Publicité en cours de chargement...
Les bonnes résolutions pour 2020 en 10 commandements
1. Tes réseaux tu cloisonneras
Quel RSSI du secteur de la santé peut se targuer d’avoir optimisé au mieux le cloisonnement de ses réseaux. Faut-il déjà tous les connaître. Nos SIH ont souvent un lourd passé et des réseaux « fourre-tout » qu’il n’est pas toujours facile de segmenter. Alors cette année encore, il faudra reprendre son bâton de pèlerin pour consolider l’existant et bien penser les nouvelles architectures lors des lancements de nouveaux projets.
2. À jour, tes systèmes tu maintiendras
Revisiter sa politique de « patch management », ou la définir si ce n’est pas encore fait. Évincer les systèmes et logiciels obsolètes, essayer de ne pas prendre un train de retard, car l’année 2019 nous l’a encore démontré, les vulnérabilités corrigées, lorsqu’elles ne sont pas exploitées avant la publication d’un correctif, finissent toujours par l’être, et de plus en plus rapidement.
3. Dans ton Active Directory tu investigueras
L’annuaire Active Directory est le « colosse au pieds d’argile » de nos SIH. Il contient l’ensemble des secrets de nos utilisateurs, ainsi que leurs droits d’accès. Peu maîtrisé des administrateurs, mal configuré et rarement « entretenu », il est une proie vulnérable, de plus en plus attaquée. Sa compromission est une véritable catastrophe. En effet, comme le recommande l’ANSSI, sa reconstruction complète s’avère nécessaire si un tel drame se produit. Alors l’abus d’outils tels que l’excellent Ping Castle [1] de Vincent Le Toux, dont la version 2.7.1.1 a récemment été publiée ou encore Blood Hound [2] est fortement recommandé pour la santé de votre AD.
4. La bonne parole tu diffuseras
La sensibilisation n’est pas une chose aisée. Elle doit être récurrente sans être lassante. Mooc, simulation de phising, ateliers, affiches, courriels, vidéos... tous les moyens sont bons pour faire passer vos messages. Vous pouvez également vous appuyer sur l’excellent serious game Sant’escape [3].
5. Des incidents tu simuleras
S’entraîner, se préparer aux incidents cyber qui arriveront tôt ou tard afin de bien roder l’organisation à mettre en place en cas de crise, en réalisant des exercices à l’image d’Écran Santé [4] ou ceux proposés par le GCS Sesan [5], s’avère être de plus en plus nécessaire.
6. Informé tu te tiendras
La sécurité des SI est perpétuellement en mouvement, alors se tenir informé est primordiale pour le RSSI. Pour ça, vous pouvez toujours compter sur DSIH magazine, adhérer à l’APSSIS [6] et vous inscrire sur le Forum SIH [7].
7. La collecte de données à caractère personnel tu limiteras
Dans la santé, nous avons toujours peur de manquer d’informations, alors nous avons tendance à adopter la politique « qui peut le plus, peut le moins » et collecter beaucoup plus de données que de besoins. Revoir ses traitements pour tenter d’être conforme au RGPD peut s’avérer être une bonne idée vu les amendes qui sont tombées l’année passée.
8. Dans les sauvegardes tu investiras
Lorsque l’on parle de sécurité, avec toutes les nouvelles solutions prêtes à résoudre l’ensemble de nos problèmes miraculeusement en se basant sur la block chain, l’IA, le machine learning et tout le toutim, on a parfois a tendance à oublier l’essentiel. Avoir des sauvegardes régulières, cloisonnées (disques) et déconnectées (bandes), mais aussi testées est fondamental.
9. Ton analyse de risques tu présenteras
Ce n’est pas forcément la partie la plus sexy du job, mais ça fait partie du travail du RSSI de présenter son analyse de risques au COMEX ou à la CME. Alors, au boulot !
10. Ton budget SSI tu défendras
Avoir un budget dédié à la sécurité des SI fait partie des règles clés à respecter, c’est la Ministre qui l’a dit ! Alors, une fois encore, il va falloir se battre pour défendre son budget SSI, en comparant le coût de la sécurité VS le coût d’un incident, en rappelant que la sécurité n’est pas une option et que si l’on veut pouvoir obtenir les financements Hop’En, il va déjà falloir atteindre les prérequis SSI.
Bonne année à toutes et tous !
[1] https://www.pingcastle.com/
[2] https://github.com/BloodHoundAD/BloodHound
[3] https://www.esante-paysdelaloire.fr/fr/santescape/
[4] /article/3459/ecran-sante-2019-retour-d-experience.html
Avez-vous apprécié ce contenu ?
A lire également.

MedGPT : le premier assistant IA médical français, alternative à ChatGPT
17 sept. 2025 - 08:48,
Actualité
- DSIHLa startup bordelaise Synapse Medicine vient de franchir une étape majeure dans le domaine de la santé numérique avec le lancement de MedGPT, un assistant conversationnel basé sur l’intelligence artificielle et conçu exclusivement pour les professionnels de santé.
Regonfler un pneu ou s’attaquer à la root cause : vision 27001 de la mise sous contrainte
15 sept. 2025 - 22:20,
Tribune
-Imaginez un peu la scène : vous êtes dans votre jardin en train de tailler vos rosiers, et par-dessus la clôture vous apercevez votre voisin que vous saluez chaleureusement. Vous en profitez pour le prévenir que le pneu arrière gauche de sa voiture, garée dans son allée et que vous voyez très bien d...

Tour de France CaRE Domaine 2
13 sept. 2025 - 16:20,
Communiqué
- Orange CyberdefenseLa cybersécurité n’est plus une option pour les établissements de santé ! Grâce au programme CaRE, vous pouvez bénéficier de subventions pour augmenter votre résilience numérique. Orange Cyberdefense vous invite à son Tour de France autour du Domaine 2 du programme CaRE de mi-septembre à mi-octobre.

CaRE D2 : renforcer la continuité et la reprise d’activité grâce au test du PCRA
08 sept. 2025 - 11:50,
Tribune
-Le mois de juillet 2025 a marqué le lancement de CaRE D2, avec pour objectif de renforcer la stratégie de continuité et de reprise d'activité des établissements de santé, aussi bien sur le plan métier que sur le plan informatique. Au cœur du dispositif : le Plan de Continuité et de Reprise d'Activit...