Patrick, RSSI à l'hôpital, gère les incidents de sécurité

Votre métier en quelques mots ?

Responsable de la sécurité et des systèmes d’information (RSSI) au sein de l’un des six Groupements hospitaliers universitaires (GHU) de l’AP-HP (Assistance Publique – Hôpitaux de Paris), je travaille en lien avec tous mes confrères, ainsi qu’avec le RSSI « central » de l’AP-HP.  Il rédige la politique générale de sécurité des systèmes d’information que nous sommes chargés d’appliquer à l’échelle de nos GHU. Je mène une mission de gouvernance et de pilotage. Je travaille avec le délégué à la protection des données (DPO) du GHU, notamment pour l’application du Règlement général de la politique des données (RGPD).

J’anime par ailleurs la filière « sécurité informatique » du GHU en participant aux réunions d’installation des équipements et logiciels, et j’apporte ma contribution sur les mesures de sécurité à appliquer.

Je suis amené à effectuer des communications internes pour la sécurité informatique, afin notamment d’expliquer aux agents les comportements à adopter face à la réception d’emails de phishing ou pour la gestion des mots de passe. Je suis aussi chargé de gérer les incidents de sécurité ; des mesures techniques ont d’ailleurs été mises en place et me permettent de recevoir des alertes sur une console dédiée et d’intervenir en conséquence.

Je suis enfin tenu d’effectuer les contrôles sur les accès des logiciels et des équipements, donc de rédiger des analyses de risque sur les nouveaux matériels qui peuvent être installés localement.

Qu’appréciez-vous dans votre métier ?

Ce métier nécessite beaucoup de relations publiques, car je travaille avec de nombreux collègues des services informatique, technique et avec les professionnels de santé. Le métier de RSSI n’est pas une fonction technique de gouvernance fermée. Il s’agit d’un métier qui demande de la passion mais qui est également stressant car un problème de sécurité peut impacter la prise en charge des patients. Je dois donc en permanence prendre la mesure des risques.

Quel est votre parcours et pourquoi avoir choisi de rejoindre la fonction publique ?

J’ai un parcours atypique car je suis entré dans la fonction publique hospitalière par concours en 1984 car l’opportunité s’est présentée. J’ai commencé dans le secteur administratif, comme adjoint au comptable. Intéressé par l’informatique, j’ai pu rejoindre un poste d’exploitant informatique cinq ans plus tard, toujours à l’APHP.

Je suis ensuite devenu administrateur système des bases de données, et lorsque le poste de RSSI m’a été proposé fin 2019, je l’ai accepté. J’ai toutefois dû me former. Lorsque j’ai rejoint l’AP-HP, je ne pensais pas à un plan de carrière. Mais finalement, avec les possibilités de formation et d’évolution en interne, il est tout à fait possible de l’envisager.

>> A lire aussi : Comment réussir sa mobilité interne dans la fonction publique ?

Comment voyez-vous évoluer votre carrière au sein de la fonction publique ?

Je termine ma carrière dans trois ans. Je n’ai donc plus de prétention. Pour autant, quelqu’un qui est RSSI d’un GHU peut envisager de devenir directeur informatique de GHU ou RSSI de l’APHP.

Un conseil à donner à quelqu’un qui souhaite devenir RSSI ?

Depuis une dizaine d’années, des écoles sont spécialisées dans la cybersécurité. Il est aujourd’hui indispensable de passer par ce parcours éducatif pour détenir un bagage technique et une approche de la réglementation européenne. Le besoin d’experts dans ce domaine est réel.

Au sein de la fonction publique, le métier consiste à appliquer des mesures, sensibiliser les utilisateurs et s’assurer que tout est sécurisé de la meilleure manière possible. En revanche, dans le secteur privé, il est possible de rejoindre des sociétés qui réalisent des audits techniques, ce que nous n’effectuons pas dans la fonction publique. Il est donc important de bien réfléchir à ce que l’on souhaite faire.

>> A lire aussi : L’AP-HP déploie un plan d’actions pour les métiers en tension