Publicité en cours de chargement...
Plusieurs agences gouvernementales qui envoient des alertes toutes les 24h, la une des principaux journaux d’information et jusqu’au directeur de l’ANSSI (Guillaume Poupart) interviewé en direct par Léa Salamé sur le 7-9 de France Inter, cela ne se produit pas tous les jours !
A titre personnel, j’en retire trois principales leçons. Tout d’abord, le patching systématique des systèmes, cela commence à rentrer dans la tête de tout le monde. On se souvient que le fameux Conficker de 2008 s’était propagé à vitesse grand V du fait d’OS Windows non patchés, alors que Microsoft alertait pourtant depuis des mois sur les failles du SP1 corrigées dans le SP2. Globalement, dans mon établissement et dans tous les CHU de France, au moins 80% des OS sont régulièrement patchés et nous sommes tous allés chercher les 20% manquants, par définition les plus difficiles à atteindre : machines inconnues de la DSI, systèmes obsolètes dont l’éditeur a disparu, trous dans la raquette des consoles SCCM, etc.
Deuxième leçon, certains systèmes que l’on disait « compliqués à gérer ou à patcher » sont passés comme une lettre à la poste. Serveurs, PC utilisateurs bien sûr sont déjà dans le scope de la DSI, mais comme par hasard j’ai vu des systèmes dont on me disait que qu’ils étaient compliqués à mettre à jour, être patchés comme une fleur . Leçon pour le jeune RSSI padawan : ne demande pas s’il est possible de patcher un système, dis-leur juste de le faire.
Troisième leçon enfin, je suis étonné de certaines voix qui fustigent la tempête médiatique autour de Wannacry, qui avait poussé les Directions Générales à s’intéresser au sujet alors qu’il n’y a eu au final que très peu de PC infectés (on parle de 300 000 systèmes, ce qui est peu dans une attaque d’envergure mondiale, on dépasse très souvent le millions de systèmes touchés), et que tout cela était devenus – selon eux – du grand n’importe quoi, et que la DG ne voulait juste pas être la DG d’un des rares établissements à s’être fait piratés, et que seul comptait l’image, etc. etc. etc. Bref au final selon eux beaucoup de bruit pour rien et trop de RSSI qui ont passé leur week-end au bureau pour une broutille. Je ferai remarquer au passage que selon le Times, 48 hôpitaux du NHS ont été touchés pour partie ou en totalité, ce n’est pas exactement ce que j’appellerai une attaque bénigne.
Il est de bon ton, dans ce pays gaulois, de fustiger le Chef qui est par définition un imbécile – la preuve, s’il est devenu chef c’est qui été trop nul pour être informaticien, ou pilote de course, ou membre d’un boys band, ou que sais-je.
Le Chef gère le risque politique, ne connait rien à la technique, exige des mesures inutile ? Et alors, la belle affaire ! Ce genre de raisonnement est tout simplement hors sujet. J’ai mis une grosse pression sur les équipes IT internes, et si c’était à refaire je recommencerai sans hésiter, et cela pour deux raisons. La première, c’est qu’au final aucun CHU n’a finalement été touché : est-ce parce que WannaCry était inoffensif, ou tout simplement parce qu’on a fait notre boulot ? On ne peut pas rejouer l’histoire, et pour avoir subi en 2008 Conficker c’est un film que je n’ai pas envie de revivre. Les collègues anglais doivent en avoir gros sur la patate en ce moment, et si un RSSI ne faisait rien alors qu’au final l’attaque est extrême, il ne lui reste plus qu’à faire son cv – c’est que ce l’on appelle le principe de précautions.
Et la seconde, de loin le plus importante, c’est parce que c’est dans ces moments-là que le RSSI peut faire passer toutes les mesures qu’en temps normal il lui est impossible de faire accepter. Dans un job, il faut trouver le juste équilibre entre le faire, le savoir-faire et le faire-savoir. Cette semaine, c’était celle du faire-savoir, et il faut vraiment être bête pour ne pas profiter de la fenêtre de tir, car elle reste ouverte très, trop peu de temps. La sécurité des SI comporte, elle aussi, un volet politique : c’est toute la différence qu’il y a entre un technicien en charge de l’ouverture des ports sur un pare-feu, et un RSSI.
Avez-vous apprécié ce contenu ?
A lire également.
Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée
24 avril 2025 - 15:14,
Actualité
- DSIHLa Délégation au numérique en santé (DNS) publie le premier rapport d’activité de la Plateforme d’éthicovigilance du numérique en santé, un dispositif inédit lancé fin 2023 pour recueillir les signalements d’usagers et de professionnels confrontés à des enjeux éthiques liés aux technologies de santé...
Le GHT Hôpitaux de Provence optimise ses flux patients avec la solution M-SESAME de Maincare
24 avril 2025 - 10:06,
Communiqué
- MaincareLe GHT Hôpitaux de Provence, un des groupements hospitaliers les plus importants de France avec 13 établissements et un bassin de 2 millions d’habitants, a choisi la solution M-SESAME, développée par Atout Majeur Concept, distribuée et intégrée par Maincare, pour répondre à ses besoins en matière de...
Le Groupe Softway Medical accueille Bain Capital Europe au sein de sa structure capitalistique
22 avril 2025 - 15:27,
Communiqué
- Groupe Softway Medical22 avril, 2025 – le Groupe Softway Medical, un leader européen des systèmes d’information en santé, à la fois éditeur, hébergeur et intégrateur pour les établissements de santé publics et privés en France, au Canada et à travers l’Europe, annonce aujourd’hui l’arrivée du fonds de capital-investissem...
L’IA en action : les conditions d’un déploiement réussi au sein des équipes de soins
21 avril 2025 - 18:55,
Tribune
- Arnaud HAVE, Directeur Conseil WeliomL’intégration de l’intelligence artificielle (IA) dans les établissements sanitaires et médico-sociaux représente un défi majeur – à la fois culturel, opérationnel et technique. Pour maximiser les bénéfices concrets de l’IA, les ambitions doivent être alignées sur la maturité de la structure, des éq...