WannaCry me a river

Plusieurs agences gouvernementales qui envoient des alertes toutes les 24h, la une des principaux journaux d’information et jusqu’au directeur de l’ANSSI (Guillaume Poupart) interviewé en direct par Léa Salamé sur le 7-9 de France Inter, cela ne se produit pas tous les jours ! 

A titre personnel, j’en retire trois principales leçons. Tout d’abord, le patching systématique des systèmes, cela commence à rentrer dans la tête de tout le monde. On se souvient que le fameux Conficker de 2008 s’était propagé à vitesse grand V du fait d’OS Windows non patchés, alors que Microsoft alertait pourtant depuis des mois sur les failles du SP1 corrigées dans le SP2. Globalement, dans mon établissement et dans tous les CHU de France, au moins 80% des OS sont régulièrement patchés et nous sommes tous allés chercher les 20% manquants, par définition les plus difficiles à atteindre : machines inconnues de la DSI, systèmes obsolètes dont l’éditeur a disparu, trous dans la raquette des consoles SCCM, etc.

Deuxième leçon, certains systèmes que l’on disait « compliqués à gérer ou à patcher » sont passés comme une lettre à la poste. Serveurs, PC utilisateurs bien sûr sont déjà dans le scope de la DSI, mais comme par hasard j’ai vu des systèmes dont on me disait que qu’ils étaient compliqués à mettre à jour, être patchés comme une fleur . Leçon pour le jeune RSSI padawan : ne demande pas s’il est possible de patcher un système, dis-leur juste de le faire.

Troisième leçon enfin, je suis étonné de certaines voix qui fustigent la tempête médiatique autour de Wannacry, qui avait poussé les Directions Générales à s’intéresser au sujet alors qu’il n’y a eu au final que très peu de PC infectés (on parle de 300 000 systèmes, ce qui est peu dans une attaque d’envergure mondiale, on dépasse très souvent le millions de systèmes touchés), et que tout cela était devenus – selon eux – du grand n’importe quoi, et que la DG ne voulait juste pas être la DG d’un des rares établissements à s’être fait piratés, et que seul comptait l’image, etc. etc. etc. Bref au final selon eux beaucoup de bruit pour rien et trop de RSSI qui ont passé leur week-end au bureau pour une broutille. Je ferai remarquer au passage que selon le Times, 48 hôpitaux du NHS ont été touchés pour partie ou en totalité, ce n’est pas exactement ce que j’appellerai une attaque bénigne.

Il est de bon ton, dans ce pays gaulois, de fustiger le Chef qui est par définition un imbécile – la preuve, s’il est devenu chef c’est qui été trop nul pour être informaticien, ou pilote de course, ou membre d’un boys band, ou que sais-je. 

Le Chef gère le risque politique, ne connait rien à la technique, exige des mesures inutile ? Et alors, la belle affaire ! Ce genre de raisonnement est tout simplement hors sujet. J’ai mis une grosse pression sur les équipes IT internes, et si c’était à refaire je recommencerai sans hésiter, et cela pour deux raisons. La première, c’est qu’au final aucun CHU n’a finalement été touché : est-ce parce que WannaCry était inoffensif, ou tout simplement parce qu’on a fait notre boulot ? On ne peut pas rejouer l’histoire, et pour avoir subi en 2008 Conficker c’est un film que je n’ai pas envie de revivre. Les collègues anglais doivent en avoir gros sur la patate en ce moment, et si un RSSI ne faisait rien alors qu’au final l’attaque est extrême, il ne lui reste plus qu’à faire son cv – c’est que ce l’on appelle le principe de précautions. 

Et la seconde, de loin le plus importante, c’est parce que c’est dans ces moments-là que le RSSI peut faire passer toutes les mesures qu’en temps normal il lui est impossible de faire accepter. Dans un job, il faut trouver le juste équilibre entre le faire, le savoir-faire et le faire-savoir. Cette semaine, c’était celle du faire-savoir, et il faut vraiment être bête pour ne pas profiter de la fenêtre de tir, car elle reste ouverte très, trop peu de temps. La sécurité des SI comporte, elle aussi, un volet politique : c’est toute la différence qu’il y a entre un technicien en charge de l’ouverture des ports sur un pare-feu, et un RSSI.