La certification HDS des GAFAM et le deuxième effet Kiss Cool

Plusieurs arguments ont été avancés pour justifier cet engouement, notamment la possibilité d’héberger enfin les données des établissements de santé français, parce que la santé représenterait un marché important. Mouais, je ne suis pas certain qu’en matière de business, l’opération soit si intéressante que ça, mais bon pourquoi pas. Ensuite ça permet à Microsoft de vendre ses services hébergés super sécurisés en mode SaaS, de messagerie et de bureautique, la suite Office 365 aux établissements de santé français, éventuellement…

Comme le rappelle régulièrement et à juste titre Cédric Cartau, lorsque l’on externalise l’hébergement de ses données, on déplace la matrice des risques.
Alors que penser de la récente compromission du géant de Redmond, avouée au compte-gouttes courant avril [1] et sûrement partiellement ? Au début ce n’était que les services « offerts » au grand public qui auraient été impactés, puis finalement Office 365 mais pas les mails, puis finalement les mails, mais que de certains clients…
Bref, communication de crise: 0. Transparence : 0,5. Sincérité : 0.
Comment un acteur aussi important que Microsoft, certifié ISO 27001 depuis longtemps et qui n’a donc eu aucun mal à obtenir la certification HDS peut-il faire d’aussi grosses bourdes ?
Un employé de Microsoft, qui disposait d’importants privilèges se serait fait pirater son compte, compte qui aurait permis à aux attaquants de s’infiltrer dans la forteresse en carton et papier bulles pendant près de trois mois.
Cela nous laisse donc supposer que des comptes à hauts privilèges sur le SI de Microsoft seraient accessibles avec une simple authentification identifiant / mot de passe ?!?
De plus ces comptes « admin » seraient accessibles depuis le Web ?!?
Je ne suis pas impatient de passer à Azure AD quand je vois passer des choses comme ça.
Sinon Monsieur Microsoft, sur 42, combien de mesures du guide d’hygiène de l’ANSSI [2] vous appliquez ?

Sans oublier que revêtir la panoplie complète Microsoft, c’est tout de même l'art de mettre tous ses œufs dans le même panier. L’accord cadre de la CAIH en est un bel exemple, il accroît notre dépendance aux produits Microsoft, c’est « tout compris », alors on fonce ! La renégociation du marché pour l’année en cours, c’est 20€ d’augmentation par poste utilisateur et des services en moins. Difficile de négocier quand il n’y a pas de concurrence.

Et les autres...

Sans réelle surprise Amazon a récemment obtenu sa certification HDS pour l’ensemble des activités sauf la numéro 5, relative à l’infogérance, récemment annoncée comme prochainement caduque lors du dernier congrès de l’APSSIS [3].

Google pourrait rapidement arriver sur le marché et il pourrait bien faire très mal ! Tarifs extrêmement concurrentiels et pourquoi pas des offres gratuites pour appâter les candides qui ne verront pas plus loin que le bout de leur nez et un pseudo retour à l’équilibre financier.

Il ne faut pas se leurrer, ce qui intéresse ces géants du Big Data, c’est d’avoir accès à cette masse de données.

Et c’est là qu’on se dit qu’ils sont vraiment trop forts, et que nous sommes vraiment trop niais. Les données de santé ont de la valeur, beaucoup de valeur, tout le monde l’a bien compris, sauf nous.
Nous allons payer pour placer nos données de santé chez les GAFAM, puis payer une seconde fois les services de ces mêmes GAFAM pour en obtenir les statistiques / traitements Big Data, qu’ils auront réalisés à l’aide des données que nous leur auront fournies pour assister nos médecins dans la prise en charge des patients.

Le voilà le deuxième effet Kiss Cool. 

[1] https://imgur.com/q1Z4w7z

[2] https://www.ssi.gouv.fr/uploads/2017/01/guide_hygiene_informatique_anssi.pdf

[3] https://www.apssis.com/