,
jamais vu le jour) ; dans ces cas, on n’a pas d’instructions voire de textes opposables
affaire à un RSSI mais à un eCS ; tendent à détacher le RSSI de la DSI, c’est
• cas du RSSI en MOA et détaché de la DSI, donc clairement le sens de l’Histoire.

2.4 RSSI, quelle maturité

Globalement, on peut classer les RSSI selon un RSSI qui est au niveau 4 d’expliquer à une
l’échelle de maturité suivante. L’exercice est organisation qui ne connaît que le niveau 1
redoutable, et il est surtout frustrant pour qu’il en existe 4 autres !

2.4.1 Niveau 1 : un « paper RSSI »

No comment.

2.4.2 Niveau 2 : RSSI technique au sein d’une DSI

C’est toujours mieux que rien, mais ce n’est
pas un RSSI.

12 APSSIS / Cédric CARTAU

 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

2.4.3 Niveau 3 : RSSI fonctionnel, sorti d’une DSI

Une bonne part des entreprises n’ont pas
atteint ce cap, même si comme nous l’avons
vu cela a tendance à devenir une obligation
réglementaire.

2.4.4 Niveau 4 : RSSI processus

Il veille à la mise en place de processus
(homologation des projets, contrôle des
habilitations) et réalise des contrôles. Peu
d’hôpitaux ont franchi cette étape, qui est
consubstantielle à une certification ISO.

2.4.5 Niveau 5 : RSSI processus second niveau

Il met en place des processus, désigne des
propriétaires, les amène à réaliser eux-
mêmes leurs contrôles ; dans ce contexte,
le RSSI est en contrôle des processus de
contrôle. A notre connaissance, aucun
hôpital n’a atteint ce niveau en 2022.

13 APSSIS / Cédric CARTAU

 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

3. La gouvernance SSI
Une fois que l’on sait ce qu’est ou n’est pas s’inscrit. Il y a deux types d’instances : celles
un RSSI, la question est maintenant de savoir qu’il pilote et anime, et celles auxquelles il
comment ce dernier anime, au sein d’un participe.
établissement de taille variable, la démarche
globale, et dans quelle organisation il

3.1 Les instances pilotées par le RSSI

Il est pratique de se caler sur le découpage

habituel : stratégique / tactique /
opérationnel.

3.1.1 L’instance stratégique

Il s’agit d’une instance qui a pour objectif que Rapport annuel cyber, tellement vieille
la Direction Générale et le RSSI échangent, école mais tellement utile
idéalement deux fois par an. A notre connaissance aucun texte ne
l’impose, mais produire chaque année
Il s’agira d’évoquer : un rapport global sur l’état cyber de
son établissement avec les éléments
• le contexte global cyber, à la fois au niveau susnommés dans le point DG, permet d’être
mondial et à l’échelon national et sectoriel utilisé comme base de discussion...et laisse
santé ; les incidents récents sont un excellent une trace tangible.
point d’entrée ;
• les grandes orientations cyber internes, en La question de savoir si ce point DG-RSSI doit
lien avec les projets nationaux ; ou non être fait en présence du DSI fait débat,
• les projets cyber internes, au niveau il y a des avantages et des inconvénients aux
macroscopique ; par exemple le lancement deux solutions.
d’un chantier d’étude d’une assurance cyber
risque relève de cette instance de pilotage ; Les interventions ponctuelles
• les difficultés rencontrées, à la fois Dans un monde parfait, le RSSI doit pouvoir
organisationnelles et de moyens (humains intervenir ponctuellement, à sa demande
ou financiers) ; l’arbitrage sur les grandes ou sur sollicitation, en réunion de direction
masses budgétaires se passe là ; (établissement ou GHT), quand l’actualité
• les risques résiduels non pris en compte ; ou les projets le nécessitent.
ce point est absolument majeur car au final
c’est la Direction Générale qui porte le risque De façon générale, une des valeurs ajoutées
résiduel cyber, pour autant qu’elle en ait été d’un RSSI est son « agilité organisationnelle » :
mise au courant (toujours ce rôle de conseil il doit pouvoir intervenir dans différentes
et d’alerte) ; instances (réunions de Direction, CME,
réunions de pôle, etc.) et tenir un discours

14 APSSIS / Cédric CARTAU

 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

adapté à son auditoire : on ne parle pas de Général ou un Président de CME !

chiffrement homomorphe à un Directeur

3.1.2 L’instance tactique

Il s’agit plutôt d’une instance avec la DSI qui (c’est une obligation) en rapport avec les
se tient à minima tous les trimestres (tous objectifs de sécurité : cela peut être un
les mois c’est mieux) et qui a pour objectifs taux de disponibilité cible de la plateforme
principaux : technique, un taux de formation à la SSI des
agents de la DSI, etc.
• d’arbitrer les projets techniques SSI ;
• de prioriser les projets SSI versus les autres Des indicateurs de pilotage
projets de la DSI ; Personnellement, j’aime bien communiquer
• de communiquer les sujets issus des aux équipes des indicateurs qui, sans être
instances nationales (ANSSI, ANS, DGOS, à proprement parler des objectifs de SSI,
etc.) auprès des équipes lorsque cela traite donnent une idée de l’activité SSI globale :
de points techniques ; nombre de sujets en cours de traitement /
sujets déjà traités, état d’avancement
A cette instance sont aussi remontés les annuel des contrôles, etc.
indicateurs issus d’une démarche ISO 27001

3.1.3 L’instance opérationnelle

Il s’agit de réunions avec les équipes • d’évoquer l’actualité, les nouvelles
techniques de la DSI (essentiellement les menaces, etc.
ingénieurs réseaux, système, exploitation,
éventuellement le responsable IAM / AD s’il Variantes
y en a un). Elles se tiennent à minima une Ces trois instances peuvent porter
fois par mois et ont pour objectifs : différents noms ou acronymes selon les
établissements : comité stratégique,
• de suivre l’état d’avancement des projets comité de pilotage, etc. L’important est de
et actions recensés dans un DSA (Dossier de bien trouver ces trois strates, et surtout
Suivi d’Action) ; d’avoir un discours adapté à l’instance : à
• de faire des arbitrages ; nouveau, on ne parle pas de chiffrement
• de préciser les besoins du RSSI et les asymétrique dans une instance stratégique
attentes des équipes MOE sur d’éventuelles de GHT !
précisions ;

3.2 Les instances auxquelles participe le RSSI

Stricto sensu, le RSSI est susceptible demande de l’instance en question, soit à sa

d’intervenir à peu près partout, soit sur propre demande en cas d’actualité (nouvelle

15 APSSIS / Cédric CARTAU

 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

réglementation, nouvel incident, instruction les pôles médicaux et médico-techniques

ministérielle impactant l’ensemble des (Laboratoires, Imagerie, Pharmacie).
équipes, etc.).
Tracer les interventions
Nous pouvons citer, sans que cela soit Un document de présentation, un ordre
exhaustif : du jour, une invitation même électronique
doivent être conservées et archivées par le
• pour ce qui est de la gouvernance RSSI car ce sont des éléments de preuves
d’établissement : réunion de Direction, CME, exigibles par l’ISO 27001 dans le processus
CTE, Directoire, Conseil de Surveillance, etc. ; COMMUNICATION.
• pour ce qui est des directions Le petit conseil : préfixer chaque document
fonctionnelles : réunions de service, réunions par la date sous format AAAA-MM-JJ, cela
Qualité, groupe de travail thématique permet de retrouver facilement l’historique
(acheteur, Recherche / Innovation), etc. ; classé par date.
• bien évidemment, toute intervention dans

3.3 Les rôles et responsabilités des directions

fonctionnelles

Les rôles et responsabilités des pôles assurer un certain niveau de redondance,

administratifs, médicaux et médico- mais sans tenir compte du scénario d’une
techniques sont : panne électrique totale en plus d’une panne
informatique : dans ce cas précis, la limite du
• de définir leur niveau de besoin face au PCA-PRA est de considérer que l’alimentation
risque cyber électrique est assurée, le risque résiduel
• d’écrire les procédures dégradées métier ; d’un PCA-PRA est donc celui de l’absence de
curieusement on entend souvent dire que panne électrique concomitante.
c’est à la DSI de les rédiger, et c’est totalement
faux ; Le SLA de la DSI, ses limites
• de piloter les exercices cyber, selon un Le Service Level Agreement de la DSI (ce
rythme, un périmètre à définir conjointement à quoi elle s’engage et qu’elle affiche)
avec le RSSI et d’autres groupes de travail porte en grande partie sur la disponibilité
dans l’établissement ; du SI, aussi bien matérielle que logicielle.
Il s’agit ni plus ni moins de dire que la DSI
La question des risques résiduels est s’engage à ce que les pannes en heures
absolument majeure : il faut les identifier ouvrables soient résolues dans 80 % des cas
et les afficher, à la manière d’un catalogue en 2h, (4h en heures non ouvrables dans
de services dans lequel est formalisé le l’exemple). Les MOA doivent tenir compte
point au-delà duquel la MOA est incapable de ce SLA pour calculer le leur, mettre en
de garantir quoique ce soit. Par exemple, place les procédures dégradées adéquates
les infrastructures Datacenter peuvent et afficher elles-mêmes leur SLA.

16 APSSIS / Cédric CARTAU

 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

Cybersécurité : l’enjeu de la gouvernance

Par Xavier JUNG, Manager chez WELIOM

Approche métier : Point de vue de WELIOM

Nous sommes régulièrement sollicités par de celle-ci. Le RSSI étant avant toute chose
nos Clients pour les accompagner dans la un « conseiller », sans pouvoir direct sur
définition et la mise en œuvre de systèmes les organisations, ses recommandations ne
de gouvernance de la sécurité des Systèmes peuvent être suivies d’effets sur la structure
d’Information. Il s’agit de définir et de que s’il dispose de suffisamment de
déployer un système de management de la crédibilité institutionnelle. La gouvernance
sécurité adapté, alimenté par l’état de l’art de la SSI se doit d’embarquer l’ensemble des
mais aussi par les exigences et les contrôles parties prenantes (Directions fonctionnelles,
particuliers aux structures de santé, OSE ou Directions métiers, DSI, …), et être pilotée
non. Pour être efficiente, il est admis que par un véritable chef d’orchestre, disposant
cette gouvernance doit être positionnée des bonnes compétences, d’une vision
au plus haut niveau de l’organisation stratégique, d’une trajectoire et de budgets
(Direction générale, Secrétariat général…) directs ou indirects adaptés.
et doit disposer de l’adhésion et de l’appui

1. Une comitologie à 2 niveaux

Qui dit gouvernance dit pilotage. La définition projets et trouve des compromis entre les
et la mise en œuvre d’une comitologie en besoins fonctionnels des métiers et des
est un prérequis. Principalement animées objectifs de sécurité.
par le RSSI, les instances de pilotage sont
structurantes et permettent de créer du Pour être efficient, le pilotage d’une
lien avec les différentes parties prenantes instance se doit d’être structuré : calendrier
de la sécurité. Elles sont généralement de de réunions avec fréquence régulière et
plusieurs natures : adaptée, liste à jour des participants, ordre
du jour et compte-rendu systématiques, plan
• Stratégique d’actions et suivi d’indicateurs. Ces instances
En présence des membres décisionnaires, les doivent être le lieu d’arbitrages, de prises
enjeux sont de valider et suivre une feuille de décisions et de partage d’informations
de route, des orientations stratégiques, des en cohérence avec leur nature et objectif
objectifs de sécurité et des moyens pour les (stratégique vs opérationnelle).
atteindre.
• Opérationnelle
Plus proche du terrain, en présence des
maîtrises d’œuvres techniques ou métiers,
le RSSI conseille, contrôle, alerte sur des

17 Xavier JUNG / WELIOM

 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

2. Un responsable avec une feuille de route validée

Cette gouvernance, à la tête du « projet y compris la DSI. Pour cela, nul besoin d’être
sécurité », doit être accompagnée de la un expert technique, même si un socle de
désignation d’un (ou d’une) chef d’orchestre connaissances de base reste essentiel.
qui aura pour mission de piloter « l’activité
sécurité » en transversalité. Plutôt technique Le positionnement du RSSI est un sujet
ou organisationnel mon RSSI ? Pour répondre non encore abouti dans le secteur de la
à cette question, il faut repartir du rôle même santé. Dans les faits, le RSSI est encore
du RSSI. Sa mission principale est de mettre souvent rattaché à la Direction des Systèmes
en place et d’assurer le bon déroulement d’Information. Afin de pouvoir assurer
d’un Système de Management de la Sécurité son rôle de contrôle et de conseil de façon
de l’Information (SMSI). Ce système est basé indépendante, son positionnement hors de
sur une démarche d’amélioration continue la DSI est préférable. Directement rattaché
appliquée à la sécurité du SI : mise en place à la Direction Générale, à la DGA, ou à la
d’une gouvernance, analyses de risques, Direction de la Qualité, il pourra pleinement
suivi de plans d’actions, suivi d’indicateurs, exercer son rôle, en transversalité, et
actions correctives… Il requiert donc un impacter les principaux processus métiers.
pilote, à plein temps, qui n’aura pas la Par ce positionnement et grâce à la
bande passante pour garder les mains dans comitologie détaillée précédemment, le
le moteur. Fini le paramétrage des matrices RSSI devient le maillon faisant le lien entre
de flux du Firewall ou la configuration de la vision stratégique et réglementaire de la
l’antivirus, même si ces connaissances SSI et sa mise en œuvre opérationnelle, par
« techniques » seront toujours très utiles au des politiques, des procédures, des plans
RSSI ! Ce pilote, délégué de l’AQSSI (Autorité d’actions.
Qualifiée pour la Sécurité des SI), aura pour
mission d’auditer et de conseiller les métiers,

3. Des ressources, du maillage

L’une des principales difficultés rencontrées parole auprès des équipes, de participer
dans les structures de grande taille est de au maintien en conditions opérationnelles
réussir à faire parvenir son message à l’oreille de sécurité des systèmes et des processus,
de tous… Ainsi, on comprend rapidement d’en intégrer de nouveaux dans le respect
que le RSSI va avoir besoin d’alliés, de relais, des bonnes pratiques, de contribuer à la
de porte-paroles pour diffuser ses conseils réalisation d’audits internes… Ce maillage
et les bonnes pratiques de sécurité. Il devra permettra un contact régulier avec les
pouvoir s’appuyer sur des ressources ayant utilisateurs, au plus proche de leurs usages
pour rôle, entre autres, de porter la bonne et du terrain.

