Publicité en cours de chargement...
On est peut-être en fin de race – de RSSI s’entend. Partie I
Un « alignement néfaste conjoncturel », dans le vocabulaire du spécialiste de la résilience, c’est l’autre nom pour le phénomène du Titanic. Le naufrage du paquebot n’est pas dû à une cause unique, mais à une somme de causes isolées qui, prises séparément, n’ont aucune conséquence, mais qui ce jour-là et à cet endroit-là ont fait 1 500 morts. Le capitaine du navire qui voulait battre le record de traversée de l’Atlantique, le froid inhabituel en avril dans cette partie de l’Atlantique Nord, le brouillard, la perte de la clé de l’armoire à jumelles (véridique), la réglementation sur les canots de sauvetage qui était devenue inadaptée aux grands transatlantiques : tout RSSI qui se respecte devrait aller perdre une heure ou deux à surfer sur la page Wikipédia[1] du paquebot, un modèle du genre.
Dans le domaine de la SSI – et j’espère sincèrement me tromper –, si l’alignement n’est pas en train de se produire, cela y ressemble fort. Que l’on en juge.
Il y a d’abord les attaques répétées en cryptovirus, pour lesquelles, soyons francs, aucun constructeur ni éditeur ne propose de solution viable. Si les fichiers bureautiques à macros malicieuses sont bloqués par les antivirus des passerelles de messagerie, ne vous inquiétez pas, un utilisateur va vous en rapporter un par consultation de son Webmail ou tout bêtement par une clé USB. La seule chance que nous avons, c’est que pour le moment aucun cryptovirus n’a de capacité de réplication interne sur le LAN, et qu’aucun n’est capable non plus de s’attaquer à des bases de données structurées ni de se propager sur des systèmes de sauvegarde, mais le jour où cela arrivera – et cela arrivera –, nous risquons tous un scénario à la Mr. Robot[2] : la chienlit à la puissance 10 000.
Il y a ensuite, tout du moins dans le monde de la santé, l’informatisation à marche forcée du cœur de métier (le soin) et en particulier de fonctions critiques (la prescription médicamenteuse, les soins intensifs, etc.) sans que certaines directions générales aient véritablement pris la mesure de la dépendance IT que cela engendre, et des conséquences en cas de panne de l’IT. Que certains DRH profitent de l’informatisation d’un métier pour récupérer des ETP, cela s’entend, sauf qu’à la question de savoir avec quelles petites mains on assurera la continuité des soins quand le bazar tombera en panne nulle réponse. On appelle cela du surbooking, sauf qu’au bout de la chaîne ne se trouve pas un passager aérien, mais un patient.
Il y a, encore, l’incurie crasse (et je suis poli) de certaines DSI (pas toutes, heureusement…). Je sais, je radote parfois, mais quand la check-list de mise en production n’existe même pas dans plus de 50 % des établissements de santé, quand certains DSI plissent le front d’ignorance en entendant des termes tels que Itil, catalogue de bonnes pratiques, approche managériale par les processus, maîtrise du parc de PC (véridique), OS à jour (véridique aussi), quand enfin on découvre des logins admin système ouverts à tous les vents, il y a des fessées qui se perdent dans le monde des bits.
À suivre…
1 https://fr.wikipedia.org/wiki/Titanic
2 Voir saison I.
Avez-vous apprécié ce contenu ?
A lire également.

La cyber et les probabilités paresseuses
26 mai 2025 - 21:29,
Tribune
-Récemment, j’ai assisté à la conférence d’un entrepreneur qui propose des prestations de service relatives à des « calculs d’impact ». Oui, dit comme cela, c’est étrange, mais en fait pas autant qu’il y paraît : dans l’idée, si vous disposez d’un budget fixe, entre deux choix de projets cyber (par e...

Cybersécurité, simuler pour protéger : la force des formations immersives
19 mai 2025 - 23:41,
Tribune
-Dans un secteur aussi sensible que celui de la santé, la cybersécurité et la cyber résilience sont prioritaires. Les séquences immersives intégrées dans les formations à la cybersécurité jouent un rôle essentiel pour préparer les professionnels à faire face aux menaces. Ces approches pédagogiques re...

La cyber, les rillettes et les puces en 5 minutes
19 mai 2025 - 23:24,
Tribune
-C’est ce que je trouve bien dans la cyber : la discipline est au carrefour des possibles, et il ne faut pas bien longtemps pour tordre une nouvelle ou un article glanés çà ou là avant de les cyber-retourner, souvent avec la mauvaise foi qui me caractérise, j’en conviens. Exercice en live.

Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE
09 mai 2025 - 16:39,
Actualité
- DSIHLe programme CaRE franchit une étape clé. Moins d’un an après le lancement de son premier appel à financement dédié à la sécurisation des annuaires techniques et de l’exposition sur Internet, la direction du programme annonce la validation du premier dossier ayant atteint l’ensemble des objectifs fi...