Protéger les données à l’ère de la transformation des systèmes d’information de l’Etat

Lors de la matinale organisée par Wavestone « La donnée pour dessiner les services publics de demain » qui s’est déroulée le 2 juillet 2019 au COMET Ternes, Agnès RAMZI, chargée de mission Systèmes d’information des opérateurs nationaux de la Direction générale de la santé du Ministère des Solidarités et de la Santé (DGS) et Yvain TAVERNIER, manager expert en cybersécurité du cabinet Wavestone, ont partagé avec les participants leur retour d’expérience du déploiement de l’outil OSCAR et des méthodes de travail mises en place dans ce cadre.

Cet outil d’industrialisation des démarches d’analyse des risques et de mise en conformité RGPD (Règlement général de la protection des données) – développé par et à destination du réseau des agences sanitaires animé par la DGS – a permis de sensibiliser les collaborateurs aux enjeux de sécurité des systèmes d’information et d’agir sur la valorisation de la filière professionnelle SSI.

La démarche déployée par Agnès RAMZI est gouvernée par une conviction profonde : « Seul, on a le sentiment d’aller plus vite… Ensemble, on est certain d’aller plus loin ! ». Il s’agit de mobiliser l’intelligence collective au service de deux priorités : l’analyse des risques et la sensibilisation des collaborateurs.

La sensibilisation des collaborateurs est au cœur des enjeux de sécurité des systèmes d’information des organisations. En effet, il s’agit de diffuser largement l’idée selon laquelle la cybersécurité est un sujet métier, et non un sujet technique réservé à quelques d’initiés.

Afin de sensibiliser les collaborateurs des agences sanitaires, deux grandes campagnes de sensibilisation – portant sur les risques SSI en tant que tels et sur le règlement général de protection des données – ont été diffusées.

Exemple de campagne de sensibilisation à la sécurité des systèmes d’information

En parallèle du déploiement d’OSCAR, la DGS a mis en place une démarche d’assistance aux chefs de projets des agences sanitaires pour monter en compétence et homologuer les systèmes d’information – à savoir la validation des risques résiduels par leur direction générale. Cette démarche s’inscrit tant dans une logique d’accompagnement au changement, que dans une volonté de créer des synergies entre les acteurs de la SSI des différentes agences sanitaires, souvent seuls au sein de leurs organisations du fait des spécificités de leurs métiers.

L’animation du réseau des responsables de la sécurité des systèmes d’information des agences sanitaires s’inscrit par ailleurs dans une comitologie pragmatique : cinq groupes de travail thématiques (SSI, RGPD, achats SI, données, infrastructures) composantes du comité des directions des systèmes d’information des agences sanitaires (CODSI).

En effet, pour Agnès RAMZI, la valeur ajoutée de la comitologie déployée réside dans sa capacité à créer une véritable communauté, lieu de diffusion des bonnes pratiques et de partage de retours d’expérience, dans une logique d’amélioration continue.