18 Xavier JUNG / WELIOM

 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

A maturité, on peut imaginer un service techniques de la DSI (voir schéma ci-

sécurité de l’information composé de dessous).
profils hiérarchiquement rattachés au RSSI
(RSSI adjoint, auditeurs SSI, analystes SOC,
administrateurs dédiés aux systèmes de
sécurité ou aux identités) et travaillant avec
les chefs de projets métiers et les équipes

Exemple d’organigramme SSI (Liens Fonctionnels et Hiérarchiques)

direction

dsi rssi

4. Une stratégie évolutive

Intègre-t-on « de la sécurité à tous les niveaux oeuvre à 3 ans et la chiffrer en ressources

requis du SDSI », ou construit-on un Schéma humaines et financières.
Directeur de la SSI (SDSSI), en transversalité
de tous les processus métiers, y compris le Cette trajectoire peut alors couvrir tous les
processus SI ? Plus l’on converge vers des maillons composant la sécurité :
modèles certifiants, plus le SDSSI, basé sur
un SMSI, va devenir incontournable. • La règlementation, primordiale car elle
donne souvent les grandes orientations.
On peut imaginer un SDSSI aborder les • La stratégie SSI, adaptée aux enjeux
mêmes strates que le SDSI et lui appliquer stratégiques de la structure.
les mêmes procédés : • L’organisation de l’équipe SSI, avec des
liens hiérarchiques ou fonctionnels avec les
• Réaliser un audit sur toutes les strates différents acteurs, l’outillage de l’équipe SSI
concernées, poser un diagnostic ou l’usage partagé de celui de la DSI.
• Définir sa cible, la trajectoire de mise en • La communication entre les différentes

19 Xavier JUNG / WELIOM

 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

parties prenantes. Avoir un plan de L’intérêt d’une telle démarche de

communication permet de transférer le bon construction d’un plan stratégique dédié à la
message aux bonnes personnes via le bon SSI est similaire à la démarche réalisée lors
canal (indispensable quand tout va bien de l’élaboration d’un schéma directeur SI :
mais surtout en temps de crise). donner une vision, élaborer un plan, pouvoir
• La sensibilisation / formation de tous les communiquer aux instances décisionnaires,
professionnels à la SSI, le pilotage de ce définir au plus juste un budget annuel et être
plan de sensibilisation et la centralisation en capacité de le défendre, en présentant
d’éléments de preuves et d’évaluations de une vision d’ensemble priorisée, répondant
ces actions. aux enjeux à court et moyen termes.

5. Un budget ? Quel budget ?

Puisque l’on évoque le budget, le moment même sur une nouvelle enveloppe
gouvernement n’a-t-il pas déclaré, à la de 10 millions d’euros (à l’échelle nationale)
suite des cyberattaques qui ont touché les destinée au financement des établissements
hôpitaux de Dax et de Villefranche en février sanitaires pour la réalisation d’exercices
2021, « qu’aucun projet ne pourra désormais cyber. Ce sont d’excellentes nouvelles, qui
faire l’objet d’un soutien de l’Etat si une part suivent le plan France Relance de l’ANSSI,
de à 5 à 10 % de son budget informatique mais la problématique de la maintenabilité
n’est pas dédiée à la cybersécurité ». Même dans le temps se pose toujours, surtout
si cette évolution marque une prise de lorsqu’il s’agit de l’acquisition de solutions
conscience notable, sa pertinence reste logicielles ou de la mise en œuvre de
discutable. Partant du principe que le processus récurrents. Qu’en sera-t-il dans
budget alloué au SI est d’en moyenne 1,5% quelques années ? Les choses évoluent,
du budget global d’un établissement de certes, mais espérons la mise en place, par
santé, ce qui reste sous-dimensionné, cela les pouvoirs publics, de mesures pérennes
implique de grignoter sur un budget déjà à la hauteur de l’enjeu. Une instruction
restreint. Négocier pour une hausse du ministérielle à paraître devrait imposer
budget SI pourrait être la solution, mais ce à chaque établissement la réalisation
n’est pas si simple étant donné que beaucoup annuelle d’exercices de continuité d’activité.
de structures de santé fonctionnent déjà à C’est clairement prioritaire, comme unique
budget contraint et ce depuis des années. méthode pragmatique de riposte à moyen-
Un cercle vicieux… terme. Il va falloir organiser ces exercices,
les installer dans la durée et en tirer les
Au travers de programmes nationaux, le enseignements. Encore du travail pour le
gouvernement met à disposition un certain RSSI !
nombre d’aides financières permettant
d’initier les grands chantiers de sécurité.
Les ARS et les GRADeS communiquent en ce On peut aisément conclure qu’il ne peut

20 Xavier JUNG / WELIOM

 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

y avoir de sécurité sans gouvernance, ni

de gouvernance efficace sans sponsor,
sans animation, sans un chef d’orchestre
visible, entendu et entouré, œuvrant dans
le cadre d’une stratégie partagée et d’une
trajectoire financée. La pertinence de la
gouvernance constitue un levier essentiel
dans le renforcement de la résilience
des établissements face au contexte de
croissance des cyber menaces. Il convient d’y
attacher une importance toute particulière,
nos expériences le démontrent !

02 51 80 05 33
[email protected]
www.weliom.fr

21 Xavier JUNG / WELIOM

 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

4. Les projets du RSSI

Ce découpage vaut ce qu’il vaut mais il faut si aucune action / projet ne sont en cours
bien en proposer un. Il évolue constamment : sur certains des items. Il pourrait presque
dans la première édition de l’ouvrage sur la s’agir d’un schéma directeur, à l’estimation
SSI des établissements de santé (2012) j’avais financière près.
dénombré 9 projets majeurs alors que dans
la seconde édition (2018) j’en ai mentionné La liste des projets s’articule autour de 6
15. Le plus important est d’être certain grandes familles.
d’adresser tous les grands sujets, même

4.1 Le projet chapeau

4.1.1 Certification ISO 27001

Il s’agit du projet de certification ISO 27001. même s’il n’a pas eu de mise à jour depuis les
Le RSSI est le pilote de ce projet qui est très dernières évolutions de la norme à l’heure
structurant pour une DSI. Attention à ne pas d’écriture de ces lignes.
sous-estimer la charge de travail à la fois en
BUILD et en RUN, tout particulièrement les Dernier point : ce projet est le seul pour
effets de la montée en maturité des équipes lequel, en principe, le RSSI assume une part
qui doivent clairement s’approprier le sens de la MOA et de la MOE : il est MOA du
de « système de management ». L’ouvrage dispositif global, mais MOE du pilotage du
qui a longtemps fait référence sur le sujet SMSI.
est celui d’Alexandre FERNANDEZ-TORO,

4.2 Les projets techniques

Il faut mentionner le très riche corpus

documentaire1 produit et régulièrement
tenu à jour par l’ANSSI.

4.2.1 Sauvegarde / restauration

Cela consiste à déployer, maintenir et type ransomware ont rendu ce projet crucial
superviser une architecture de sauvegarde et ont modifié substantiellement le cahier
des données. Ce projet est d’une grande des charges.
complexité technique, les infrastructures
mises en place ont une durée de vie qui
excède rarement 3 années. Les attaques de
1 https://www.ssi.gouv.fr/administration/bonnes-pratiques/

22 APSSIS / Cédric CARTAU

 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

4.2.2 Bloc d’accès

Il s’agit de l’infrastructure qui isole le LAN de constituent également un point à sécuriser.
l’Internet : pare-feu, proxy, boitiers VPN, etc. Un Bloc d’accès est devenu extrêmement
complexe, surtout dans un CHU support
La question de savoir si les flux internes de GHT avec la maîtrise des flux inter-
seront filtrés par les mêmes équipements fait établissements voire l’hébergement HDS de
partie des sujets à instruire en priorité. Les certains de leurs SI.
accès fournisseurs pour la télémaintenance

4.2.3 Sécurisation du parc

Il s’agit de l’ensemble des dispositifs qui La difficulté principale concerne les PC qui
visent à faire en sorte qu’un équipement sont hors du scope de la DSI : biomédical,
connecté au LAN (filaire ou Wifi) respecte services techniques, médecins libéraux,
une hygiène de base de connexion : OS à chercheurs, etc.
jour, AV à jour, supervision, etc.

4.2.4 Protection AV
Il s’agit de toute l’architecture à mettre en les architectures se sont considérablement
place pour assurer une protection antivirale complexifiées et réclament une charge de
correcte. Il y a 15 ans, cela se résumait à des supervision constante.
AV déployés sur les PC et les serveurs mais

4.2.5 Protection du réseau

Il s’agit des sujets « classiques » de de protection logique (802.1x). Le volet
redondance physique des réseaux (double physique est à intégrer en amont dans tout
adduction, doublement des cœurs de projet BTP.
réseau dans des locaux distincts, etc.) et

4.2.6 Chiffrement
Terme générique qui regroupe à la fois la dépôts chiffrés, etc. le chiffrement éventuel
gestion des certificats https, la messagerie d’ordinateurs portables, le chiffrement des
sécurisée, le recours à des plateformes de sauvegardes (quasi systématique en 2023) …

4.2.7 Protection du Cloud

Encore un terme générique qui traite de la
protection des solutions logicielles en Saas.
Ce sujet devient majeur avec les questions
de souveraineté et l’abrogation du Safe
Harbour.

23 APSSIS / Cédric CARTAU

 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

Face aux cybermenaces ? Sanctuariser

les données !
Par les équipes du MIPIH

Approche métier : Point de vue du MIPIH

Les attaques informatiques dans le domaine système d’information dans des conditions
de la santé se multiplient. Chaque mois, saines, est importante. Pour cela, disposer
l’actualité nous révèle un incident mettant d’un système de sauvegarde fiable afin de
en situation de blackout un établissement redémarrer en toutes circonstances, est
de santé. La prolifération des cyber-attaques primordial.
(virus, rançongiciels, logiciels malveillants, …)
a multiplié les risques d’intrusion et de La sauvegarde est la pierre angulaire du
corruption des données dans ce secteur système d’information des établissements
d’activité. Dans ce contexte, la mise en de santé pour faire face aux enjeux de la
œuvre d’une stratégie comme l’anticipation, perte des données.
permettant de garantir une reprise de son

1. La règle de sauvegarde 3-2-1

Les bonnes pratiques préconisent de mettre en œuvre une stratégie de « Sauvegarde 3-2-1
» dont le précepte est : une simple sauvegarde des données ne peut pas suffire à protéger
ses informations. Pour augmenter ses chances de récupérer des données perdues ou
corrompues, la « Sauvegarde 3-2-1 » est une solution. Règle fiable qui réduit au maximum la
possibilité de perdre ses données sensibles.

24 MIPIH
 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

3 - Conserver 3 copies de 2 - Conserver ses données 1 - Stocker 1 copie des

toutes ses données : 1 sur 2 types de supports données, hors site.
primaire et 2 sauvegardes. différents.
Les solutions de sauvegarde
La copie primaire n’est pas Cette règle stipule que les hors site sont nombreuses :
à considérer comme une 2 copies ne doivent pas disque dur externe,
sauvegarde. Elle représente être sur un même support. un NAS portable, des
les données principales de Il est évident qu’en cas de bandes magnétiques…
production. En toute logique, problème de ce dernier, Mais la gestion de ces
2 copies des données ne sont les 2 copies de sauvegarde supports physiques peut
pas satisfaisantes. En effet, il seraient perdues. devenir vite fastidieuse et
y a un risque élevé que les De même, en lien avec le chronophage (intendance et
données de production et la point suivant, les 2 supports manipulations).
copie de sauvegarde soient ne doivent pas être localisés Certains établissements ont
situées au sein du même lieu au même endroit. la chance d’avoir 2 locaux
physique. Une défaillance distincts mais souvent
ou une perte d’intégrité des espacés de moins de 100
locaux entrainerait la perte mètres. Dans le cadre d’une
des données. analyse de risque, il faut
Cette première règle prévoir le scénario que
s’associe bien sûr à la l’établissement puisse être
fréquence de sauvegarde impacté complètement avec
des données. Préserver une une répercussion directe sur
copie des données est une les 2 locaux utilisés pour la
priorité ; mais les restaurer sauvegarde.
est tout aussi important. Une solution simple et agile
La sauvegarde doit peut être mise en œuvre :
s’accompagner de tests de la sauvegarde type cloud.
restauration afin de garantir En effet, en exportant
que les données pourront ses sauvegardes vers un
bien être récupérées en cas hébergeur certifié HDS
de sinistre. (Hébergeur de Données de
Santé), la règle du « hors
site » est respectée.

25 MIPIH
 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

2. La sauvegarde hors site, via un cloud sécurisé

Il existe différentes solutions pour permettre aux données hébergées dans les serveurs
de sauvegarder ses données hors site. A informatiques situés dans d’autres pays.
l’heure des cyberattaques, cette stratégie de
sauvegarde semble incontournable. L’enjeu Sanctuariser ses données en passant par
pour les établissements de santé de disposer un hébergeur certifié HDS, offre plusieurs
d’un système de sauvegarde fiable est avantages importants :
double : « Les données de santé permettent
de prendre en charge le traitement des • Une simplicité dans sa mise en œuvre car
patients et d’améliorer leur prise en charge les couches techniques et l’exploitation sont
lors des situations d’urgence médicale. Il est prises en charge par l’hébergeur.
donc primordial de ne pas les perdre afin • De très faibles coûts de stockage dû au fait
d’éviter une perte de chances pour le patient. que l’hébergeur prend en charge le matériel
Le 2ème enjeu est de pouvoir mener un PRA, et la mise en œuvre des technologies avec
dans les cas les plus extrêmes (destruction des coûts optimisés. De plus, les moyens et
de datacenter, crypto-virus, malveillance les ressources sont mutualisés.
ou erreur humaine) », témoigne Guillaume • Le coût d’investissement est pris en charge
BUES, Responsable de la sécurité du par l’hébergeur. En effet, l’établissement va
système d’information au centre hospitalier « consommer » un service de sauvegarde
des vallées de l’Ariège - GHT des Pyrénées externalisée.
Ariégeoises. • Une garantie de redondance de la
sauvegarde qui permet de répliquer
Il faut garder en tête que l’objectif de ces l’information sur au moins 2 sites distants.
sauvegardes est de garantir le redémarrage Ainsi, si un site est défaillant, la sauvegarde
de son activité dans un environnement sain est toujours accessible en temps réel sur
avec des données fiables. l’autre site.
• Une scalabilité de l’espace de stockage
Mais comment garantir la fiabilité de ces de sauvegarde qui va s’adapter au rythme
données si elles sont localisées sur le même des demandes. Cette scalabilité horizontale
site que celui subissant la cyberattaque ? garantit l’ajout de nouveaux serveurs
sur l’infrastructure existante de manière
Dès lors, l’utilisation du cloud répond à transparente pour répondre à la demande.
cette exigence de sauvegarde hors site. • Une sécurité renforcée de ses sauvegardes
Dans le cas de données sensibles comme les par l’hébergeur grâce aux exigences du
données de santé, il est important de choisir référentiel HDS, au Plan d’Assurance Sécurité
un hébergeur certifié HDS et souverain. de l’hébergeur, aux audits réguliers de
Ainsi cela permet de bloquer la captation sécurité, aux experts sécurités, …
des données, via des réglementations • Une intégrité des données sauvegardées
extraterritoriales qui peuvent notamment pour garantir leur fiabilité à travers le
autoriser une administration étrangère contrôle des erreurs et la vérification des
hors UE, disposant d’un mandat, d’accéder accès habilités à ces données.

