Publicité en cours de chargement...
Les bonnes résolutions pour 2020 en 10 commandements
1. Tes réseaux tu cloisonneras
Quel RSSI du secteur de la santé peut se targuer d’avoir optimisé au mieux le cloisonnement de ses réseaux. Faut-il déjà tous les connaître. Nos SIH ont souvent un lourd passé et des réseaux « fourre-tout » qu’il n’est pas toujours facile de segmenter. Alors cette année encore, il faudra reprendre son bâton de pèlerin pour consolider l’existant et bien penser les nouvelles architectures lors des lancements de nouveaux projets.
2. À jour, tes systèmes tu maintiendras
Revisiter sa politique de « patch management », ou la définir si ce n’est pas encore fait. Évincer les systèmes et logiciels obsolètes, essayer de ne pas prendre un train de retard, car l’année 2019 nous l’a encore démontré, les vulnérabilités corrigées, lorsqu’elles ne sont pas exploitées avant la publication d’un correctif, finissent toujours par l’être, et de plus en plus rapidement.
3. Dans ton Active Directory tu investigueras
L’annuaire Active Directory est le « colosse au pieds d’argile » de nos SIH. Il contient l’ensemble des secrets de nos utilisateurs, ainsi que leurs droits d’accès. Peu maîtrisé des administrateurs, mal configuré et rarement « entretenu », il est une proie vulnérable, de plus en plus attaquée. Sa compromission est une véritable catastrophe. En effet, comme le recommande l’ANSSI, sa reconstruction complète s’avère nécessaire si un tel drame se produit. Alors l’abus d’outils tels que l’excellent Ping Castle [1] de Vincent Le Toux, dont la version 2.7.1.1 a récemment été publiée ou encore Blood Hound [2] est fortement recommandé pour la santé de votre AD.
4. La bonne parole tu diffuseras
La sensibilisation n’est pas une chose aisée. Elle doit être récurrente sans être lassante. Mooc, simulation de phising, ateliers, affiches, courriels, vidéos... tous les moyens sont bons pour faire passer vos messages. Vous pouvez également vous appuyer sur l’excellent serious game Sant’escape [3].
5. Des incidents tu simuleras
S’entraîner, se préparer aux incidents cyber qui arriveront tôt ou tard afin de bien roder l’organisation à mettre en place en cas de crise, en réalisant des exercices à l’image d’Écran Santé [4] ou ceux proposés par le GCS Sesan [5], s’avère être de plus en plus nécessaire.
6. Informé tu te tiendras
La sécurité des SI est perpétuellement en mouvement, alors se tenir informé est primordiale pour le RSSI. Pour ça, vous pouvez toujours compter sur DSIH magazine, adhérer à l’APSSIS [6] et vous inscrire sur le Forum SIH [7].
7. La collecte de données à caractère personnel tu limiteras
Dans la santé, nous avons toujours peur de manquer d’informations, alors nous avons tendance à adopter la politique « qui peut le plus, peut le moins » et collecter beaucoup plus de données que de besoins. Revoir ses traitements pour tenter d’être conforme au RGPD peut s’avérer être une bonne idée vu les amendes qui sont tombées l’année passée.
8. Dans les sauvegardes tu investiras
Lorsque l’on parle de sécurité, avec toutes les nouvelles solutions prêtes à résoudre l’ensemble de nos problèmes miraculeusement en se basant sur la block chain, l’IA, le machine learning et tout le toutim, on a parfois a tendance à oublier l’essentiel. Avoir des sauvegardes régulières, cloisonnées (disques) et déconnectées (bandes), mais aussi testées est fondamental.
9. Ton analyse de risques tu présenteras
Ce n’est pas forcément la partie la plus sexy du job, mais ça fait partie du travail du RSSI de présenter son analyse de risques au COMEX ou à la CME. Alors, au boulot !
10. Ton budget SSI tu défendras
Avoir un budget dédié à la sécurité des SI fait partie des règles clés à respecter, c’est la Ministre qui l’a dit ! Alors, une fois encore, il va falloir se battre pour défendre son budget SSI, en comparant le coût de la sécurité VS le coût d’un incident, en rappelant que la sécurité n’est pas une option et que si l’on veut pouvoir obtenir les financements Hop’En, il va déjà falloir atteindre les prérequis SSI.
Bonne année à toutes et tous !
[1] https://www.pingcastle.com/
[2] https://github.com/BloodHoundAD/BloodHound
[3] https://www.esante-paysdelaloire.fr/fr/santescape/
[4] /article/3459/ecran-sante-2019-retour-d-experience.html
Avez-vous apprécié ce contenu ?
A lire également.

Certification des établissements de santé : démarrage du 6ᵉ cycle au 1er septembre 2025
05 sept. 2025 - 11:39,
Actualité
- DSIHDepuis le 1er septembre 2025, la Haute Autorité de santé (HAS) a officiellement lancé le sixième cycle de certification (2025-2030) des établissements de santé. Ce dispositif, renouvelé tous les quatre ans, constitue un levier majeur d’évaluation de la qualité et de la sécurité des soins dans les st...
PSSI et Care D2 : suite de la réflexion sur la question de la signature
01 sept. 2025 - 22:56,
Tribune
-Dans le prolongement du précédent article(1) , intéressons-nous maintenant à un sujet qui déclenche souvent pas mal de débats : qui doit signer la PSSI ? Et d’ailleurs, doit-elle être signée ?
PSSI et Care D2, des questions pas si simples
26 août 2025 - 08:49,
Tribune
-Care Domaine 2 exige, entre autres, une PSSI pour le GHT qui candidate. Cela peut paraître simple, mais en fait cette exigence amène des questions et des réponses, surtout plus de questions que de réponses. Pour en avoir discuté avec pas mal de confrères ces derniers temps, force est de constater qu...
La cyber et les sacs de luxe
30 juin 2025 - 20:44,
Tribune
-C’est la fin du premier semestre, il est temps de faire un bilan à mi-course de l’année 2025. Et il s’en est passé, des choses, pas forcément douces et roses.