Publicité en cours de chargement...

Publicité en cours de chargement...

On est peut-être en fin de race – de RSSI s’entend. Partie I

24 oct. 2016 - 21:59,
Tribune - Cédric Cartau
OK, je l’avoue, j’ai une légère tendance au pessimisme. Mais là, vous avouerez que cela commence à faire beaucoup : non seulement les incidents se multiplient, non seulement aucun des RSSI présents aux Assises, et avec qui j’ai pu causer un peu entre deux one-to-one, ne voit le bout du tunnel, mais il apparaît clairement que nous sommes dans une situation de type « alignement néfaste conjoncturel » assez unique dans l’histoire de la sécurité des SI.

Un « alignement néfaste conjoncturel », dans le vocabulaire du spécialiste de la résilience, c’est l’autre nom pour le phénomène du Titanic. Le naufrage du paquebot n’est pas dû à une cause unique, mais à une somme de causes isolées qui, prises séparément, n’ont aucune conséquence, mais qui ce jour-là et à cet endroit-là ont fait 1 500 morts. Le capitaine du navire qui voulait battre le record de traversée de l’Atlantique, le froid inhabituel en avril dans cette partie de l’Atlantique Nord, le brouillard, la perte de la clé de l’armoire à jumelles (véridique), la réglementation sur les canots de sauvetage qui était devenue inadaptée aux grands transatlantiques : tout RSSI qui se respecte devrait aller perdre une heure ou deux à surfer sur la page Wikipédia[1] du paquebot, un modèle du genre.

Dans le domaine de la SSI – et j’espère sincèrement me tromper –, si l’alignement n’est pas en train de se produire, cela y ressemble fort. Que l’on en juge.

Il y a d’abord les attaques répétées en cryptovirus, pour lesquelles, soyons francs, aucun constructeur ni éditeur ne propose de solution viable. Si les fichiers bureautiques à macros malicieuses sont bloqués par les antivirus des passerelles de messagerie, ne vous inquiétez pas, un utilisateur va vous en rapporter un par consultation de son Webmail ou tout bêtement par une clé USB. La seule chance que nous avons, c’est que pour le moment aucun cryptovirus n’a de capacité de réplication interne sur le LAN, et qu’aucun n’est capable non plus de s’attaquer à des bases de données structurées ni de se propager sur des systèmes de sauvegarde, mais le jour où cela arrivera – et cela arrivera –, nous risquons tous un scénario à la Mr. Robot[2] : la chienlit à la puissance 10 000.

Il y a ensuite, tout du moins dans le monde de la santé, l’informatisation à marche forcée du cœur de métier (le soin) et en particulier de fonctions critiques (la prescription médicamenteuse, les soins intensifs, etc.) sans que certaines directions générales aient véritablement pris la mesure de la dépendance IT que cela engendre, et des conséquences en cas de panne de l’IT. Que certains DRH profitent de l’informatisation d’un métier pour récupérer des ETP, cela s’entend, sauf qu’à la question de savoir avec quelles petites mains on assurera la continuité des soins quand le bazar tombera en panne nulle réponse. On appelle cela du surbooking, sauf qu’au bout de la chaîne ne se trouve pas un passager aérien, mais un patient.

Il y a, encore, l’incurie crasse (et je suis poli) de certaines DSI (pas toutes, heureusement…). Je sais, je radote parfois, mais quand la check-list de mise en production n’existe même pas dans plus de 50 % des établissements de santé, quand certains DSI plissent le front d’ignorance en entendant des termes tels que Itil, catalogue de bonnes pratiques, approche managériale par les processus, maîtrise du parc de PC (véridique), OS à jour (véridique aussi), quand enfin on découvre des logins admin système ouverts à tous les vents, il y a des fessées qui se perdent dans le monde des bits.

À suivre…


1 https://fr.wikipedia.org/wiki/Titanic

2 Voir saison I.

Avez-vous apprécié ce contenu ?

A lire également.

Illustration IA et santé : cap sur une cybersécurité consolidée et proactive

IA et santé : cap sur une cybersécurité consolidée et proactive

18 juin 2025 - 10:57,

Communiqué

- Trend Micro

Le secteur de la santé, porté par la vague de l’IA, veut gagner en flexibilité, innover dans la prise en charge des patients et maîtriser les coûts. Des promesses qui ne se concrétiseront que dans un cadre de sécurité robuste. En effet, l’IA se révèle à double tranchant. Elle renforce les lignes de ...

Illustration Appel à propositions de l’Europe pour la cybersécurité des PME et des organismes publics

Appel à propositions de l’Europe pour la cybersécurité des PME et des organismes publics

16 juin 2025 - 22:18,

Actualité

- Damien Dubois, DSIH

Le 12 juin, la Commission européenne a annoncé un investissement de 145,5 millions d’euros pour soutenir la cybersécurité des PME, administrations et établissements de santé.

Illustration Et c’est l’heure de notre quiz annuel

Et c’est l’heure de notre quiz annuel

16 juin 2025 - 22:10,

Tribune

-
Cédric Cartau

Ça y est, c’est bientôt l’été avec tout qui chauffe, le soleil qui revient, le maillot de bain de l’année dernière dans lequel vous ne rentrez plus – hiver oblige. Il est largement temps de se changer les idées avec un petit quiz aux questions subtilement nuancées, une exclusivité DSIH souvent imité...

Illustration IA & éthique du numérique en santé : le guide d’implémentation de l’ANS

IA & éthique du numérique en santé : le guide d’implémentation de l’ANS

09 juin 2025 - 21:17,

Tribune

-
Alexandre FIEVEÉ &
Alice ROBERT

Compte tenu, d’une part, des perspectives d’amélioration que l’IA promet dans le secteur de la santé et, d’autre part, de la montée en charge rapide de l’offre de systèmes d’IA (SIA), la cellule éthique de la Délégation au numérique en santé (DNS) a réuni un groupe de travail (GT) pluridisciplinaire...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.