26 MIPIH
 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

• Une traçabilité sur toutes les actions en complément un service d’astreinte. De

effectuées sur ces sauvegardes afin de savoir plus, l’hébergeur gère toutes les défaillances
qui fait quoi comment et quand. matérielles grâce à la redondance de son
• Une accessibilité à la sauvegarde 24/7 avec infrastructure et la présence d’experts
une organisation de l’hébergeur qui propose techniques par domaine.

3. La sauvegarde des données dans le cloud, avec le

protocole S3

Le cloud est une solution simple, mais • Un identifiant unique pour restaurer plus
comment mettre en œuvre cette sauvegarde rapidement une donnée
externalisée ? • Une immuabilité des sauvegardes par la
gestion des versions de sauvegarde
Le protocole S3, ou stockage objet, est la
solution idéale qui allie souplesse, sécurité, Un espace de stockage compatible avec
disponibilité et robustesse. la technologie stockage objet permet de
proposer un service de sauvegarde simple,
En effet, le stockage objet propose, à bas non intrusif et qui s’adapte à la politique
coût, des espaces de stockage (bucket) où de sauvegarde de l’établissement. En
les sauvegardes peuvent utiliser le modèle effet, le stockage objet est une solution
objet. Ainsi, chaque objet sauvegardé va compatible avec tous les logiciels majeurs
pouvoir s’appuyer sur les caractéristiques du du marché (Veeam, Rubrik, CommVault,
stockage objet, à savoir : Cohesity, NetBackup, …). Dès lors, il est
possible d’intégrer le plan de sauvegarde
• Une évolutivité de l’espace de stockage de l’établissement de santé en mettant en
sans limite œuvre l’envoi externalisé des sauvegardes
• La géodistribution de la sauvegarde sur avec le protocole S3 vers l’hébergeur certifié
plusieurs sites distincts HDS.
• L’utilisation de la métadonnée pour définir
la propriété de chaque objet

4. De la sauvegarde externalisée au PRA externalisé,

il n’y a qu’un pas !

La sauvegarde est un point crucial dans établissement souhaitant assurer la sécurité

la stratégie et l’analyse de risque pour un de ses données. Mais la restauration en est

27 MIPIH
 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

un tout aussi important. Si nous allons plus La reprise du SI après un sinistre permettrait
loin dans le raisonnement, un établissement, à l’établissement d’avoir accès rapidement
qui a opté pour une externalisation de à la restauration de ses machines sur une
ses sauvegardes, ne devrait-il pas aussi infrastructure extérieure. « Devant le volume
externaliser sa restauration dans le cadre de données sauvegardées, en cas de PRA, la
d’un PRI (Plan de Reprise Informatique) * ? rapidité de restauration devient un élément
important » souligne Guillaume Bues. Cela
*Un PRI est l’ensemble des mesures n’implique aucune contrainte matérielle
prévues pour rétablir l’activité du SI après pour l’établissement qui va s’appuyer sur
interruption suite à un incident. une nouvelle infrastructure virtualisée chez
l’hébergeur.
Dans le cas où un établissement a subi un
incident majeur de type cyberattaque, et Le PRA est donc très dépendant des choix
malgré ses sauvegardes hors site, il ne serait stratégiques de l’établissement en termes
pas autorisé à restaurer ses sauvegardes de préservation des données de santé et
sur site. En effet, il serait inconcevable de de continuité d’activité. Il est, en définitive,
restaurer les données sur une infrastructure l’étape suivante d’une démarche de
défaillante. Il en est de même si sauvegarde externalisée.
l’établissement a subi un évènement ou une
catastrophe naturelle (incendie, inondation,
ouragan, séisme, …). Dès lors, la sauvegarde
dans le cloud chez un hébergeur certifié HDS
pourrait permettre de restaurer le SI dans un
environnement sain et dans un datacenter
extérieur à l’établissement.

05 34 61 50 00
[email protected]
www.mipih.fr

28 MIPIH
 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

4.3 Les projets fonctionnels

4.3.1 Traçabilité
Tout actif technique ou fonctionnel impactent à la fois le volet réglementaire
composant du SI produit des traces : accès (présence de l’information de traçabilité dans
au DPI, connexion sur un PC, navigation une charte), technique (durée maximale de
Internet, traces serveurs, actifs complexes, conservation) et fonctionnel (qui a accès aux
logiciels techniques DSI, etc. Ces traces traces et pour faire quoi).

4.3.2 SIEM
Indissociable de la question des traces, la mise pour autant des sujets complexes : c’est bien
en place d’un SIEM fait partie des briques beau de repérer des tonnes d’anomalies,
indispensables. Sa couverture et son lien mais si c’est pour les laisser en plan faute de
avec les équipes de remédiation constituent bras pour corriger…

4.3.3 SOC
Indissociable d’un SIEM, le centre de pilotage sujets complexes. SIEM et SOC constituent
des alertes est encore un sujet pour lequel des sujets à part entière et pourraient faire
couverture et niveaux de services sont des l’objet d’un guide dédié.

4.3.4 Habilitations
Sujet extrêmement complexe et qui a fait
l’objet d’un Guide cyber dédié. Voir annexes
«13.2 Ouvrages techniques».

4.3.5 Démarches internes de type Plan Blanc

Dans le cadre d’une démarche interne Plan différence entre exercice de crise, plan
Blanc, il est de plus en plus courant de voir blanc, PCA-PRA étant un sujet à part entière
que le risque cyber fait partie des scénarii qui nécessite plusieurs pages pour en
envisagés. Les pouvoirs publics sont en décortiquer l’articulation.
train d’intégrer des exercices de crises dans
les prérequis à certains financements, la

29 APSSIS / Cédric CARTAU

 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

4.4 Les projets mixtes

4.4.1 PCA-PRA
Il s’agit de l’ensemble du dispositif, à la Point important : cela ne se résume pas à
fois organisationnel et technique, qui vise doubler des serveurs, il y a aussi et surtout
à minimiser la probabilité d’une panne, les procédures dégradées métier. Autre
en réduire la durée quand elle arrivera, et point important : on oublie généralement
réduire le retour à la normale ainsi que la la téléphonie et le site de repli de la DSI
charge de ressaisie des MOA. en cas de crash majeur. Ce sujet fait l’objet
d’ouvrages entiers.

4.4.2 IAM
Souvent pris comme un projet technique réel, une attribution des habilitations de
(il est vrai que les briques SSO et méta- façon quasi automatisée, et une révocation
annuaire sont très techniques), il s’agit en des ID et habilitations à J+1 du départ des
réalité d’un projet global qui vise à nettoyer personnes de la structure.
la gestion des identités des personnels ayant
un lien contractuel avec l’établissement (pas Il s’agit d’un des projets SI les plus complexes
seulement les agents), afin d’assurer à la fois qui soit.
une création des ID dans le SI en quasi temps

4.4.3 Archives
Curieusement, ce projet n’est pas identifié grande complexité : stockage des données à
comme requérant l’intervention du RSSI : objectif du siècle, épuration avant archivage,
c’est pourtant un sujet typique ayant un décommissionnement, valeur probante ou
fort volet SSI. Attention, sous des aspects pas (et avec quelles technologies sur le long
simplistes, ce projet est en fait d’une très terme), etc.

4.5 Les projets de conformité

4.5.1 HDS
La certification HDS implique une certification légal et fonctionnel est en débat.
ISO 27001, elle en est une surcouche
essentiellement documentaire. Son intérêt Le certification HDS est en train d’évoluer

30 APSSIS / Cédric CARTAU

 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

avec une v2, qui règle certains « défauts de

jeunesse » de la v1 et notamment l’activité
5.

4.5.2 CAC
La certification des comptes a un impact sur politiques d’habilitation aux données métier.
le SI et notamment sur les procédures de
création / modification / suppression des En ce sens, une certification ISO 27001 est
comptes à privilèges, à la fois fonctionnels un plus vis-à-vis des CAC externes, car elle
et système. Elle a également un impact conduit à mettre en œuvre un processus de
important sur la définition et la révision des contrôle interne sur le SI.

4.5.3 Directive NIS

Pour les établissements désignés OSE contrainte sur le nombre et la nature des SIE
(Opérateur de Service Essentiel), il s’agirtde à déclarer, et il y a un bénéfice clair à utiliser
23 règles à mettre en œuvre sur les SIE la certification ISO 27001 pour cocher pas
(Systèmes d’Information Essentiels) recensés mal de case de la directive NIS.
en interne. Il n’y a quasiment aucune

4.5.4 Certifications ISO sectorielles

D’autres services ou pôles ont eux-mêmes certification ISO 27001 interne permet
des impératifs de certification (ISO 15189 également de cocher pas mal de cases au
pour les laboratoires de biologie) dont sein de ces certifications sectorielles.
une partie concerne l’informatique : une

4.5.5 Exigences ministérielles

Régulièrement, le Ministère émet des des audits ou contrôles à réaliser. Encore
recommandations ou des exigences qui se une fois, une certification ISO 27001 de la
traduisent par des indicateurs à remonter, DSI permet de gagner du temps.

4.6 Les projets en attente de classification

4.6.1 La protection ransomware

Sujet du moment, la protection contre susnommés : protection antivirale,
les ransomwares a ceci de particulier protection périmétrique, gestion des accès
qu’elle emprunte à pas mal des projets fournisseurs, procédures dégradées, Plan

31 APSSIS / Cédric CARTAU

 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

Blanc, etc. détectés par des modules résidents dans les

baies de disques, les dernières générations
Les évolutions des modes d’attaque sont ne chiffrent que les octets d’en-tête de
frappantes : pour exemple, alors que chaque fichier, rendant leur détection
les ransomwares de la génération 2021 beaucoup plus aléatoire car fonctionnant en
chiffraient chaque fichier et pouvaient être mode signal faible.

4.6.2 La cyber assurance

Ce sujet pourra, à terme, rejoindre la assureurs qui avaient initialement investis en
conformité ou constituer un domaine à part. masse le marché avec des offres adaptées se
A l’heure d’écriture de ces lignes, il existe sont pour certains retirés tandis que d’autres
assez peu d’informations sur ce sujet. Les revoyaient le périmètre des garanties.

4.6.3 Le juridique
Le RSSI est en veille juridique permanente La question de la relecture des contrats
et doit notamment produire des annexes Le RSSI doit prendre garde à cette charge de
à intégrer aux contrats et listant les travail extrêmement chronophage : mieux
préconisations SSI. vaut maintenir un corpus documentaire
d’annexes (qui évoluent selon les remarques
remontées par les interlocuteurs internes et
externes) que de relire systématiquement
tous les contrats : une équipe entière de
RSSI n’y suffirait pas.

32 APSSIS / Cédric CARTAU

 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

Cybersécurité & Santé : « Gouvernance

et PAM, le duo gagnant »
Par François LANCEREAU, expert santé chez Wallix

Approche métier : Point de vue de WALLIX

Pour sécuriser les infrastructures pas être menés efficacement. L’accent doit
informatiques des établissements de santé, donc être mis sur le recrutement mais aussi
il est nécessaire de disposer de budget sur la sensibilisation et la formation de tous
adapté et de compétences dédiées. Sans les métiers de l’hôpital. La cybersécurité doit
moyens humains, les projets ne pourront désormais être une affaire de gouvernance.

1. Que faire pour réduire le risque cyber dans les

établissements de santé ?

Les budgets actuels des hôpitaux ne sont pas dont c’est le métier : le DSI (Directeur des
suffisants, bien que la situation s’améliore, Systèmes d’Information). En plus du DSI,
notamment depuis la pandémie pendant les établissements de santé ont petit à petit
laquelle il y a eu une véritable prise de recruté un spécialiste de la cybersécurité :
conscience de la vulnérabilité des hôpitaux et le RSSI (Responsable de la Sécurité des
des conséquences dramatiques que peuvent Systèmes d’Information). Le processus avait
avoir les cyberattaques. On se rappelle commencé avant la pandémie de Covid, puis,
notamment du décès d’un patient suite à la en raison des différentes attaques ayant
cyberattaque de l’hôpital de Düsseldorf en eu lieu dans le secteur pendant et depuis
Allemagne. Les pouvoirs publics du monde la crise, le RSSI est devenu une véritable
entier débloquent désormais des aides nécessité.
financières pour aider les hôpitaux à se
sécuriser. Cependant, avant la crise Covid, le
rôle du RSSI était limité. La direction,
Pour comprendre la vulnérabilité de n’ayant pas mesuré les conséquences
certaines structures de santé, il faut garder potentiellement dramatiques d’une
en tête que pendant longtemps, les « DSI » cyberattaque, ne permettait pas au RSSI
étaient en fait que des médecins avec plus d’avoir le budget nécessaire pour appliquer
ou moins d’appétence pour l’informatique. ses recommandations. C’est seulement
Cette organisation a beaucoup évolué une fois la catastrophe survenue que la
depuis ! Soit certains de ces médecins direction prend conscience de l’importance
sont devenus des experts en informatique, de la cybersécurité. Imaginons qu’un hacker
soit on a attribué ce poste à une personne arrive à stopper le système de ventilation

33 François LANCEREAU / WALLIX

 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

des blocs opératoires, ils doivent être bonnes pratiques de cybersécurité et formée
immédiatement fermés car un bloc non aéré aux solutions que va mettre en place le RSSI.
est un bloc non stérile et si un patient est sur
la table à ce moment-là, c’est sa vie qui est La dernière étape pour réduire au maximum
en jeu. Beaucoup de cyberattaques auraient le risque de cyberattaques est la mise en
pu être évitées ou du moins endiguées si la place d’une solution de sécurisation des
cybersécurité était un sujet de gouvernance. accès et des identités numériques dite
de PAM (Privileged Access Management).
La crise Covid a joué un véritable rôle C’est désormais un must have pour tous
de prise de conscience et d’accélération les établissements de santé - comme les
de la transformation numérique des organisations du monde entier, tout secteur
établissements de santé. Le RSSI est confondu. C’est le seul moyen de savoir qui
désormais écouté mais pour que la se connecte à l’infrastructure informatique
cybersécurité soit maximale, il faut encore (humains, machines ou applications), de
que ce sujet soit saisi de manière globale. s’assurer de l’identité de cette personne /
Le RSSI a un rôle de préconisations mais il machine / application, et de traquer tout
est impératif qu’il ait l’adhésion du DSI, des ce qu’elle fait. Ainsi, en cas de suspicion
dirigeants, et de tout le personnel. Chaque d’intrusion par un hacker, la cyberattaque est
personne travaillant dans l’établissement potentiellement immédiatement stoppée.
de santé doit pouvoir être sensibilisée aux

