Semaine presque normale d'un RSSI

Lundi
A la suite de ma précédente chronique sur les MFP (voir /article/1755/les-poches-trouees-de-l-informatique.html), une réaction, sous le couvert de l'anonymat, d'un ingénieur ayant travaillé sur l'implémentation technique du bazar : et encore, me dit-il, tu ne sais pas tout. 11 modèles déployés au lieu des 2 initialement testés, des problèmes de compatibilité de drivers sur les serveurs d'impression, une qualification faite à l'origine pour compatibilité avec les applications métier à refaire complètement (ben oui, dans le domaine de l'impression tous les 6 mois les modèles changent) sans compter les anciens modèles de MFP qu'il a fallu conserver.

Mardi
Mon responsable infra et moi on serre les fesses très très fort : notre antivirus n'est plus en mesure de diffuser les mises à jour des signatures depuis plusieurs jours.

Un utilisateur me signale recevoir chaque jour des dizaines de spam, dont une bonne partie pour (je cite) des « Deep blowjobs » ! Dire qu'en plus il se plaint !!! Décidément, les utilisateurs sont quelquefois bizarres.

Mercredi
Un médecins de mes amis (et néanmoins collègue) me demande de lui donner un coup de main : il n'a plus accès à Dropbox sur son PC de bureau. Je commence à lui faire la leçon, données médicales confidentielles, Patriot Act et tout le tralala. Il m'arrête tout net : il s'agit d'un espace partagé avec un labo extérieur pour la transmission de résultats d'analyses de biologie sur... des lapins. Je me sens très bête, surtout que je n'ai absolument aucune alternative à lui proposer – et disons-le haut et fort, là est la racine du mal en matière de sécurité SI.

J'interroge mon DSI sur une question simple : personne n'interdit à un agent de prendre un véhicule de fonction au motif qu'il pourrait griller un feu rouge : il doit respecter le code de la route, point barre. Alors pourquoi interdire Dropbox ? Après tout c'est un outil pratique, il suffit juste de ne pas y déverser de données médicales, donc de respecter la loi. La question en filigrane est donc celle de la responsabilité employeur / employé, j'ai demandé une analyse à ma juriste.

Jeudi
Ca y est, la mise à jour antivirale refonctionne. Je crois que l'éditeur a eu encore plus peur que nous, vu le nombre de C-level qui étaient dans les échanges de mails. L'infra système, cela me fait quelquefois penser à la néonatalogie (en toute humilité bien entendu) : il y a des miracles tous les jours, et personne ne le sait.

Un confrère m'appelle, à moitié hilare. Son service de PMA (Procréation Médicale Assisté) a récupéré des PC pour visionnage de vidéo dans le département « dons de sperme », obtenus grâce à un sponsor (Durex ?). La cadre du service a demandé à la DSI d'installer les PC sur le LAN, mais avec un outil de prise de contrôle à distance pour « garder la main ». Merci Jacky et Michel :-)

Vendredi
Je suis sollicité sur un demande d'accès distant d'une catégorie de médecins de garde à un serveur contenant de la donnée médicale. On est dans le contexte de la greffe, donc en situation d'urgence permanente, donc j'accepte immédiatement, mais j'ai la curiosité de demander comment ils font à ce jour. Je suis éberlué par la réponse : un technicien imprime une feuille, la faxe au médecin de garde (qui s'est équipé sur ses deniers propres d'un fax à la maison), qui la réceptionne, la signe, la faxe au technicien, qui la photocopie et la faxe enfin au service des greffes. Avant de dire que le mail n'est pas sécurisé, les pouvoirs publics feraient bien de réaliser que ce genre de situation est courante dans le monde de la santé : sécuriser l'informatique c'est bien, mais d'abord on sécurise les process.