Publicité en cours de chargement...

Publicité en cours de chargement...

Le Canard hoquette

18 fév. 2019 - 19:26,
Tribune - Cédric Cartau
Dans un récent article, Le Canard enchaîné révèle que « les as de la cyberdéfense ont laissé traîner leurs petits secrets sur le Web »(sic). Avec un titre pareil, on se jette sur le papier pour découvrir quel est l’irresponsable qui a oublié les règles de base du métier, et là, ô déception : il s’agit du Clusif.

Résumons : un fichier CSV en Full Access sur Internet contient des coordonnées (plutôt à jour) du gotha de la cybersécurité en France : le RSSI de la présidence de la République, une brochette de militaires en tout genre, des RSSI – ou Ciso – de grands groupes du CAC 40, et j’en passe. Comment Le Canardest-il tombé sur ce fichier ? Tout simplement en lançant une requête sur Bing avec les mots-clés « Clusif » et « CSV », rien de très compliqué. Passé la lecture de l’article, on est plutôt déçu : on s’attendait à des révélations fracassantes sur la vie intime d’un RSSI de premier plan en cheville avec un ancien garde du corps de l’Élysée (c’est à la mode), mais rien de tout cela, nada. L’article est médiocre : le journaliste devait sûrement être rentré trop tard de son week-end à La Baule et devait pondre quelques centaines de mots sans l’ombre de la queue d’une idée, et il est tombé là-dessus. 

Tout d’abord, le Clusif n’est pas « un as de la cyberdéfense », malgré tout le respect qui lui est dû. Le Clusif est une association Loi 1901 qui ne compte que quelques salariés et dont l’objectif (si l’on en croit le site Web) consiste à « favoriser les échanges d’idées et de retours d’expériences au travers de groupes de travail, de publications et de conférences thématiques ». C’est donc une plateforme d’échanges dont la mission est très utile (les publications du Clusif sont de grande qualité) et en aucun cas l’on n’a affaire à la NSA ou à une officine de barbouzes bardés d’électronique et de gadgets qui clignotent.

Ensuite, on se demande vraiment si le journaliste s’est relu avant d’envoyer son papier à la rédaction. Il a trouvé les coordonnées complètes du RSSI de la présidence. Ouaaaaaahh, génial ! En quelques clics il est possible de les récupérer sur Internet ; le poste n’est pas confidentiel. D’ailleurs, si le journaliste avait un peu creusé, il saurait que la Cada oblige les administrations à fournir la liste de leurs agents sur simple demande. L’info est donc réchauffée, cramoisie de chez cramoisie. Idem pour le reste des coordonnées et des individus qu’il mentionne. Au passage, je signale au journaliste que les satellites espions actuels sont capables de lire les décorations sur l’uniforme d’un militaire, il y a donc belle lurette que le numéro de GSM du RSSI susnommé est connu de tous. La plupart des informations contenues dans le fichier CSV sont quasi publiques (en tout cas celles dont il est fait état), et la seule « entorse » commise par le Clusif est d’avoir été un peu léger avec le RGPD, ce qui ne casse pas trois pattes à un canard.

En revanche, il faut faire feu de tout bois, et je me suis empressé de taper la requête équivalente pour mon CHU : ouf, rien à trouver dans les premiers scores du moteur de recherche. Et de fil en aiguille surgit la réflexion autour de la veille en cyberintelligence, domaine sur lequel, au moins dans le monde de la santé, nous sommes pour la plupart au degré zéro. Entendre par là disposer de robots qui scrutent le Web pour détecter soit des fuites de données équivalentes à celles qui sont citées dans l’article (il y en a), soit des tentatives de siphonnage d’informations constituant par exemple un début d’usurpation de l’identité d’un VIP (fraude au président), etc. La société XMCO a présenté un tel produit il y a quelques années aux Assises de la sécurité de Monaco, et il existe des outils Open Source tel Maltego qui permettent de réaliser ce genre d’opérations. 

Ce type de « veille » SSI rentre dans le paradigme de la SSI en continu – à l’opposé de la stratégie qui consiste à faire des audits ponctuels à toutes les calendes grecques. Il reste juste à trouver un modèle économique viable qui permette à la fois une rentabilisation des outils proposés et des tarifs à la portée des bourses des hôpitaux, ce qui n’est pas une mince affaire.

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Le numérique médico-social : mutation systémique et levier d’humanité

Le numérique médico-social : mutation systémique et levier d’humanité

08 juil. 2025 - 01:07,

Actualité

- DSIH

Longtemps resté en périphérie des politiques publiques du numérique en santé, le secteur médico-social entre aujourd’hui dans une phase de transformation profonde. C’est cette bascule, inédite et structurante, que décrivent Olivier Babinet et Manon Lorenzo dans leur ouvrage Le virage du numérique en...

Illustration Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé

Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé

07 juil. 2025 - 23:57,

Actualité

- DSIH

Le ministre chargé de la Santé et de l’Accès aux soins, Yannick Neuder, a réuni ce 1er juillet un Comité stratégique exceptionnel pour présenter les premières étapes de la stratégie nationale sur l’intelligence artificielle (IA) et l’utilisation secondaire des données de santé. Objectif : structurer...

Illustration Numérique responsable : GreenTech Forum 2025 : Cloud, IA, datacenters… vers une normalisation incontournable pour évaluer l’empreinte du numérique

Numérique responsable : GreenTech Forum 2025 : Cloud, IA, datacenters… vers une normalisation incontournable pour évaluer l’empreinte du numérique

07 juil. 2025 - 23:39,

Communiqué

- GreenTech Forum

À l’heure où la sobriété numérique s’impose comme un enjeu stratégique et réglementaire, GreenTech Forum 2025, organisé les 4 et 5 novembre prochains au Palais des Congrès de Paris, mettra au cœur de ses échanges les grands leviers de transformation du numérique responsable. De l’impact croissant de...

Illustration Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

01 juil. 2025 - 00:00,

Actualité

- DSIH

La 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.