2. Et la réglementation dans tout ça ?

La réglementation (RGPD, NIS 2…) est en L’une des failles de sécurité majeures dans
effet importante car elle permet d’avoir les hôpitaux est constituée par le matériel
des standards de cybersécurité et oblige biomédical qui aujourd’hui comprend toute
les directions d’établissements de santé les sorte d’objets connectés. Le European Cyber
plus récalcitrantes à ériger la cybersécurité Resilience Act va permettre que tous les
à l’ordre des priorités. C’est une base mais objets connectés vendus en Europe soient
encore une fois, appliquer la loi ne sera pas sécurisés « by design », c’est-à-dire dès leur
suffisant si les budgets ne suivent pas et si la conception. Cela va rajouter une couche
cybersécurité ne devient pas une affaire de supplémentaire de cybersécurité et faciliter
gouvernance. Pour réduire le risque cyber le travail du RSSI qui jusque-là devait faire en
à son maximum, il faut que tout l’hôpital sorte que chaque accès à un objet connecté
s’y mette et que les pouvoirs publics soit sécurisé, l’objet lui-même représentant
débloquent des fonds pour la modernisation une faille potentielle. Ce sont désormais
des infrastructures numériques des les fabricants qui s’adaptent aux besoins en
établissements de santé. cybersécurité des établissements de santé
et non l’inverse. D’ailleurs, chez WALLIX, nos
L’arrivée du European Cyber Resilience Act technologies de sécurisation des accès et des
est un complément aux normes déjà en place. identités numériques étant intégrables « by

34 François LANCEREAU / WALLIX

 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

design » dans les produits des constructeurs, des moniteurs. Ils représentent des points
nous sommes d’ores et déjà en contact avec de vulnérabilité qu’il faut donc gérer et
eux. La chaîne évolue ! sécuriser. D’autre part, les accès numériques
à sécuriser ne sont pas uniquement ceux des
Cependant, cette loi ne soustraira pas les objets connectés, mais aussi les flux induits
hôpitaux à l’implémentation d’une solution par le télétravail, l’utilisation de services
de sécurisation des accès et des identités cloud, la maintenance du biomédical, la
numériques de type PAM. Cela restera GTB, la visioconférence… La sécurisation
toujours un must have qui permet de se mettre de tous les accès au système d’information
en conformité avec de nombreux éléments de l’établissement de santé, qu’ils soient
des réglementations de cybersécurité en « machines » ou « humains » est un enjeu
vigueur. D’une part, il faut avoir à l’esprit vital.
que dans les hôpitaux, il existe de nombreux
appareils connectés obsolètes du point de
vue de leur couche numérique, comme, par
exemple des scanners, des mammographes,

06 07 66 43 93
[email protected]
www.wallix.com

35 François LANCEREAU / WALLIX

 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

5. Le quotidien du RSSI
S’il est un métier bizarre, c’est bien celui ISO 9001 dans les services de l’Etat
de RSSI : ne fait rien lui-même mais incite Que l’on songe deux minutes à l’état de
les autres à faire, contrôle et débusque certains services de l’État il y a à peine 30
des dysfonctionnements, passe une grande ans (horaires décorrélés avec les besoins
partie de son temps à parcourir la presse des usagers, procédures kafkaïennes,
et les sites spécialisés, tout en n’étant etc.) : les normes ISO 9001 sont passées
responsable de rien. Dit comme cela par là et dans la plupart des cas, l’usager
c’est un peu étrange, mais la fonction de est maintenant au centre des processus.
RSSI est essentielle, autant que peuvent Qui souhaiterait en 2022 revenir à la façon
l’être les fonctions de contrôles internes. dont on devait acheter un billet de train
Factuellement, ce sont ces fonctions hyper dans les années 80 ?
transverses qui ont le plus fait progresser la
maturité organisationnelle ces 20 dernières
années.

5.1 La répartition du temps

Idéalement, un RSSI passe 30 % de son temps Un autre critère de maturité de la fonction

à faire de la veille sous toutes ses formes, RSSI
30 % de son temps à gérer ses propres En sus de sa position hiérarchique, il est
projets (ISO 27001, dossiers en propres, possible d’examiner la cartographie de
instructions de dossiers sur demande, etc.), ses contrôles : il peut n’en avoir que très
le reste étant passé à gérer les urgences, peu et les faire lui-même, il peut en avoir
les interventions en réunions diverses, les beaucoup, il peut en avoir délégué tout ou
animations d’instances, etc. partie, il peut se positionner essentiellement
en contrôle de niveau 2.
Le plus difficile est, clairement, d’arbitrer
entre les urgences et le travail de fond. La Dans ce contexte de délégation toujours
masse de travail qui pèse sur un RSSI, même croissante, la veille devient un enjeu de
dans un établissement de taille moyenne, fait survie s’il ne veut pas devenir rapidement
qu’il n’a pas d’autres choix que de déléguer incompétent... d’où la répartition des taches
certaines de ses actions récurrentes : évoquées ci-dessus. La boucle est bouclée.
contrôles, audits, points de mesure,
formations, sensibilisation, etc. De faiseur,
il passe rapidement à la mise en place de
processus dont il contrôle d’abord lui-même
le fonctionnement (contrôle dit de niveau
1) avant de demander aux délégataires
de procéder eux-mêmes au contrôle de la
fonction déléguée et se positionner ainsi en
contrôle de niveau 2.

36 APSSIS / Cédric CARTAU

 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

5.2 Le choix d’une méthode d’AR

Curieusement ce sujet fait souvent débat : fois donnera 10 fois le même résultat à un
MEHARI, EBIOS, EBIOS RM ? pouième près) ;
• qui est révisable en interne sans que cela
Quelles recommandations ? coûte 10 jours de consultant hyper spécialisé
Je n’entends plus jamais parler de MEHARI. (donc hyper cher) à chaque révision, qui est
J’entends quand même que pour les OIV à minima annuelle.
et OSE, le recours à EBIOS RM « méthode
ANSSI » est recommandé. Avant la sortie Si vous avez été formé à EBIOS et que la
de la version RM, c’est EBIOS qui était méthode vous est familière, aucun souci. Si
« plus que recommandé » jusqu’à ce que vous ne la connaissez pas et que vous estimez
les pouvoirs publics réalisent la lourdeur du avoir d’autres priorités que de batailler avec
bazar. des documents Excel complexes à chaque
mise à jour, un bête tableau avec 10 colonnes
En fait, cela n’a aucune importance : pour vous suffira.
être clair, seul le respect de l’ISO 27005
est véritablement une contrainte, et cette Certification ISO 27001 et méthode AR
dernière n’impose rien de plus que de lister Il m’est arrivé de tomber sur des consultants
des actifs, des menaces, de les évaluer me soutenant mordicus que sans AR
(noter), de les traiter (réduction, transfert, déroulée à la sauce EBIOS pur jus, adieu la
etc.), point final. certification. C’est un mensonge. Et ce n’est
pas près de changer selon moi, puisque le
La meilleure méthode est celle : sens de l’histoire est de se raccrocher à des
normes (ISO 27005 dans le cas présent) car
• avec laquelle le RSSI est à l’aise ; ce sont les seules à faire consensus (c’est
• qui est reproductible (la dérouler 10 même une des significations d’une norme).

5.3 Les actions et leviers

5.3.1 Les 3 temps

Les 3 grands temps du RSSI sont : avant le de sécurité qu’il est possible de mettre en
sinistre, pendant le sinistre, et après le place sont celles qui sont acceptées par
sinistre. toutes les parties : MOA, DSI et RSSI. Au-
delà, le RSSI dispose de peu de marge de
Avant le sinistre, le RSSI a peu de pouvoir manœuvre. Sa seule bouée de secours est :
en dehors de la négociation : on est sur du la MOA est seule propriétaire de ses risques
soft power, de la force de conviction, de la - et il est fortement conseillé de tracer les
négociation raisonnée. Les seules mesures échanges.

37 APSSIS / Cédric CARTAU

 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

Pendant le sinistre (attaque, panne, fuite de Enfin, après le sinistre, le RSSI revient en
données, etc.), le RSSI a un rôle de : mode négociation : la seule différence avec
la première phase est qu’il est beaucoup
• communication avec la MOA et l’extérieur plus écouté et par beaucoup plus de monde
de l’établissement : ANSSI, Ministère, (le chiffre étant proportionnel au niveau de
équipes de cyber veille, etc. perturbation rencontré pendant le sinistre),
• coordination avec les autres équipes de mais cela ne dure pas longtemps : la fenêtre
crise internes à l’établissement : plan blanc, de tir s’étale rarement au-delà de 3 à 6 mois.
etc. ; Et jusqu’au prochain cycle.

Le moment du sinistre est un des rares Déjeuner à la cantine

où le RSSI peut sortir de son strict rôle de Une boutade pour la route...
conseil et imposer des éléments de sécurité Avant le sinistre, le RSSI déjeune seul.
« temporaires » (et dont l’objectif non avoué Pendant le sinistre, il déjeune avec le top
est qu’ils deviennent définitifs). Le mode management.
soft power n’est pas vraiment utile pendant Après le sinistre, il déjeune seul et dos au
cette phase. mur du fait de tout ce qu’il a imposé à tout
le monde.

5.3.2 Focaliser sur les 3 situations

Globalement, le RSSI peut classer les (Mean Time Between Failure ou temps
situations en 3 grandes catégories. moyen avant panne). Les experts téléphonie
savent qu’ils ont très peu de visibilité sur la
Il y a d’abord le « connu connu » : ce que redondance téléphonie de l’opérateur, etc.
l’Organisation sait qu’elle sait. Ces situations sont sources de risques et
doivent focaliser l’attention du RSSI : audit,
Il s’agit par exemple des cœurs de réseau réunion, plan de remédiation, risque résiduel
dont la DSI sait qu’ils sont redondés, des accepté, etc. En d’autres termes, il faut que
procédures d’utilisation des automates de quelqu’un s’occupe du machin, qu’il ne soit
laboratoires que les biologistes connaissent, pas laissé sans surveillance.
des alimentations électriques que les
services techniques savent redondées, etc. Enfin, il y a l’« inconnu inconnu » : ce que
Ces éléments ne présentent pas de risque l’Organisation ne sait pas, et qu’elle ne sait
majeur, ils sont régulièrement audités ou pas ne pas savoir. Cela peut être un service
contrôlés, etc. métier qui a basé tout son fonctionnement
sur des fichiers Excel non sauvegardés sur
Il y a ensuite le « connu inconnu » : ce que un PC au fond du couloir, un autre qui utilise
l’Organisation sait qu’elle ne sait pas. La DSI comme système de communication critique
ne sait pas combien de PC sont non-protégés en temps réel le mail, un troisième qui
par un AV (mais elle sait qu’il y en a), le base tout son système de rappel en garde
service de Réanimation sait que certains sur des sms, etc. L’Organisation n’a aucune
des équipements sont hors contrats de connaissance de la situation, et encore moins
maintenance mais ne connaît pas le MTBF du niveau de risque que cela engendre. Ce

38 APSSIS / Cédric CARTAU

 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

sont les pires situations, les plus difficiles Parmi l’« inconnu inconnu », il y a un grand
à débusquer, et qui justifient à elles seules classique : la distorsion entre le SLA de la
que le RSSI s’immisce partout, discute avec DSI (son temps moyen de remise en service
tout le monde. après panne, ou ses plages horaires de
maintenance programmée des éléments
Le coût d’un café d’infrastructure) et ce que les MOA en savent
Vous n’imaginez pas tout ce qu’un RSSI ou en perçoivent : combien de fois suis-je
peut apprendre, juste en traînant dans la tombé sur une MOA qui, après une panne de
salle de pause pendant le café, voire en quelques heures de la messagerie, m’avoua
offrant des cafés à un médecin, un chef qu’elle ne pensait pas que la messagerie
de service, un cadre, un ingénieur, etc. Les pouvait tomber en panne (authentique).
Organisations ne sauront jamais ce que le
prix d’un seul café leur aura évité…

5.4 Le lien avec le DPO

Autant le positionnement du DPO ne fait Cerveau droit et cerveau gauche

pas débat (il ne peut pas être dans la DSI car Pour ceux qui ont la chance de cumuler les
elle met en œuvre des traitements), autant deux fonctions, je leur conseille d’utiliser
on trouve encore des débats concernant le pour émettre un avis négatif sur telle ou
positionnement du RSSI. telle situation la moitié de leur cerveau
adaptée aux circonstances, la droite ou la
Or, leurs travaux se ressemblent comme gauche selon les jours. Si le cerveau droit
deux gouttes d’eau : appréciation des RSSI ne peut pas s’opposer, le cerveau
risques, rôle strict de conseil et d’alerte, gauche DPO lui vient en aide.
la MOA (ou le Responsable de Traitement)
seul propriétaire de ses risques, etc. Pour
ceux qui cumulent les 2 fonctions, il est,
certains jours, quasi impossible de dire à
quel moment de la journée on est RSSI et à
quel autre moment DPO.

La synergie des deux postes est extraordinaire

car il est rare que ce qui doit être déconseillé
par l’un soit conseillé par l’autre : 2 visions
différentes des mêmes sujets ou projets
amènent souvent des conclusions identiques,
d’où l’intérêt soit de cumuler les 2 fonctions,
soit de les positionner en binôme.

39 APSSIS / Cédric CARTAU

 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

5.5 Les dérapages

Parmi les dérapages ou incompréhensions

que l’on peut rencontrer lors d’une prise
de poste, on trouve en général les travers
suivants.

5.5.1 La technique pour la technique

Il s’agit du RSSI qui pense que la technique gruyère. Le RSSI qui tombe dans ce travers
résout tout et qu’il faut répondre aux besoins ne sort jamais de la soute.
de sécurité par une débauche de matériels,
logiciels en tout genre. Dans les secteurs La solution est bien entendu de faire la
où le RSSI dispose d’un budget confortable, part entre la technique (qui, au passage,
c’est assez courant. Or, le meilleur logiciel du existe souvent en version open source
monde s’installe, se supervise et alerte de totalement gratuite et d’excellent niveau)
non-conformités qu’il faut bien traiter : sans et les ressources humaines, internalisées ou
ressources RH, il ne sert à rien si ce n’est externalisées.
constater que votre SI est aussi troué qu’un

5.5.2 L’art pour l’art

Travers plus courant chez les jeunes RSSI, il l’entreprise, etc.).
s’agit de faire de la sécurité pour elle-même
sans la replacer dans un contexte global à Le RSSI qui tombe dans ce travers finit
la fois tactique (les besoins des utilisateurs, immanquablement par pérorer tout seul
l’état du SI, etc.) et stratégique (les budgets dans son bureau.
sur le long terme, les contraintes de

5.5.3 Sortir de son rôle de conseil

En dehors des périodes temporelles spéciales
que sont l’incident et la bêtise manifeste
qui peut mener à des grosses catastrophes,
le RSSI doit veiller à rester dans ce rôle de
conseil et d’alerte, sous peine de déborder
sur la MOA alors qu’il n’est que MOE.
Le mélange des genres MOA / MOE finit
toujours par se retourner contre lui.

