Publicité en cours de chargement...
GHT : stratégie de convergence SSI, partie III
Il est essentiel, dans une stratégie globale à l’échelle d’un GHT, de définir des indicateurs SSI : ils permettent, d’une part, d’objectiver le niveau général d’avancement et, d’autre part, d’afficher le niveau de chaque établissement comparé à celui des autres. Sur ce dernier point, il n’existe pas de meilleur allié du RSSI que l’aiguillon de la comparaison (souvenez-vous de vos années de primaire, quand l’institutrice vous filait une tôle et vous montrait en exemple le bon élève avec la raie au milieu, le pantalon de velours côtelé et la chemise à carreaux…).
La définition d’indicateurs se heurte en général à deux écueils : en déterminer suffisamment pour qu’ils soient représentatifs et couvrent un périmètre optimal, mais pas trop, sinon il sera impossible de les collecter. Dans l’idéal, il faudrait se limiter à une quinzaine tout au plus, et nous proposons pour base de réflexion la liste suivante :
– RSSI et DPO officiellement nommés, les trois applications les plus critiques en conformité avec le RGPD ;
– appréciation des risques à jour ;
– processus d’audit défini et respecté ;
– socle documentaire (PSSI, chartes) à jour ;
– taux d’équipement disposant d’un antivirus à jour, avec une cible de 95 % ;
– taux de couverture des procédures dégradées, qui doivent au moins comprendre les logiciels critiques ;
– taux d’OS PC et serveurs à jour ;
– niveau de protection des composants du dispositif périmétrique (pare-feu) : en l’occurrence, non-présence de failles critiques ;
– taux d’utilisateurs avec des comptes AD sans privilèges ;
– taux d’agents de la DSI disposant d’un compte admin distinct de leur compte utilisateur ;
– taux d’agents de la DSI ayant validé le Mooc de l’Anssi (SecNumEdu) ;
– annuaires AD et RH interconnectés.
Soit 12 indicateurs en tout, dont certains empruntent à la partie organisationnelle, d’autres à la partie technique ; certains sont issus des 42 mesures d’hygiène de l’Anssi, d’autres de la vie courante. Tous sont critiquables, tous sont aussi faciles à collecter qu’à mesurer et, surtout, tous font référence à des items qu’il est aisé de faire progresser.
Pantalon de velours ne va pas trop la ramener…
(1) /article/2873/ght-strategie-de-convergence-ssi-partie-i.html
(2) /article/2883/ght-strategie-de-convergence-ssi-partie-ii.html
Avez-vous apprécié ce contenu ?
A lire également.
Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée
24 avril 2025 - 15:14,
Actualité
- DSIHLa Délégation au numérique en santé (DNS) publie le premier rapport d’activité de la Plateforme d’éthicovigilance du numérique en santé, un dispositif inédit lancé fin 2023 pour recueillir les signalements d’usagers et de professionnels confrontés à des enjeux éthiques liés aux technologies de santé...
Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine
21 avril 2025 - 19:07,
Tribune
-Récemment, un post sur LinkedIn racontait l’histoire suivante : un enseignant soucieux de repérer les élèves qui faisaient rédiger leur copie par ChatGPT transmettait ses consignes sous forme de fichiers PDF dans lesquels il incluait des morceaux de texte en caractères blancs, donc invisibles pour l...
L’arnaque à l’arrêt de travail comme source de réflexion
14 avril 2025 - 21:57,
Tribune
-Soupçonné d’avoir mis en place un site Web permettant d’acheter de « faux » arrêts de travail en quelques clics et pour 9 euros seulement, un jeune homme de 22 ans originaire des Landes est sous le coup d’une accusation et de poursuites diverses. Les faux arrêts de travail étaient générés automatiqu...
Panorama forcément non exhaustif du fléau des arnaques en ligne en ce début 2025
08 avril 2025 - 07:19,
Tribune
-Le temps des mails provenant d’un prince nigérian qui requiert votre aide pour toucher un héritage, ou de la petite Marie qui attend désespérément une greffe, est révolu : les techniques ont évolué, les outils aussi, les réseaux se sont structurés et professionnalisés. Petit panorama, forcément inco...
