Publicité en cours de chargement...

Publicité en cours de chargement...

On est peut-être en fin de race – de RSSI s’entend. Partie I

24 oct. 2016 - 21:59,
Tribune - Cédric Cartau
OK, je l’avoue, j’ai une légère tendance au pessimisme. Mais là, vous avouerez que cela commence à faire beaucoup : non seulement les incidents se multiplient, non seulement aucun des RSSI présents aux Assises, et avec qui j’ai pu causer un peu entre deux one-to-one, ne voit le bout du tunnel, mais il apparaît clairement que nous sommes dans une situation de type « alignement néfaste conjoncturel » assez unique dans l’histoire de la sécurité des SI.

Un « alignement néfaste conjoncturel », dans le vocabulaire du spécialiste de la résilience, c’est l’autre nom pour le phénomène du Titanic. Le naufrage du paquebot n’est pas dû à une cause unique, mais à une somme de causes isolées qui, prises séparément, n’ont aucune conséquence, mais qui ce jour-là et à cet endroit-là ont fait 1 500 morts. Le capitaine du navire qui voulait battre le record de traversée de l’Atlantique, le froid inhabituel en avril dans cette partie de l’Atlantique Nord, le brouillard, la perte de la clé de l’armoire à jumelles (véridique), la réglementation sur les canots de sauvetage qui était devenue inadaptée aux grands transatlantiques : tout RSSI qui se respecte devrait aller perdre une heure ou deux à surfer sur la page Wikipédia[1] du paquebot, un modèle du genre.

Dans le domaine de la SSI – et j’espère sincèrement me tromper –, si l’alignement n’est pas en train de se produire, cela y ressemble fort. Que l’on en juge.

Il y a d’abord les attaques répétées en cryptovirus, pour lesquelles, soyons francs, aucun constructeur ni éditeur ne propose de solution viable. Si les fichiers bureautiques à macros malicieuses sont bloqués par les antivirus des passerelles de messagerie, ne vous inquiétez pas, un utilisateur va vous en rapporter un par consultation de son Webmail ou tout bêtement par une clé USB. La seule chance que nous avons, c’est que pour le moment aucun cryptovirus n’a de capacité de réplication interne sur le LAN, et qu’aucun n’est capable non plus de s’attaquer à des bases de données structurées ni de se propager sur des systèmes de sauvegarde, mais le jour où cela arrivera – et cela arrivera –, nous risquons tous un scénario à la Mr. Robot[2] : la chienlit à la puissance 10 000.

Il y a ensuite, tout du moins dans le monde de la santé, l’informatisation à marche forcée du cœur de métier (le soin) et en particulier de fonctions critiques (la prescription médicamenteuse, les soins intensifs, etc.) sans que certaines directions générales aient véritablement pris la mesure de la dépendance IT que cela engendre, et des conséquences en cas de panne de l’IT. Que certains DRH profitent de l’informatisation d’un métier pour récupérer des ETP, cela s’entend, sauf qu’à la question de savoir avec quelles petites mains on assurera la continuité des soins quand le bazar tombera en panne nulle réponse. On appelle cela du surbooking, sauf qu’au bout de la chaîne ne se trouve pas un passager aérien, mais un patient.

Il y a, encore, l’incurie crasse (et je suis poli) de certaines DSI (pas toutes, heureusement…). Je sais, je radote parfois, mais quand la check-list de mise en production n’existe même pas dans plus de 50 % des établissements de santé, quand certains DSI plissent le front d’ignorance en entendant des termes tels que Itil, catalogue de bonnes pratiques, approche managériale par les processus, maîtrise du parc de PC (véridique), OS à jour (véridique aussi), quand enfin on découvre des logins admin système ouverts à tous les vents, il y a des fessées qui se perdent dans le monde des bits.

À suivre…


1 https://fr.wikipedia.org/wiki/Titanic

2 Voir saison I.

Avez-vous apprécié ce contenu ?

A lire également.

Illustration CaRE D2 : renforcer la continuité et la reprise d’activité grâce au test du PCRA

CaRE D2 : renforcer la continuité et la reprise d’activité grâce au test du PCRA

08 sept. 2025 - 11:50,

Tribune

-
Manon DALLEAU

Le mois de juillet 2025 a marqué le lancement de CaRE D2, avec pour objectif de renforcer la stratégie de continuité et de reprise d'activité des établissements de santé, aussi bien sur le plan métier que sur le plan informatique. Au cœur du dispositif : le Plan de Continuité et de Reprise d'Activit...

Illustration Certification des établissements de santé : démarrage du 6ᵉ cycle au 1er septembre 2025

Certification des établissements de santé : démarrage du 6ᵉ cycle au 1er septembre 2025

05 sept. 2025 - 11:39,

Actualité

- DSIH

Depuis le 1er septembre 2025, la Haute Autorité de santé (HAS) a officiellement lancé le sixième cycle de certification (2025-2030) des établissements de santé. Ce dispositif, renouvelé tous les quatre ans, constitue un levier majeur d’évaluation de la qualité et de la sécurité des soins dans les st...

PSSI et Care D2 : suite de la réflexion sur la question de la signature

01 sept. 2025 - 22:56,

Tribune

-
Cédric Cartau

Dans le prolongement du précédent article(1) , intéressons-nous maintenant à un sujet qui déclenche souvent pas mal de débats : qui doit signer la PSSI ? Et d’ailleurs, doit-elle être signée ?

PSSI et Care D2, des questions pas si simples

26 août 2025 - 08:49,

Tribune

-
Cédric Cartau

Care Domaine 2 exige, entre autres, une PSSI pour le GHT qui candidate. Cela peut paraître simple, mais en fait cette exigence amène des questions et des réponses, surtout plus de questions que de réponses. Pour en avoir discuté avec pas mal de confrères ces derniers temps, force est de constater qu...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.