40 APSSIS / Cédric CARTAU

 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

6. Les outils

6.1 Les outils techniques

S’il est un domaine qui cède rapidement Je commence à détester les camemberts
à la facilité de la fascination pour la Que l’on m’explique pourquoi les ingénieurs
technologie, c’est bien la cyber : des logiciels commerciaux qui cherchent à vendre leurs
prétendument miracles qui vont détecter les produits me présentent systématiquement
failles avant même qu’elles impactent votre des copies écran avec des statistiques
SI, basés sur de l’IA (c’est à la mode, il y a 30 en forme de camemberts de toutes les
ans on parlait de « systèmes experts »), des couleurs, histoire de me montrer que leur
algorithmes apprenants, des IA Machine To machin est fortiche dans la conversion
Machine, et j’en passe. tableau <=> graphique. A moins qu’ils
me prennent pour un décideur qui ne
La débauche de technologie est, en général connaît rien à la cyber ? Pourtant juré je
et encore plus dans la cyber, un miroir aux ne porte jamais de costard trois pièces.
alouettes pour au moins 3 raisons : Non, personnellement je préfère la bonne
vieille ligne de commande, on n’a rien fait
• si une technologie était vraiment la de mieux depuis les tablettes de cire.
protection ultime, la théorie de l’évolution
nous dit qu’il y a belle lurette qu’elle aurait La réalité est beaucoup moins sexy :
raflé tout le marché et tous les clients, ce quasiment tous les outils pour faire de la
qui n’arrive pour ainsi dire jamais ; même cyber au moins jusqu’à un niveau avancé
les modules EDR accolés aux AV classiques existent en format open source, moyennant
et dont on nous rabat les oreilles depuis des un peu d’huile de coude pour rentrer dedans.
années sont loin d’être la panacée ; Le boulot d’un RSSI fonctionnel est d’avoir
• un logiciel ou un matériel ne fonctionnant une vision sur une cartographie d’outils
pas par l’opération du Saint Esprit : il faut et leurs champs d’action (cela s’appelle la
de la ressource (RH) pour l’installer, de la veille fonctionnelle), le boulot d’un expert
ressource (encore RH) pour l’exploiter sans SSI (eCS) est de savoir les mettre en œuvre
même parler de la ressource (toujours RH) pour ce à quoi ils sont destinés. Vous allez
pour effectuer de la remédiation suites me dire que c’est un sacré boulot justement
aux failles relevées par ledit logiciel ; or, la que d’intégrer des briques open source
plupart du temps, c’est bien la ressource hétérogènes, et vous aurez raison. Mais vous
RH qui fait défaut et on se retrouve à avoir pensez que c’est une partie de plaisir que
dépensé des sommes folles pour installer un de déployer un IDS ? Un scanner d’IoT dans
bazar qui finit au fond d’un tiroir ; un environnement LAN / VLAN segmentés à
• dans les faits, quand les fournisseurs tout va ? Une console d’analyse SIEM / SOC
qui toquent à la porte avec le machin qui corrèle les traces de l’AD avec celles du
prétendument magique veulent bien réaliser pare-feu et de 5 autres sources de données ?
un POC, souvent le POC en question est loin
de tenir toutes les promesses des plaquettes Quand vous serez arrivés au bout des
marketing bien léchées ; possibilités d’un PingCastle, d’un Suricata,
d’un bête grep, quand votre capacité à
remédier sera supérieure au rythme auquel

41 APSSIS / Cédric CARTAU

 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

ces outils vous remontent des failles, alors équipes dans les hôpitaux qui, sur certains
à ce moment-là et seulement à ce moment- sujets, ont passé ce cap. Mais le schéma
là vous pourrez aller réclamer des budgets reste le même : d’abord on doit mettre en
pour acheter un truc payant. Soyons clairs, priorité budgétaire la mobilisation d’ETP,
il y a des domaines de l’industrie ou du et ensuite, seulement ensuite, des budgets
tertiaire qui sont justement au niveau où les pour acheter la quincaillerie.
outils payants sont nécessaires. Et il y a des

6.2 Les autres outils

Le RSSI et son expert SSI ont besoin

de disposer d’outils, de ressources
documentaires et de site Web afin de
maintenir une veille technique et «
conjoncturelle ».
Le lecteur trouvera en annexes une liste,
forcément personnelle, forcément périssable
et forcément incomplète, de ces items.

42 APSSIS / Cédric CARTAU

 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

7. Réseauter
Sans son réseau, un RSSI n’est rien. Faire appel au réseau est naturel, renvoyer
l’ascenseur tout autant : on ne perd jamais
Concernant les problèmes qu’il rencontre au de temps à passer 30 minutes ou plus avec
quotidien, quelqu’un d’autre les a rencontrés un confrère au téléphone pour le dépanner.
avant lui et réglés : faire appel au réseau
constitue un gain de temps considérable,
permet d’accélérer la veille, de ne rater
aucune nouveauté, aucun texte, aucune
documentation, livre blanc, etc.

Le réseau se décompose globalement en :

• réseau local : les RSSI dans la même ville,

département, région ; souvent il s’agit d’un
réseau non sectoriel, il y a des groupes de
travail souvent pilotées par les CCI locales à
peu près partout, même si elles sont souvent
noyautées par les fournisseurs ;
• le réseau national sectoriel : dans la santé
il existe un groupe informel de RSSI de CHU
et de gros CH ;
• les clubs : on peut citer évidemment le
CESIN2;
• les associations à but non lucratif :
bien entendu l’APSSIS, mais il peut y en
avoir d’autres dans d’autres secteurs de
l’économie ;

2 https://www.cesin.fr/

43 APSSIS / Cédric CARTAU

 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

8. Le volet juridique
Il est fortement conseiller au RSSI (et au
DPO également) de tenir à jour une liste des
textes et autres règlements qui s’imposent
à sa fonction. Attention cela bouge pas mal,
avec des décrets et arrêtés dans tous les
sens et sur tous les sujets. A noter que cette
tenue à jour est une obligation de la norme
ISO 27001 (clause A.18.1.1 dans la version
2017).

Le lecteur trouvera ci-joint, en mode carte

mentale, un exemple de ce recensement.

44 APSSIS / Cédric CARTAU

 CYBER RÉSILIENCE - Le Guide du RSSI Intergalactique - OPUS 6

Référence : droit

Loi Godfrain Objet : les droits et les devoirs de l'agent vis-

Cybercriminalité Droit du travail à-vis du SI
STAD
Impacts Charte informatique passée aux instances

LCEN
Internet
LOPSSI2 HAS Référence : 2000

PSSI étatiques Loi du 4 mars 2002

Référence : loi du 21 juillet 2009 (HPST)

ISO 15 189 Certifications sectorielles
Certification des comptes Objet : sécurisation des flux financiers

Référence : loi 2018-133 du 26 février 2018, Approche qualiticienne

décret 2018-384 du 23 mai 2018 Impact
Appréciation des risques
Objet : renforcer la sécurité SI de certains
opérateurs qui ne sont pas OIV
Référence : décret 2010-112 du 2 février 2010
Désigner un correspondant interne Directive NIS
Objet : homologation formalisée des
Tenir à jour et communiquer une RGS téléservices offerts aux usagers
cartographie SI
Impact : appréciation des risques formalisée
Règles de gouvernance SSI, sécurisation des avant mise en production
Impacts
SI, détection des incidents, PRA

Juridique SSI
Déclaration des incidents de SSI
Référence : loi 2016-41 du 26 janvier 2016
Audits annuel et après chaque incident
Objet sur le volet SI : convergence des SI des
Loi de santé 2016 établissements d'un GHT

Référence : ordonnance 2017-27 du 12 Vers une DSI commune

janvier 2017
Impacts Vers un SI commun
Objet : l'hébergement de données médicales
nominatives pour compte de tiers
Agrément HDS
Conformité RGPD assurée par l'établissement
support
Impact : certification ISO très lourde

Référence : RE 2016-679 du 27/04/2016

Référence : arrêté du 13 décembre 2016
Objet : les traitements de données
Objet : définir la chaîne de responsabilité personnelles
juridique SSI au sein des organismes étatiques
AQSSI
RGPD
Désignation d'un DPO
Responsable = DG
Impact Appréciation des risques obligatoire
Responsabilité juridique non délégable Impacts
Démarche suspensive des projets

Signalement des incidents

Référence : instruction 2016-137 du 16 nov Plan de sécurisation des
2016 établissements

Propriété littéraire et artistique

Référence : INSTRUCTION N°SG/DSSIS/2016/
309 du 14 octobre 2016
Référence : décret 2016-1214 du 12 sept 2016
Objet : remonter des indicateurs de SSI instruction 309 Signalement des incidents SSI
Objet : obliger les EH à déclarer les incidents
Impacts : remontée trimestrielle d'indicateurs SSI
sur le portail ARS

45 APSSIS / Cédric CARTAU

 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

CYBERSÉCURITÉ, LA VISION JURIDIQUE

Marguerite BRAC DE LA PERRIÈRE, Avocate Associée, spécialisée en santé numérique, IT &
Data, au sein du Cabinet LERINS

Approche métier : Point de vue de l’avocate

L’accélération de la numérisation au sein des distance ;

établissements de santé, la multiplication • humains avec un enjeu majeur de
des solutions logicielles et des dispositifs sensibilisation ; la protection du système
médicaux intégrant des applicatifs ou objets d’information et de ses données relevant
connectés, l’intensification de la coordination d’un effort quotidien, à la fois individuel de
des soins, à l’hôpital, et avec la ville, et chaque utilisateur, et collectif, impliquant la
la multiplication des bases de données, sécurité, et également les achats, la qualité,
constituent de formidables opportunités. la conformité, la direction juridique, le DPO…

Des opportunités concourant à l’amélioration S’agissant des instruments juridiques, ils

des conditions de prise en charge des s’articulent principalement autour, d’une
usagers. Des opportunités constituant le part, de la mise en œuvre de la protection des
terreau d’une médecine de précision, d’une données et l’encadrement des prestataires,
prise en charge plus personnalisée. et d’autre part, de la réaction en cas de
Des opportunités d’efficience, et de violation.
rationalisation des soins, participant de
la transformation de notre système de La protection des données repose largement
santé, et ce faisant, à la pérennisation des sur le choix des prestataires et sous-traitants
mécanismes de solidarité. afin de s’assurer qu’ils présentent les garanties
Des opportunités de recherches et suffisantes1 quant à la mise en œuvre de
d’innovations. mesures techniques et organisationnelles
appropriées2, et sur les exigences auxquelles
Avec cependant comme corollaires, une ils sont contractuellement soumis.
surexposition au risque cyber, des incidents
aux impacts organisationnels, humains A cet égard, il appartient à l’établissement,
et financiers lourds, et des violations des outre les clauses obligatoires au titre du
données de santé, associées parfois à une RGPD, et au titre de la réglementation
diffusion sur le web ou le darkweb. Hébergeur de Données de Santé, de
requérir la conformité aux référentiels
En matière de prévention du risque cyber, de sécurité et d’interopérabilité -lesquels
les défis sont bien sûr technologiques et bien que légalement opposables3 restent
humains : imparfaitement mis en œuvre-, mais aussi
la conformité des solutions, connecteurs et
• technologiques avec une vigilance services, y incluant support et maintenance,
particulière sur l’interopérabilité entre à l’état de l’art.
applications, et sur les solutions de
sécurisation de messagerie et des accès à L’état de l’art constitue désormais d’une
1 Au sens de l’art. 28.1 RGPD
2 Au sens de l’art. 32 RGPD
3 L1470-5 CSP

46 Marguerite BRAC DE LA PERRIÈRE / Cabinet LERINS

 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

notion centrale dans chaque contrat IT, et négociation des contrats IT apparaissent
dans le contexte d’un environnement cruciales afin de permettre à l’établissement
réglementaire foisonnant, et d’exigences de bénéficier d’engagements limitant les
très évolutives. risques en matière de sécurité, mais aussi
les risques de sanctions des autorités (outre
La plupart des exigences relèvent de textes celles prévues au RGPD, bientôt celles de
réglementaires, dont : NIS 2 similaires), et lui garantissant une
évolution des solutions et services dans des
• la réglementation Hébergement de conditions équilibrées, pendant toute la
données de santé (HDS) dont le référentiel durée d’amortissement.
de certification est en cours d’évolution, et
les enjeux de souveraineté associés ; La réaction à une éventuelle cyberattaque
• la Directive NIS, transposée en droit devient, dans le même sens, un enjeu majeur,
national, ayant renforcé la cybersécurité des non seulement à l’égard du soutien qu’elle
Opérateurs de Services Essentiels (OSE) ; déclenchera, mais également au regard
• La Directive NIS 2 récemment adoptée -à d’un objectif de limitation de responsabilité,
transposer en droit national sous 21 mois- étant rappelé que les incidents doivent
concernant également les sous-traitants et désormais être déclarés à l’ANS4 laquelle
prestataires de services ayant accès à une fera le lien avec l’ANSSI, outre, en cas de
infrastructure critique. violations engendrant un risque pour les
droits et libertés des personnes, notifiés à la
D’autres exigences relèvent de référentiels Cnil, sans préjudice d’une plainte pénale.
portant des recommandations, dont
récemment le Guide sur la cybersécurité des Ou comment la cybersécurité est devenue
DM et DMDIV de l’ANSM. un sujet presque aussi juridique que
technique…
Au regard de ce qui précède, la rédaction

www.lerins.com

4 Décret 2022-715 du 27-04-2022 relatif aux conditions et aux modalités de

mise en œuvre du signalement des incidents significatifs ou graves de sécurité
des systèmes d’information

47 Marguerite BRAC DE LA PERRIÈRE / Cabinet LERINS

 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

9. Les âneries courantes

Il y a certaines erreurs de base à éviter à tout l’ingénieur réseau promu RSSI) ou d’un
prix lorsque l’on se retrouve sur un poste de autre secteur (exemple : le consultant qui se
RSSI. retrouve RSSI en CHU). Elles sont à identifier
rapidement, car elles sont coûteuses en
J’en ai moi-même commis certaines, et temps, en réputation et impactent donc
elles se voient surtout chez les nouveaux- indirectement l’efficacité future du RSSI,
venus dans la profession, à fortiori lorsqu’ils quand elles ne mènent pas directement à
viennent d’un domaine technique (exemple : son départ contraint ou négocié.

9.1 Parler de chiffrement homomorphe à un Directeur

Général

J’avais assisté, médusé, à une intervention un obscur geek ou un doux-dingue, c’est la

d’un consultant externe devant un parterre bonne méthode. Un RSSI doit adapter son
de décideurs de type DG, qui leur a décrit discours à son auditoire, c’est même une de
par le menu les rudiments du chiffrement ses qualités premières.
asymétrique. Si vous voulez passer pour

9.2 Faire passer ses idées en force

Le job du RSSI, c’est 99 % de négociation. Les toujours revenir aux basiques, à savoir que
cas sont nombreux d’un RSSI qui se retrouve le propriétaire d’un actif est propriétaire de
devant une direction (MOA, DSI, etc.) qui ses risques. Le DSI se contrefiche que 80 %
se contrefiche de ses recommandations, de son parc PC tourne sur des OS obsolètes ?
de ses préconisations. Allez au clash verbal Pas de problème, on reste amis mais on
est certainement la pire des méthodes : signale, on informe, on trace.

