Eric Grospeiller  a été nommé en 2008 Fonctionnaire de Sécurité des Systèmes d’Information (FSSI) pour les Ministère de la Santé et du Travail. A ce titre, il est chargé notamment d’aider les RSSI dans le secteur hospitalier. Il fait partie du comité stratégique du Pôle Santé des Assises de la Sécurité et des Systèmes d'Information.

Comment devient-on FSSI au Ministère de la Santé ?
Mon parcours est un peu atypique. Je n’avais pas une vocation innée de RSSI. J’ai d’abord commencé par la formation en informatique et en communication puis j’ai migré naturellement vers le monde des réseaux. En 1996, j’ai participé à la création d’une Web Agency puis j’ai rejoint une SSII ou j’ai occupé des postes de chef de projet,  de responsable qualité et sécurité. En 2004,  j’ai été recruté à l’ANPE comme responsable de la mission Sécurité des systèmes d’information. C’était une tâche complexe car il  a fallu définir un plan, le mettre en place et négocier le budget. En 2007, il y a eu un regroupement des fonctions sécurité et  qualité. Je me suis donc retrouvé avec une  double casquette. Puis l’ANPE avait la volonté  d’élargir l’espace dévolu à la sécurité par la prise en compte des exigences liées aux données à caractère personnel. L’idée était de traiter la sécurité des systèmes d’information au travers du risque informationnel. Une conséquence immédiate aurait été la mutualisation des fonctions de responsable sécurité et de correspondant informatique et liberté.

La mission s’est plutôt bien déroulée mais vous avez ensuite changé de poste ?
Oui, j’ai même été élu RSSI de l’année en 2008 par le magazine 01 Informatique dans la catégorie « Administration-service public ». La même année, j’ai quitté l’ANPE pour  rejoindre le Ministère de la Santé en tant que FSSI. Mon poste consiste toujours à travailler sur la protection des données à caractère personnel mais couvre aussi par exemple le domaine des tous les réseaux sécurisés des secteurs Santé et Travail. Mais d’autres thématiques sont intégrées à ma mission telle que la contribution à des textes transverses ou sectoriels.

Quelles sont les problématiques que vous rencontrez ?
C’est un monde très complexe. Personnellement, c’est un changement : je ne suis plus opérationnel comme avant mais je dois communiquer plus largement car je suis en contact permanent avec des RSSI sur le terrain et leurs directeurs. En fait j’anime deux chaînes : l’une est fonctionnelle et l’autre est technique. Avec mon adjoint Philippe Loudenot, nous définissons des politiques et des orientations qui vont s’appliquer à des problématiques métier très différentes. Nous devons donc nous adapter à notre auditoire. Notre rôle est de faire en sorte que les décideurs prennent en compte la sécurité du système d’information. Il faut leur montrer qu’il y a des risques et que ces risques ne sont pas anodins. Dans notre démarche, nous travaillons étroitement avec l’ANSSI.

Avez-vous noté des évolutions depuis votre nomination ?
Oui, je pense que les RSSI ont l’impression d’être écoutés car nous connaissons bien leurs problématiques. Nous sommes conscients de la position bancale du RSSI entre le DSI, les collaborateurs et les utilisateurs. Par ailleurs, le secteur de la santé est très réglementé, il est important d’agir en amont, dès la production des textes, pour que les RSSI puissent mettre en œuvre des solutions pragmatiques et opérationnelles et ce avec l’accord de leurs responsables. Mais il y a des fondamentaux où le bon sens prime et qui sont applicables sans devoir attendre les décrets. Il faut être pragmatique avant tout. De notre côté, nous devons faire des propositions qui puissent s’adapter au contexte tout en restant cohérentes.