Publicité en cours de chargement...
Kaspersky non grata aux USA, de l’appréciation des risques
Une administration française (ou une entreprise privée) doit-elle pour autant bannir sans retenue les produits yankees ou étrangers ? Et si non, quelles précautions doit-elle prendre dans leur intégration au sein du SI ? On en revient, encore et toujours, à l’appréciation des risques. Une entreprise telle une banque, qui manipule des fonds, court relativement peu de risques face à une attaque étatique pour lui chiper ses lingots : les exemples connus de hold-up cyber sont le fait d’organisations terroristes ou mafieuses, et dans un tel cas le choix d’un antivirus ayant pignon sur rue et d’un OS standard du marché se défend tout à fait, pour peu que les systèmes soient maîtrisés : patches à jour, mise à jour des signatures plusieurs fois par jour, supervision et analyse des traces, etc. Ce dernier point, qui semble pourtant d’une évidence crasse, est celui où les organisations sont les plus faibles : si les entreprises mettent en moyenne plusieurs dizaines de jours à détecter des attaques avancées (APT), c’est justement (entre autres) parce que l’analyse des traces n’est pas ou peu réalisée. Certes, les attaques les plus sophistiquées passeraient au travers des mailles, mais dans le cas de Sony Pictures par exemple des gigaoctets s’échappaient tous les jours du SI sans qu’aucun admin système ait eu la puce à l’oreille.
Dans le cas d’un opérateur d’importance vitale (OIV), voire d’un organisme ultra-sensible tel que l’armée, les services de renseignement, etc., les contraintes sont d’une autre nature. Je ne vois rien de choquant à conserver des progiciels du marché (OS, antivirus…), mais les conditions d’implémentation (analyse des configurations, audit pré et postimplémentation, etc.) relèvent d’un autre niveau. Avoir déployé des OS Windows dans sa DMZ et ne jamais faire d’audit de configuration, ne jamais analyser les traces à plusieurs niveaux ou avoir encore certains OS obsolètes peut être admis pour un hôpital OIV, mais tient du risque non acceptable pour un organisme beaucoup plus sensible. Dans les cas les plus extrêmes bien entendu, il faudra changer de stratégie et adopter des produits totalement auditables.
Et surtout, surtout, la pire des fautes est de ranger la poussière sous le tapis : le pire risque n’est pas celui que l’on court en connaissance de cause (analyse, évaluation, quel que soit le nom que l’on donne au processus), le pire risque est celui devant lequel on fait l’autruche. Dire que ce n’est pas un problème, dire que ce n’est que de la technique et que les informaticiens « verront cela », voire dire que l’on a d’autres chats à fouetter, là est la faute.
Dans un audit que j’ai mené il y a quelque temps, j’avais demandé au DSI de me fournir le taux de couverture de la protection antivirale de son parc d’actifs IP (c’est-à-dire de l’ensemble des équipements connectés au LAN quelle que soit leur nature – PC, imprimante multifonction ou appareil biomédical). La première réponse qui m’a été donnée a été « 100 % ». J’ai alors fait remarquer que les photocopieurs multifonctions n’ont pas d’antivirus, et que le taux ne pouvait donc pas être de 100 %, en ne tenant compte que de cette catégorie d’actifs. Le DSI m’a alors répondu : « 90 %. » Je lui ai demandé d’où il sortait ce chiffre : réponse au doigt mouillé. Ne pas atteindre un taux de 100 % est acceptable, ne pas être en mesure de le mesurer (donc d’évaluer le risque) ne l’est pas.
Dans son excellent ouvrage Grands Zhéros de l’histoire(2), Clémentine Portier-Kaltenbach traite d’un thème inhabituel dans le domaine : les nuls, les incompétents, ceux qui ont foiré des situations inratables, et dont l’histoire gardera pour l’éternité le nom rangé dans la section des échecs. Un des passages les plus passionnants relate l’histoire du radeau de La Méduse (à l’origine du célèbre tableau de Géricault), qui avant d’être un radeau échoué a été un navire(3) de la flotte française. Hugues Duroy de Chaumareys, son capitaine, est un noble qui n’a plus navigué depuis la fin de l’Ancien Régime (25 ans plus tôt) et en assure le commandement en 1816. Il n’écoute pas les avis de ses officiers, marins aguerris qui le détestent, concernant la présence de hauts-fonds dans le secteur, et réussit l’impensable, à savoir s’échouer par beau temps et mer calme dans une zone bien connue. Le naufrage a eu un fort retentissement à l’époque pour avoir provoqué des dizaines de morts et des cas de cannibalisme chez les survivants.
C’est ça, mettre le risque sous le tapis.
Avez-vous apprécié ce contenu ?
A lire également.

Tour de France CaRE Domaine 2
13 sept. 2025 - 16:20,
Communiqué
- Orange CyberdefenseLa cybersécurité n’est plus une option pour les établissements de santé ! Grâce au programme CaRE, vous pouvez bénéficier de subventions pour augmenter votre résilience numérique. Orange Cyberdefense vous invite à son Tour de France autour du Domaine 2 du programme CaRE de mi-septembre à mi-octobre.

CaRE D2 : renforcer la continuité et la reprise d’activité grâce au test du PCRA
08 sept. 2025 - 11:50,
Tribune
-Le mois de juillet 2025 a marqué le lancement de CaRE D2, avec pour objectif de renforcer la stratégie de continuité et de reprise d'activité des établissements de santé, aussi bien sur le plan métier que sur le plan informatique. Au cœur du dispositif : le Plan de Continuité et de Reprise d'Activit...

Certification des établissements de santé : démarrage du 6ᵉ cycle au 1er septembre 2025
05 sept. 2025 - 11:39,
Actualité
- DSIHDepuis le 1er septembre 2025, la Haute Autorité de santé (HAS) a officiellement lancé le sixième cycle de certification (2025-2030) des établissements de santé. Ce dispositif, renouvelé tous les quatre ans, constitue un levier majeur d’évaluation de la qualité et de la sécurité des soins dans les st...
PSSI et Care D2 : suite de la réflexion sur la question de la signature
01 sept. 2025 - 22:56,
Tribune
-Dans le prolongement du précédent article(1) , intéressons-nous maintenant à un sujet qui déclenche souvent pas mal de débats : qui doit signer la PSSI ? Et d’ailleurs, doit-elle être signée ?