9.3 Aller voir un Directeur Général avec des problèmes

Le cas typique, c’est la découverte d’un moins une alternative : il faut toujours laisser
trou de sécurité majeur sur le SI, qui donne un choix à un décideur.
lieu à une longue explication technique au
DG, explication qui s’arrête là. Le RSSI qui
procède de la sorte à tout faux : il faut certes
expliquer, mais présenter un plan d’action
chiffré (en JH et en €), une stratégie et au

48 APSSIS / Cédric CARTAU

 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

9.4 Prendre systématiquement le parti de la DSI

Par exemple, sur un dossier où la technique DSI, il travaille pour l’établissement. Il doit
(SI) et le métier sont en désaccord et engager les débats vers la recherche d’un
où il faut arbitrer entre la sécurité SI et compromis. Il y a toujours des solutions, plus
l’ergonomie pour les utilisateurs, le RSSI ou moins conformes côté SI et plus ou moins
ne travaille pas pour une MOA ou pour la ergonomiques côté métier. Toujours.

9.5 Croire tout ce que l’on vous raconte

La DSI vous dit que l’AD est totalement Par défaut, toutes les affirmations que l’on
sécure ? Elle vous ment. La MOA vous dit vous sort sont fausses tant que vous ne les
que les procédures dégradées sont à jour ? avez pas vérifiées, soit vous-même soit à
Mensonge. L’ingénieur système vous affirme partir d’une preuve documentée. La plupart
que les OS des serveurs sont à jours ? du temps ce sont des mensonges de bonne
Balivernes. L’ingénieur réseau vous dit que foi ou par omission, parfois des tentatives de
les VLAN sont filtrés ? Bullshit. vous intoxiquer. Mais tout le monde ment.
Absolument tout le monde.

9.6 Croire que la technique va vous résoudre les

problèmes de sécurité SI

La plupart des problèmes ont une origine

process, et pas technique. On ne les
règle donc pas en mettant encore plus de
technique.

9.7 Croire que la prochaine version du machinware va

régler tous les bugs

Je n’argumente même plus.

49 APSSIS / Cédric CARTAU

 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

10. Les situations délicates

Il existe des situations où le manuel ne suffit
pas forcément.

10.1 La gestion des VIP

C’est le propre des VIP que de réclamer Le triptyque des VIP

un traitement spécifique : si on n’y prend Cela tourne généralement entre la mise
garde, au final leurs demandes passent par en réseau de leur MAC, la synchronisation
le canal hiérarchique en mode injonction et messagerie de leur dernier téléphone
la sécurité se dégrade sans que le RSSI n’y portable reçu à Noël et la synchronisation
puisse rien. Être pro actif, pédagogue et Dropbox / Google Drive.
chercher des solutions, mêmes imparfaites,
est le meilleur moyen de ne pas se retrouver
dans cette situation.

10.2 La gestion des personnes difficiles

Je fais référence aux grincheux, aux mal Les grincheux finissent toujours sur le
lunés, à ceux pour qui cela ne va jamais banc au fond de la cours
assez, jamais assez vite et pour qui le reste D’expérience ces personnages sont assez
du monde devrait être à leur service exclusif : rares. Il y a des femmes, des hommes, et
se voir imposer, en plus, des contraintes de les informaticiens ne sont pas épargnés,
SSI relève à leurs yeux au mieux du crime de ne leur en déplaise. Ils n’enquiquinent
lèse-majesté, au pire de la pendaison suivie pas seulement le RSSI : ils enquiquinent
d’un écartèlement en place de Grève (ou joyeusement tout le monde, y compris leurs
l’inverse) du malheureux. collègues, confrères, subordonnés, etc. Et
ils finissent presque toujours par se mettre
Il n’y a que deux règles à respecter avec ce eux-mêmes au banc du groupe.
genre de personnages, en plus de la même
proactivité que pour les VIP :

• rester factuel, ne mettre aucun affect dans

les échanges ;
• couper toute discussion dès que le ton
devient agressif, les échanges insultants,
etc. ; et dans ce cas remonter cela à la
hiérarchie.

50 APSSIS / Cédric CARTAU

 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

10.3 Les profils de savant fou

Il s’agit du gars qui a 200 idées par minutes, Cloud et savants fous
la plupart totalement infaisables en termes Avec le Cloud, ils n’ont même plus besoin
d’industrialisation et encore plus de de la DSI pour mettre à disposition des
réglementaire ou de SSI. Souvent il s’agit serveurs ou des partages de fichiers, et
d’une personne qui développe à fond du code vous découvrez un beau matin que le
logiciel sur son temps personnel et qui est bonhomme (ce sont quasiment toujours
persuadé de rendre service à l’Organisation des hommes) a développé et fait tourner
en déployant en douce un logiciel écrit sous un système de gestion critique avec des
ACCESS (ou PARADOX, ou 4D) pour gérer rappels SMS à tout-va et des données ultra
les blocs opératoires, le flux critique de sensibles en clair, le tout hébergé sur un
médicaments ou les patients ultra sensibles. serveur en Roumanie.

Paradoxalement ils sont bien plus dangereux Seul le réglementaire (RGPD entre autres)
que les grincheux ci-dessus (pour ces brandi sous le nez de leur chef permet de
derniers, les demandes excèdent rarement calmer les ardeurs des personnes en question.
l’informatique personnelle) : vous fermez Tracer par mail le fait que l’institution se
une porte et ils passent par la fenêtre, et dégage de toute responsabilité et que la
il faut continuellement les garder sous responsabilité intuitu personae civile et
surveillance. pénale du chef de service est engagée, en
général cela fait bouger les lignes.

10.4 La gestion de crise

Il n’existe pas de manuel pour une gestion

de crise, puisque la crise est justement ce Les entraînements sont nécessaires mais ont
pour quoi il n’existe pas de manuel3. leurs limites inhérentes. Les exercices formels
permettent de détecter des problèmes
Les REX des entreprises qui ont subi des techniques (documentation inaccessible,
crises IT majeures font ressortir que c’est SPOF, etc.) et organisationnels (connaissance
justement pendant les temps de crise que non partagée d’une architecture, etc.) mais
les personnalités se révèlent : le timide du en aucun cas de reproduire le niveau de
fond du couloir s’avère d’une impassibilité stress d’une vraie crise.
salutaire - un vrai pilier pour le reste de
l’équipe -, alors que le fort en gueule se délite
totalement. Il n’y a pas de règles, certains
sont plus aptes que d’autres à gérer ce genre
de situation et ce n’est pas un jugement de
valeur.
3 Cette définition fait débat ; Il en existe d’autre mais je trouve que c’est la plus
représentative des situations que j’ai pu vivre.

51 APSSIS / Cédric CARTAU

 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

La gouvernance des données

Par Philippe LOUDENOT, Membre d’honneur de l’APSSIS et Cyber Security Strategist - BlueFiles

Approche métier : Point de vue de Philippe LOUDENOT

1. Approche Data

Les organisations, qu’elles soient place les mesures permettant d’assurer la

publiques ou privées, ont entamé depuis confiance à l’égard des chaînes de valeur des
de nombreuses années la mise à profit données ; notamment de leur partage et de
des avantages apportés par les nouvelles l’accès à celles-ci. Leur exposition peut poser
technologies. Cependant, force est de de graves dangers pour une organisation ou
constater que cela est souvent réalisé avec un individu. Face aux risques de fuites et aux
une vision exclusivement technique, à menaces de cybersécurité, la protection des
reproduire à l’identique ce qui était traité données est plus importante que jamais.
« manuellement » sans toutefois mettre en

2. La mise en place d’une stratégie de gouvernance

des données.

Une telle orientation peut être faite pour de lorsqu’elles entreprennent leur virage
nombreuses raisons comme, par exemple : numérique n’est pas de nature technique ;
il s’agit plutôt de préserver la confiance à
• la volonté d’améliorer la qualité des l’égard des chaînes de valeur des données.
données de l’entreprise, Il faut faire preuve d’une grande confiance
• les capacités analytiques grâce à des pour permettre le partage de ses données et
données plus qualifiées, leur utilisation par des tiers qui se trouvent à
• la suppression ou correction de mauvaises l’extérieur de la sphère de contrôle.
données (doublons, incomplètes),
• améliorer la compréhension des données, Pour réellement protéger des données, il
• se mettre en conformité réglementaire, faut des règles régissant cette protection.
etc. Cette réglementation doit être connue
de tous les collaborateurs et tous doivent
Cependant, le principal obstacle auquel la savoir qu’elle existe. Il faut que celle-
plupart des organisations sont confrontées ci soit expliquée aux équipes et que les

52 Philippe LOUDENOT
 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

bonnes pratiques pour la respecter soient n’importe quelle personne malveillante est
partagées. L’outillage mis à disposition des en capacité d’intercepter le contenu de ces
utilisateurs se doit d’être simple et ne pas échanges, et, sans penser systématiquement
remettre en cause les habitudes de travail. à malveillance, une erreur peut mettre en
Un écosystème de partage des données bien visibilité la teneur des échanges.
rodé est un outil essentiel qui aidera votre
organisation à prendre le virage numérique Il en est de même lors des échanges
tout en préservant la confiance. nécessaires pour le fonctionnement d’une
structure de santé. Beaucoup de données
Aujourd’hui les modalités d’échange avec doivent ainsi faire l’objet de précautions et
les professionnels de santé se multiplient : de protections : quelles soient stratégiques,
nous communiquons par applications financières, de recherches, de rapports,
de télémédecine, par téléphone, par etc. autant de données qui présentent de
mail. Toutefois, si l’on peut penser que le forts enjeux. Ainsi les données de santé,
développement des échanges dématérialisés éminemment sensibles, et pour lesquelles le
peut sembler corrélé à celui des nouvelles RGPD impose leur nécessaire protection ne
technologies, rien n’est moins vrai : cette sont pas les seules au sein d’une structure
pratique existe en effet depuis l’Antiquité ; de santé ou médico-sociale à devoir être
d’après Joël Coste, directeur d’études sécurisées. Les données « ressources
d’Histoire de la médecine à l’EPHE : «La humaines », les rapports financiers, de
consultation épistolaire est déjà attestée à surveillance et de contrôles sont autant
l’époque romaine : par exemple, Sénèque de données sensibles, qu’il convient de
y fait allusion dans une lettre destinée à protéger, notamment lors des transferts
Lucilius». C’est bien plus tard, au 18e siècle, et échanges par messagerie. Il convient
que la pratique se développe jusqu’à devenir de respecter le « besoin d’en connaître ».
un mode de consultation à part entière. A titre d’exemples, quelques sujets pour
lesquels avez-vous mis en place des mesures
Il est cependant étonnant de s’apercevoir particulières concernant les échanges de
qu’un échange épistolaire du 18ème est données dans le cadre :
mieux protégé que les échanges mail
d’aujourd’hui : Si un courrier est mis sous plis • de la certification des comptes,
et envoyé ainsi protégé à son destinataire, • de la réception de documents en
l’email, quand à lui, est disponible à la lecture provenance de patients, de leurs famille ou
de tous, comme une carte postale l’est pour accompagnant,
le facteur ! Ce moyen de communication • des échanges avec différents fournisseurs,
presque instantanée est utilisé pour des collectivités…
échanges de santé/patient (ou famille,
accompagnant) avec des informations
confidentielles sans pour autant que celles-
ci soient chiffrées. Et pourtant la protection
des données est une obligation légale si les
données sont à caractère personnel. Sur
l’ensemble de la chaîne de traitement d’un
mail entre tous les serveurs intermédiaires,

53 Philippe LOUDENOT
 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

3. Comment mesurer la sensibilité des données

Une information sensible est une donnée y permettant l’accès pour les personnes
nécessitant une protection contre l’accès autorisées. Il s’agit d’une simple formation
non autorisé, afin de préserver la sécurité fondamentale, permettant à tous les
d’un individu ou d’une organisation. employés de saisir les risques de sécurité
liés au traitement d’informations et de
Les informations sensibles se distinguent des découvrir les techniques permettant de les
informations publiques, car elles ne peuvent protéger. Pour renforcer la confidentialité,
pas être consultées à partir d’un dossier sans on peut citer le chiffrement de données,
restriction. Ainsi, l’exposition de ces données les mots de passe, l’authentification à deux
sensibles peut avoir des conséquences facteurs, la vérification biométrique ou les
néfastes pour la confidentialité d’une jetons de sécurité.
personne ou les finances d’une organisation.
Afin de déterminer comment traiter les Il est préférable de limiter l’exposition et les
données, il est important de pouvoir mesurer transferts des données au strict minimum
leur sensibilité. Pour ce faire, on peut se et en utilisant les moyens permettant de
baser sur la confidentialité, l’intégrité et garantir le besoin d’en connaître.
la disponibilité des données. Il faut aussi
considérer l’impact qu’aurait l’exposition de L’intégrité des données désigne leur
ces informations sur une structure. cohérence, leur exactitude et leur fiabilité
tout au long du cycle de vie. Les données
Cette façon de mesurer la sensibilité des sensibles ne doivent pas pouvoir être
données est recommandée dans le guide du modifiées pendant un transfert, et ne
Federal Information Processing Stanrdards devraient pas pouvoir être altérées par des
(FIPS) élaboré par le National Institute of personnes non autorisées en cas de fuite de
Standards and Technology (NIST). données.

La confidentialité est liée à la vie privée. Enfin, la disponibilité consiste à s’assurer

Les entreprises peuvent mettre en place que toutes les informations sensibles et
des mesures pour empêcher l’accès non systèmes informatiques restent accessibles.
autorisé aux données sensibles, tout en

4. Les conséquences d’une fuite de données ?

L’utilisation illégitime de vos données : Bien (voire même impossible) de contrôler ces
évidemment, le premier risque en cas de situations. Une telle usurpation peut avoir
fuite de données, c’est l’utilisation illégitime de lourdes conséquences.
de ces informations. Il devient ainsi difficile

54 Philippe LOUDENOT
 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

Les amendes imposées par les autorités : La médiatisation : L’impact négatif généré
Le RGPD impose aux professionnels des par une médiatisation concernant une fuite
règles strictes concernant la sauvegarde de données entraine une dégradation de
et l’utilisation de données personnelles. l’image de marque mais également une
En cas d’utilisation « hasardeuse », une perte de confiance qui sera très difficile à
amende définie à 4% du chiffre d’affaires regagner.
de l’entreprise concernée est appliquée.
Et ce montant peut être multiplié suivant La perte de données peut paralyser une
certaines situations. structure : Les fuites de données entraînent
parfois des pertes d’informations capables
Une perte de temps : Outre les impacts de paralyser les activités d’une entreprise
financiers, une fuite de données engendre ou société. Généralement, ces situations
bien souvent des pertes de temps précèdent des tentatives de ransomwares
considérables. En effet, ce type de situations (récupération de fichiers suite à un paiement
peut bouleverser rapidement l’organisation par crypto-monnaies).
d’une entreprise ou société.

