Publicité en cours de chargement...
Plusieurs agences gouvernementales qui envoient des alertes toutes les 24h, la une des principaux journaux d’information et jusqu’au directeur de l’ANSSI (Guillaume Poupart) interviewé en direct par Léa Salamé sur le 7-9 de France Inter, cela ne se produit pas tous les jours !
A titre personnel, j’en retire trois principales leçons. Tout d’abord, le patching systématique des systèmes, cela commence à rentrer dans la tête de tout le monde. On se souvient que le fameux Conficker de 2008 s’était propagé à vitesse grand V du fait d’OS Windows non patchés, alors que Microsoft alertait pourtant depuis des mois sur les failles du SP1 corrigées dans le SP2. Globalement, dans mon établissement et dans tous les CHU de France, au moins 80% des OS sont régulièrement patchés et nous sommes tous allés chercher les 20% manquants, par définition les plus difficiles à atteindre : machines inconnues de la DSI, systèmes obsolètes dont l’éditeur a disparu, trous dans la raquette des consoles SCCM, etc.
Deuxième leçon, certains systèmes que l’on disait « compliqués à gérer ou à patcher » sont passés comme une lettre à la poste. Serveurs, PC utilisateurs bien sûr sont déjà dans le scope de la DSI, mais comme par hasard j’ai vu des systèmes dont on me disait que qu’ils étaient compliqués à mettre à jour, être patchés comme une fleur . Leçon pour le jeune RSSI padawan : ne demande pas s’il est possible de patcher un système, dis-leur juste de le faire.
Troisième leçon enfin, je suis étonné de certaines voix qui fustigent la tempête médiatique autour de Wannacry, qui avait poussé les Directions Générales à s’intéresser au sujet alors qu’il n’y a eu au final que très peu de PC infectés (on parle de 300 000 systèmes, ce qui est peu dans une attaque d’envergure mondiale, on dépasse très souvent le millions de systèmes touchés), et que tout cela était devenus – selon eux – du grand n’importe quoi, et que la DG ne voulait juste pas être la DG d’un des rares établissements à s’être fait piratés, et que seul comptait l’image, etc. etc. etc. Bref au final selon eux beaucoup de bruit pour rien et trop de RSSI qui ont passé leur week-end au bureau pour une broutille. Je ferai remarquer au passage que selon le Times, 48 hôpitaux du NHS ont été touchés pour partie ou en totalité, ce n’est pas exactement ce que j’appellerai une attaque bénigne.
Il est de bon ton, dans ce pays gaulois, de fustiger le Chef qui est par définition un imbécile – la preuve, s’il est devenu chef c’est qui été trop nul pour être informaticien, ou pilote de course, ou membre d’un boys band, ou que sais-je.
Le Chef gère le risque politique, ne connait rien à la technique, exige des mesures inutile ? Et alors, la belle affaire ! Ce genre de raisonnement est tout simplement hors sujet. J’ai mis une grosse pression sur les équipes IT internes, et si c’était à refaire je recommencerai sans hésiter, et cela pour deux raisons. La première, c’est qu’au final aucun CHU n’a finalement été touché : est-ce parce que WannaCry était inoffensif, ou tout simplement parce qu’on a fait notre boulot ? On ne peut pas rejouer l’histoire, et pour avoir subi en 2008 Conficker c’est un film que je n’ai pas envie de revivre. Les collègues anglais doivent en avoir gros sur la patate en ce moment, et si un RSSI ne faisait rien alors qu’au final l’attaque est extrême, il ne lui reste plus qu’à faire son cv – c’est que ce l’on appelle le principe de précautions.
Et la seconde, de loin le plus importante, c’est parce que c’est dans ces moments-là que le RSSI peut faire passer toutes les mesures qu’en temps normal il lui est impossible de faire accepter. Dans un job, il faut trouver le juste équilibre entre le faire, le savoir-faire et le faire-savoir. Cette semaine, c’était celle du faire-savoir, et il faut vraiment être bête pour ne pas profiter de la fenêtre de tir, car elle reste ouverte très, trop peu de temps. La sécurité des SI comporte, elle aussi, un volet politique : c’est toute la différence qu’il y a entre un technicien en charge de l’ouverture des ports sur un pare-feu, et un RSSI.
Avez-vous apprécié ce contenu ?
A lire également.

Des lignes directrices sur la portée des obligations applicables aux modèles d'IA à usage général (1)
29 juil. 2025 - 11:09,
Actualité
-Le règlement (UE) 2024/1689 (AI Act), entré en vigueur le 1er août 2024, vise à encadrer le développement et l’utilisation de l’intelligence artificielle dans l’Union européenne, en conciliant innovation technologique et protection des droits fondamentaux.

Dernier billet philosohico-cyber avant la plage
21 juil. 2025 - 10:00,
Tribune
-À l’approche des congés d’été, l’heure est à la réflexion — et pas seulement sur la température de l’eau ou le bon dosage de crème solaire. Entre arnaques bancaires de plus en plus sophistiquées, dérives technologiques, illusions cyber-industrielles et lacunes dans la gouvernance publique, ce billet...

Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé
07 juil. 2025 - 23:57,
Actualité
- DSIHLe ministre chargé de la Santé et de l’Accès aux soins, Yannick Neuder, a réuni ce 1er juillet un Comité stratégique exceptionnel pour présenter les premières étapes de la stratégie nationale sur l’intelligence artificielle (IA) et l’utilisation secondaire des données de santé. Objectif : structurer...

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS
01 juil. 2025 - 00:00,
Actualité
- DSIHLa 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...