5. 5 conseils pour éviter la fuite ou le vol de données

Pour éviter les effets négatifs d’une perte pratiques de manipulation des données et
massive d’informations sensibles d’une particulièrement leurs échanges,
organisation, il est judicieux de mettre • adopter le chiffrement des données
en œuvre des stratégies à dimension particulièrement durant leur transfert.
technologique et humaine : Proposer et mettre en œuvre des solutions
de confiance !
• connaître avec précision les informations
qui nécessitent le plus de protection que ce Pour simplifier, on peut dire que la
soit pour l’intérêt de l’organisme ou parce gouvernance des données consiste à savoir
que la réglementation l’impose (ex RGPD), où se trouvent vos données, comment elles
• créer une politique de sécurité des données sont utilisées et si elles sont bien protégées,
en prenant en compte les besoins métiers particulièrement lors de leurs envois ou
propres et les moyens les plus efficaces pour transferts. Une bonne gouvernance garantit
sécuriser les données, tout en respectant le outre l’intégrité et la cohérence des données,
bon équilibre en risque et productivité, mais empêche aussi qu’elles soient utilisées
• sensibiliser les collaborateurs, anciens ou manipulées à mauvais escient.
comme nouveaux, par rapport aux bonnes

55 Philippe LOUDENOT
 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

11. Pour aller plus loin

11.1 Évolutions à venir du métier

Il y a 10 ans à peine, dans pas mal de Arts et Métiers. Dans les années 80 et 90,
secteurs et entreprises, le RSSI était celui qui le pouvoir s’est déplacé des ingénieurs vers
gérait l’antivirus ou le pare-feu (cf. les types les financiers, et ce sont les HEC et consort
de RSSI, plus haut). Dans les entreprises les qui ont dirigé de facto la plupart des grandes
plus matures, le RSSI est un gestionnaire de entreprises, tout du moins en France.
risques qui se concentre sur ses fonctions
d’audit et de contrôle, de premier ou second Il y a de fortes chances pour que le centre
niveau. de gravité, qui se déplace constamment,
arrive - ou revienne selon le point de vue -
La fonction de RSSI est mature dans une vers les technocrates purs que sont les
entreprise lorsque ce dernier passe entre normalisateurs, les « éditeurs de règles
50 % et 75 % de son temps à auditer, le internes » comme les appelle Pierre-Yves
reste à se faire auditer (conformités aux Gomez. Le pouvoir risque de revenir vers les
différentes normes ISO auxquelles sont qualiticiens, les juristes, le DPO et le RSSI.
soumis l’entreprise). Si vous n’en êtes pas convaincus, sachez
que le DPO est une des rares personnes
Selon que ce volet conformité va devenir dans l’entreprise qui a le pouvoir virtuel de
ou pas juridiquement ou commercialement stopper un projet (les conseils et alertes qu’il
coercitif (l’entreprise est soumise à la prodigue sont difficiles à passer sous silence
certification des comptes, qu’elle le veuille au bout d’un moment) et ce, sans disposer
ou non, mais garde encore une marge de d’aucun pouvoir hiérarchique.
manœuvre pour ce qui est d’autres normes,
mais pour combien de temps encore ?), la La place et la tour
fonction RSSI a de bonne chance d’évoluer C’est sous ce titre que Niall Ferguson, un
vers un département de Conformité. des plus prolixes historiens actuel, analyse
l’Histoire depuis l’aube du XVIIIème siècle,
Comme à chaque mutation majeure selon un angle de vue pour le moins
dans l’entreprise, il y a compétition pour surprenant : la compétition constante
déterminer qui des différents profils tiendra entre la hiérarchie (la tour) et les réseaux
la dragée haute aux autres et dirigera, (la place). Le réglementaire (notamment
de façon formelle ou informelle. Dans les le RGPD) est dans une certaine mesure le
années 50 et 60, les entreprises de techno retour du réseau face à la hiérarchie.
type France Telecom ou des entreprises du
secteur de la Défense étaient, de fait, pilotées Que le RSSI et le DPO rejoignent donc
par des ingénieurs. On assistait même à des à terme un département Conformité /
formations de baronnies informelles - telle Contrôle-audit interne ne fait plus de
école d’ingénieur noyautait telle entreprise, doute. L’évolution des deux métiers vers
on pense par exemple aux Mines ou aux du juridique et du contrôle, dans les deux

56 APSSIS / Cédric CARTAU

 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

cas, peut laisser à penser que leur raison Après, le propre des prévisions est d’évoluer
d’être est de fusionner. On va alors assister constamment, et il y a ne serait-ce que 5
à la naissance d’un processus extrêmement ans je n’aurais pas écrit les mêmes lignes. La
puissant au sein des entreprises, il n’est boule de cristal n’existe pas encore, qui me
d’ailleurs même pas certain que la Qualité permettra de prédire sans risque d’erreur les
leur reste longtemps rattachée. 5 prochaines années.

11.2 Connaissances annexes indispensables

Certaines connaissances non techniques Dit autrement, les « soft skills » font partie
peuvent être d’une grande utilité pour intégrante du bagage indispensable du RSSI
comprendre et interpréter le comportement intergalactique / tout terrain : se focaliser
des personnes, des services, des groupes uniquement sur les compétences techniques
d’utilisateurs. L’exemple le plus connu est est un mauvais choix sur le long terme.
l’ingénierie sociale, qui est à la base d’un
bon nombre d’attaques telles la fraude au
Président ou les phishings sur Internet.

Il est utile, pour un RSSI, de connaître à

minima :

• le concept de la pyramide de Maslow qui

traite de l’échelle des besoins ;
• l’expérience de Asch qui met en évidence
les comportements de conformité ;
• toute la théorie des biais de décision, dont
un des meilleurs spécialistes français est
Olivier Sibony ;
• les bases de la négociation ;
• les bases de la PNL (Programmation Neuro
Linguistique) ;
• les bases de la socio dynamique ou autre
méthode d’analyse comportementale ;

57 APSSIS / Cédric CARTAU

 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

12. Annexe 1 : Les 10 commandements

Commandement n°1 : tout le monde vous ment
Commandement n°2 : consacrer au moins 25 % de son temps à de la veille technologique,
juridique et réglementaire

Commandement n°3 : se souvenir que les incidents sur le SI sont autant causés par des
dysfonctionnements organisationnels que par des soucis techniques
Commandement n°4 : rester en conseil, alerte et audit, la MOA est seule propriétaire de ses
risques
Commandement n°5 : audits et contrôles sont les meilleurs amis du RSSI
Commandement n°6 : adapter son discours à son auditoire

Commandement n°7 : la négociation est plus efficace sur le long terme que le passage en
force, les ennemis coûtent trop cher au RSSI
Commandement n°8 : le RSSI dispose de la meilleure fenêtre de tir pour faire avancer ses
projets après un crash
Commandement n°9 : avant d’acheter des logiciels payants et chers, bien s’assurer que l’on
est arrivé au bout du potentiel d’un simple traitement de texte et des outils en Open Source
Commandement n° 10 : si vous croyez avoir une idée ou un problème, quelqu’un les a
forcément eus avant vous ; même cette idée je l’ai piquée à quelqu’un d’autre

Bonus 1, proverbe chinois : les tuiles des toits ont toutes été posées par temps sec
Bonus 2, autre proverbe chinois : quand tu ne sais pas quoi dire, cite un proverbe chinois

58 APSSIS / Cédric CARTAU

 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

13. Annexe 2 : bibliographie

13.1 Management de la sécurité des systèmes

d’information

« La sécurité du système d’information des établissements de santé », Cédric CARTAU,

Presses de l’EHESP, 2ème édition
« Management de la sécurité de l’information », Alexandre FERNANDEZ-TORO, Eyrolles

13.2 Ouvrages techniques

« Résistez aux hakers », Cédric BERTRAND, Vuibert

A télécharger sur le site de l’APSSIS, les ouvrages sur la cyber résilience
Opus 1 : la gestion des mots de passe
Opus 2 : les cyber attaques
Opus 3 : les habilitations d’accès aux données
Opus 4 : la sécurisation du Cloud
Opus 5 : les indicateurs

13.3 Ouvrages généralistes sur la gestion des risques

« Peut-on vivre sans risque », Jean-Marc CAVEDON

« Obfuscation », Helen NISSENBAUM, C&F éditions
« La gestion des risques », Olivier HASSID, Dunod

13.4 Ouvrages sur la sociologie du traitement des

risques

« Les décisions absurdes. Sociologie des erreurs radicales et persistantes », Christian MOREL,
Paris, Gallimard, coll. « Bibliothèque des sciences humaines », 2002.
« L’inquiétant principe de précaution », Gérald BRONNER
« Vous allez commettre une terrible erreur », Olivier SIBONY

59 APSSIS / Cédric CARTAU

 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

13.5 Soft skills

« Saint Germain ou la négociation », Francis WALDER

« Comment réussir une négociation », Roger FISHER, Bruce PATTON
« Négocier avec des gens difficiles », Roger FISHER, Bruce PATTON

60 APSSIS / Cédric CARTAU

 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

14. Annexe 3 : ressources documentaires

14.1 Revues

http://www.dsih.fr avec le formulaire d’abonnement

14.2 Sites institutionnels

http://www.ssi.gouv.fr/
http://www.metiers-fonctionpubliquehospitaliere.sante.gouv.fr
http://signalement.social-sante.gouv.fr
http://cyberveille-sante.gouv.fr
http://cybermalveillance.gouv.fr

14.3 Sécurité des systèmes d’information

http://www.apssis.fr/

14.4 Blogs

http://www.volle.com
http://www.laurentbloch.org/fr/
http://sehiaud.blogspirit.com/
http://vblog.io
http://korben.info/n-guide-hygiene-informatique-particulier.html

14.5 Droit

http://www.hospidroit.net/

61 APSSIS / Cédric CARTAU

 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

14.6 Dépôt de preuve numérique

http://www.mapreuve.fr/

14.7 Sites de formation

http://www.internetsanscrainte.fr
https://www.cybersimpel.be/fr
Le MOOC de l’ANSSI, une référence : https://secnumacademie.gouv.fr
Le MOOC de la CNIL : https://atelier-rgpd.cnil.fr/login/index.php
Un outil de formation, aussi bien pour les sysadmin que les utilisateurs : https://sudo.
pagerduty.com
MOOC Vigipirate : https://vigipirate.gouv.fr/

14.8 Outils de sensibilisation

Un petit outil sympa d’auto évaluation de ses propres objectifs personnels de sécurité :
https://securityplanner.org
Un outil de sensibilisation au phishing : https://phishingquiz.withgoogle.com

14.9 Chaines Youtube spécialisées

Micode : https://www.youtube.com/channel/UCYnvxJ-PKiGXo_tYXpWAC-w
Paf le Geek : https://www.youtube.com/channel/UCCSHWqosFfYJY5v2WqbTLhg

62 APSSIS / Cédric CARTAU

 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

14.10 10 Vidéos sur la SSI

14.10.1 Clip Airbus

https://www.youtube.com/watch?v=yBL4eco0NCs
https://www.youtube.com/watch?v=kiw4B00iJzs
https://www.youtube.com/watch?v=kiw4B00iJzs

14.10.2 Divers
Vidéo sur l’ingénierie en ligne : https://www.youtube.com/watch?v=79uD8mX7oeM
Nothing To Hide : https://vimeo.com/193515863
Festival du film sur la SSI : https://portail-ie.fr/short/1486/1ere-edition-du-festival-du-film-
securite-le-palmares-en-videos

14.10.3 RGPD
Le RGPD expliqué par la CNIL dans une vidéo youtube : https://www.youtube.com/
watch?time_continue=77&v=OUMGp3HHel4

14.11 Ressources documentaires

MindMapping sur les concepts SSI : https://www.amanhardikar.com/mindmaps.html

Guide de la CNIL pour chiffrer ses documents : https://www.cnil.fr/fr/comment-chiffrer-ses-
documents-et-ses-repertoires
Kit de sensibilisation : https://www.cybermalveillance.gouv.fr/tous-nos-contenus/a-propos/
kit-de-communication
Vue d’ensemble des malwares : https://docs.google.com/spreadsheets/d/e/2PACX-1vRCV
zG9JCzak3hNqqrVCTQQIzH0ty77BWiLEbDu-q9oxkhAamqnlYgtQ4gF85pF6j6g3GmQxivuvO
1U/pubhtml#
Quick Wins pour les RSSI : https://goupilland.net/articles/quickwins-rssi/
La boite à outils ANSSI : https://www.ssi.gouv.fr/agence/cybersecurite/cybermois-2019/la-
boite-a-outils/

14.12 Serious Game

http://targetedattacks.trendmicro.com

63 APSSIS / Cédric CARTAU

 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

14.13 Podcast

https://www.comptoirsecu.fr/

14.14 Fiches métier SSI

Annuaire des métiers du CIGREF, version 2021

https://www.cigref.fr/wp/wp-content/uploads/2021/12/Cigref-Nomenclature-RH-des-
profils-metiers-du-SI-version-intermediaire-2021.pdf
Répertoire des métiers de la FPH
https://metiers-fonctionpubliquehospitaliere.sante.gouv.fr
Métiers de la cyber, panorama de l’ANSSI :
https://www.ssi.gouv.fr/guide/panorama-des-metiers-de-la-cybersecurite/

64 APSSIS / Cédric CARTAU

 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

15. Annexe 4 : les outils

Ne sont listés que les outils gratuits ou ceux qui offrent une version non limitée dans le
temps (mais qui peut être bridée dans les fonctionnalités).

15.1 Mot de passe

Coffre fort : https://keepass.info/

Calcul de force / complexité de mot de passe : https://www.ssi.gouv.fr/administration/
precautions-elementaires/calculer-la-force-dun-mot-de-passe/

15.2 Boites aux lettres

Adresse mail jetable : http://www.yopmail.com/

Boites aux lettres sécurisées : https://protonmail.com/
Messagerie sécurisée : https://www.olvid.io/fr/
Messagerie sécurisée instantanée : https://signal.org/fr/
https://element.io/

15.3 Analyse d’un AD

https://www.pingcastle.com/
https://www.purple-knight.com/

15.4 Détection de compromission d’un compte

HaveIBeenPawned : https://haveibeenpwned.com/
Firefox Monitor : https://monitor.firefox.com/

15.5 Analyse d’une messagerie

Test de la robustesse et conformité d’une messagerie : https://mecsa.jrc.ec.europa.eu

Scan de conformité de serveur de messagerie : https://ssi.economie.gouv.fr
Test d’indésirabilité (spam) de ses mails : https://www.mail-tester.com/

65 APSSIS / Cédric CARTAU

 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

15.6 Solution MFA

Qwerty card : https://www.qwertycards.com/

http://www.passwordcard.org/fr

15.7 Outil d’analyse réseau

Analyse des trames sur un LAN : https://suricata.io/

Scan de réseau domestique avec recherche de vulnérabilité : https://www.bitdefender.com/
solutions/home-scanner.html
Nmap : https://nmap.org/zenmap/
Outil domestique : https://www.advanced-ip-scanner.com/fr/

15.8 Protection antivirale

Scanner de Microsoft : https://docs.microsoft.com/en-us/windows/security/threat-

protection/intelligence/safety-scanner-download
Le site de Virus total : www.virustotal.com
Scanner en ligne : https://www.f-secure.com/fr/home/free-tools/online-scanner

15.9 Vérification de compromission ou de réputation

d’un site Web

https://global.sitesafety.trendmicro.com/
https://www.urlvoid.com/
https://talosintelligence.com/
https://internet.nl/
https://observatory.mozilla.org/
https://safeweb.norton.com/

Vérification de typo squatting : https://brand-alert.whoisxmlapi.com/api

66 APSSIS / Cédric CARTAU

 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

15.10 Scanners

Scanner d’IoT : https://www.shodan.io/

Contrôle de fonctionnement d’un site Web : https://zonemaster.net/domain_check
Test des MX : https://mxtoolbox.com/
Test de configuration SSL : https://www.ssllabs.com/ssltest/index.html
https://www.hardenize.com/
https://www.purplemet.com/
https://securityscorecard.com/

15.11 Chiffrement

http://www.truecrypt.org/
http://www.axantum.com/AxCrypt/
https://www.mybluefiles.com

15.12 Carte des attaques mondiales en temps réel

https://cybermap.kaspersky.com/fr/stats/

15.13 Anonymisation

http://ipjetable.net/

15.14 Test de phishing

https://phishinsight.trendmicro.com/?v2

67 APSSIS / Cédric CARTAU

 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

15.15 Divers

Calculer le prix de vos données personnelles : https://simulator.drdata.io/

Outil de test de maturité de la sécurité du SI : https://www.zensi.fr/outils/maturite_ssi/
mssi-2011.html

15.16 Portails Open Source

http://www.framasoft.org/
http://www.novaforge.org/
http://www.open-source-guide.com/
https://sill.etalab.gouv.fr/software

68 APSSIS / Cédric CARTAU

 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

16. Annexe 5 : ce que le DPO n’est pas

16.1 DPO, ce que cela n’est pas

Il arrive assez régulièrement que des semble plutôt relever des compétences d’un
confrères DPO me contactent pour me DPO que de celle d’une MOA.
signaler certaines de leurs difficultés dans
l’exercice de leur mission, et cela tourne On m’a rapporté un jour le cas d’un RT qui
régulièrement autour du même sujet : refusait obstinément un risque en particulier
leur responsable de traitement (RT) refuse dans l’analyse réalisée par le DPO, et qui
de mettre en œuvre les préconisations de posait comme condition à la signature du PIA
sécurité dudit DPO, entendre par là les le retrait du risque en question (ce cas semble
mesures destinant à réduire les risques rare). Si le DPO acceptait de retirer cette ligne
identifiés. Le confrère en question me de son analyse des risques, il commettrait
demande alors comment contraindre le une erreur : en cas de survenance du risque
RT à appliquer les mesures en question. correspondant justement à cette fameuse
Il me semble qu’il y a là une erreur de ligne et en cas de contrôle de la CNIL, il lui
positionnement, et cela vaut bien un billet. serait reproché de n’avoir pas mentionné
ce risque dans son analyse (et à ce moment
Les articles 38 et 39 du RGPD sont tout à vous vous doutez bien que les personnes
fait explicites : le DPO a un rôle de conseil lui ayant demandé de retirer cette ligne
et d’alerte, il ne reçoit pas d’instruction seraient subitement atteinte d’une amnésie
(au sens où personne n’a à lui dicter ses généralisée, le laissant gros-jean comme
actions) et il est indépendant. Prenons devant). La réponse est simple : le DPO ne
l’exemple d’un traitement qu’un RT voudrait reçoit pas d’instruction, personne n’a à lui
mettre en place : si le RT contourne le DPO dire quelle analyse il fait de telle ou telle
(intentionnellement ou pas), c’est clairement situation, il est seul avec sa conscience dans
contraire à l’article 38-1 qui dit que le DPO ce contexte. Le RT peut parfaitement refuser
doit être associé pour qu’il soit en mesure, de signer le PIA, mais dans ce cas le DPO doit
justement, de jouer son rôle de conseil et matérialiser le fait que, tel jour et telle heure,
d’alerte. Dans un tel cas, la responsabilité le PIA a été présenté au RT qui a refusé de le
du DPO est totalement dégagée et celle signer, et consigner ce dysfonctionnement
du RT doublement engagée si un contrôle dans son rapport annuel. Si de plus le risque
des autorités relevait un manquement au en question est majeur (ce qui était le cas
RGPD en plus du fait que le DPO n’a pas été dans l’exemple cité), en cas de survenance
consulté. du risque le RT (qui non seulement a voulu
mettre le problème sous le tapis, mais en
L’esprit du RGPD semble être qu’il n’est plus n’a rien fait pour le régler) devrait se
pas du ressort du DPO que de réaliser une justifier doublement auprès des autorités de
appréciation des risques - il doit plutôt contrôle, le DPO quant à lui serait totalement
assister le RT dans la réalisation de celle-ci -, exempt de reproche. La traçabilité des
même si dans les faits le niveau technique échanges est très clairement l’assurance-vie

69 APSSIS / Cédric CARTAU

 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

du DPO. le même registre, si un RT demandait au

DPO de réaliser l’analyse des risques d’un
Evidemment, cette position du DPO, traitement, ce dernier pourrait refuser au
confortable par certains aspects, peut être motif que cela n’est pas dans sa mission,
déroutante par d’autres. Un RT pourrait qui se borne éventuellement à fournir une
parfaitement valider une appréciation des méthode d’analyse de risque documentée
risques, et pour autant décider de ne prendre et à former le RT sur cette méthode. Le RT
aucune des mesures recommandées par le pourrait, en contrepartie, refuser de prendre
DPO. C’est le problème du RT et de lui seul, et ladite méthode argumentant qu’il a déjà la
le DPO doit « faire son deuil » de sa capacité sienne.
à imposer à un RT des décisions qu’il faudrait
prendre (selon le DPO) mais pour lesquelles Plus sérieusement, il est important de
il n’est justement pas décideur : c’est le RT retenir cette dualité entre celui qui a
et lui seul qui décide, ou pas, de suivre les un rôle de conseil, et celui qui décide
recommandation du DPO et il est souverain et qui est propriétaire de ses actifs (et
dans cette décision. Une fois que le DPO les risques en font partie). Un DPO dont
s’est bien assuré que son rôle de conseil 100 % des recommandations ne sont pas
et d’alerte a été joué, et que le RT a bien systématiquement suivies ne doit pas le
compris les risques encourus, ce qui suit prendre comme une attaque personnelle,
n’est pas de son périmètre de décision. Le mais simplement comme le fait qu’une
RT est propriétaire de ses risques, et jusqu’à MOA fait face à une somme de contraintes
preuve du contraire ce n’est pas le DPO qui multiples (dont le RGPD fait partie mais n’en
dirige l’entreprise. n’est qu’une composante), que diriger c’est
faire des choix et que parfois le choix n’est
Cela peut donner des situations cocasses (et pas celui d’une conformité à 100 %. Enfin,
les exemples qui suivent sont bien entendu un DPO qui irait souvent au clash avec ses
caricaturaux et ne servent qu’à illustrer le RT devrait se poser des questions sur sa
propos de l’article). Imaginons une MOA pratique professionnelle .
qui demanderait à son DPO de réaliser la
compilation de tous les risques RGPD de Ah, j’allais oublier : RSSI c’est pareil.
l’établissement : le DPO serait en droit de
retourner la question et de répondre à sa
MOA que c’est lui, le DPO, qui demande à sa
MOA un état des lieux des risques RGPD de
l’établissements, et qu’il choisit justement
ce thème pour son prochain audit RGPD.
Inversement, sur un dossier bien tordu dont
le DPO voudrait se mêler, la MOA pourrait
tout à fait signifier au DPO que ses services
ne sont pas requis sur ce dossier, la MOA
pourrait d’ailleurs refuser de répondre à la
demande d’audit du DPO sur ce traitement
(refus que le DPO devra bien entendu
consigner dans son rapport annuel). Dans

70 APSSIS / Cédric CARTAU

 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

16.2 DPO, ce que cela n’est pas - suite

Il n’était pas prévu de faire un second allumettes d’un PIA incomplet : en tant que
volet, mais à la suite du premier article DPO, je préfère être dans la situation d’un
(ici1) et du grand nombre de remarques PIA complet et non signé (avec traçabilité
et commentaires (notamment de Boris de la présentation au RT) que de parier sur
MOTYLEWSKI, créateur entre autres de le strict rôle de conseil et d’alerte supposé
www.cybersecu.fr), il semble important de protéger un DPO. Cela étant, ce n’est qu’un
faire quelques précisions. avis.

Tout d’abord, citant le cas d’un confrère à qui A partir de là se posent deux questions :
son RT avait demandé de retirer un risque du comment un DPO peut-il faire connaître
PIA sous peine de ne pas signer, j’ai écrit que aux MOA que sa présence est nécessaire
« si le DPO acceptait de retirer cette ligne sur l’analyse RGPD des traitements mis en
de son analyse des risques, il commettrait œuvre, et comment peut-il habilement
une erreur …/… et en cas de contrôle de jouer avec une carotte et un bâton que la
la Cnil, il lui serait reproché de n’avoir pas réglementation de lui accorde pas.
mentionné ce risque dans son analyse ». En
toute rigueur, c’est faux : le DPO peut écrire Sur la première question, le DPO doit bien
n’importe quoi dans le PIA, au final c’est le entendu se faire connaître de tous, et
RT qui en est responsable. ceci par tous les canaux à sa disposition.
Réunions de service, de pôle, comité machin,
Dans la pratique, il faut nuancer : la plupart coproj bidule, lettre d’information dans le
du temps, même si l’analyse des risques est bulletin de salaire, journal interne, etc. A
débattue avec le RT, dans les faits c’est bien minima, la DSI, les directions techniques,
le DPO qui rédige le PIA - rien d’anormal les directions de RetD, les directions
à cela si cela se borne à mettre en forme achats, opérationnelles, les comités
avec des modèles prédéfinis ce que le RT directeurs doivent être adressés par une
a validé. Sauf que, dans le cas cité d’un communication DPO, même rudimentaire.
risque que le RT refuse, si le DPO en reste Cela étant, il est matériellement impossible
là (pas de matérialisation de ce risque dans de s’assurer qu’aucun traitement ne sera mis
le PIA), en cas d’incident le RT aura beau en œuvre sans que le DPO soit sollicité, et
jeu d’argumenter de sa non-expertise et du sur ce coup on ne pourrait pas lui reprocher
défaut de conseil de son DPO. Certes le DPO grand-chose. Une des mesures simples que le
n’a qu’un rôle de conseil et d’alerte, mais DPO peut mettre facilement en œuvre, c’est
en même temps c’est lui qui est supposé de rendre facilement accessible dans tout
détenir l’expertise, et en droit français la l’établissement son registre des traitements
position d’expert est très inconfortable si l’on (ou en tout cas une version édulcorée),
n’est pas capable de prouver que l’on a bien comme cela chacun peut vérifier que son
alerté sa MOA. Il n’y a, à ma connaissance traitement est bien dans la liste et alerter le
sur le RGPD, pas de jurisprudence sur ce cas DPO si besoin.
pas si tordu que cela, mais personnellement
je ne me risquerais pas à jouer avec les

71 APSSIS / Cédric CARTAU

 CYBER RÉSILIENCE - Gouvernance - Le Guide du RSSI Intergalactique - OPUS 6

Sur la seconde question, il y a clairement main ni de moyen de négociation - en gros,

trois types de DPO : dès que cela va coûter trop cher. Clairement
ce positionnement va au-delà de l’esprit du
• celui qui tente par tous les moyens RGPD (pour lequel le DPO a essentiellement
d’imposer au RT les mesures de réductions un rôle de conseil et d’observateur, pas
des risques issues de l’analyse des risques ; d’acteur), mais personnellement j’ai cette
nous avons vu dans le premier article que ce vision duale du rôle de DPO, dont la seule
positionnement est non seulement contraire valeur ajoutée au sein de l’entreprise ne
à l’esprit du RGPD, mais en plus constituerait peut pas (selon moi) se borner à de l’audit
un dysfonctionnement dans la chaîne de interne. On est clairement à la frontière de
commandement, cela voudrait dire en effet l’intrusif, mais une bonne méthode consiste
que c’est le DPO qui dirige la boite ; à poser des questions (c’est comme cela
• celui qui se retranche derrière les textes, que faisait Socrate, il faut juste ne pas finir
rien que les textes et seulement les textes : comme lui) du genre : « cher RT, comment
« j’ai joué mon rôle de conseil et d’alerte, comptez-vous réduire ce risque que vous
vous ne suivez pas mes préconisations, je le avez-vous-même estimé majeur ? » (je n’ai
note dans mon rapport annuel et basta » ; encore jamais connu un RT qui mette la tête
ce genre de de positionnement constitue la dans le sable devant une telle question).
version d’entrée de gamme du DPO ;
• la vision intermédiaire, que je préconise, Mais le vrai challenge d’un DPO, c’est de
voir ci-après. poser les questions poil à gratter, le truc
qui pique les yeux, enfin vous voyez de
Cette vision consiste, pour le DPO, à user quoi je parle…et de rester copain avec son
autant que possible des textes, à la fois RT. Accessoirement, cela permet de ne plus
dans la lettre et dans l’esprit, pour amener déjeuner tout seul à la cantoche.
subtilement les RT (et surtout les fournisseurs)
à réduire les risques, sachant qu’il va exister Ah, j’allais oublier : RSSI c’est pareil.
un point au-delà duquel le DPO n’a plus la

1 https://www.dsih.fr/article/3578/ce-que-le-dpo-n-est-pas.html?&utm_
medium=email&utm_source=nl&utm_campaign=NL316

72 APSSIS / Cédric CARTAU

 84 rue du Luart
06 29 36 59 95 [email protected]
72160 Duneau

www.apssis.com

Licence du document
Auteur : Cédric CARTAU
Ce document est sous licence Creative Commons BY-NC-ND-SA :
- BY : attribution de l’auteur initial
- NC : interdiction de tirer un profit commercial
- ND : impossible d’intégrer le document dans une œuvre composite
- SA : partage de l’œuvre, avec obligation de rediffuser selon la même licence ou une licence similaire (version ultérieure ou localisée)

Création graphique : Corvy-Graphisme - Crédit photo : Freepik