Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Les bonnes résolutions pour 2020 en 10 commandements

07 jan. 2020 - 10:08,
Tribune - Charles Blanc-Rolin
Vous n’échapperez pas à la tradition, on ne commence pas une nouvelle année sans prendre de bonnes résolutions. Les fêtes de fin d’année sont passées et il temps de se remettre au travail. Je vous propose donc 10 commandements pour bien démarrer l’année 2020 !

1. Tes réseaux tu cloisonneras

Quel RSSI du secteur de la santé peut se targuer d’avoir optimisé au mieux le cloisonnement de ses réseaux. Faut-il déjà tous les connaître. Nos SIH ont souvent un lourd passé et des réseaux « fourre-tout » qu’il n’est pas toujours facile de segmenter. Alors cette année encore, il faudra reprendre son bâton de pèlerin pour consolider l’existant et bien penser les nouvelles architectures lors des lancements de nouveaux projets.

2. À jour, tes systèmes tu maintiendras

Revisiter sa politique de « patch management », ou la définir si ce n’est pas encore fait. Évincer les systèmes et logiciels obsolètes, essayer de ne pas prendre un train de retard, car l’année 2019 nous l’a encore démontré, les vulnérabilités corrigées, lorsqu’elles ne sont pas exploitées avant la publication d’un correctif, finissent toujours par l’être, et de plus en plus rapidement.

3. Dans ton Active Directory tu investigueras

L’annuaire Active Directory est le « colosse au pieds d’argile » de nos SIH. Il contient l’ensemble des secrets de nos utilisateurs, ainsi que leurs droits d’accès. Peu maîtrisé des administrateurs, mal configuré et rarement « entretenu », il est une proie vulnérable, de plus en plus attaquée. Sa compromission est une véritable catastrophe. En effet, comme le recommande l’ANSSI, sa reconstruction complète s’avère nécessaire si un tel drame se produit. Alors l’abus d’outils tels que l’excellent Ping Castle [1] de Vincent Le Toux, dont la version 2.7.1.1 a récemment été publiée ou encore Blood Hound [2] est fortement recommandé pour la santé de votre AD.  

4. La bonne parole tu diffuseras

La sensibilisation n’est pas une chose aisée. Elle doit être récurrente sans être lassante. Mooc, simulation de phising, ateliers, affiches, courriels, vidéos... tous les moyens sont bons pour faire passer vos messages. Vous pouvez également vous appuyer sur l’excellent serious game Sant’escape [3].

5. Des incidents tu simuleras

S’entraîner, se préparer aux incidents cyber qui arriveront tôt ou tard afin de bien roder l’organisation à mettre en place en cas de crise, en réalisant des exercices à l’image d’Écran Santé [4] ou ceux proposés par le GCS Sesan [5], s’avère être de plus en plus nécessaire.

6. Informé tu te tiendras

La sécurité des SI est perpétuellement en mouvement, alors se tenir informé est primordiale pour le RSSI. Pour ça, vous pouvez toujours compter sur DSIH magazine, adhérer à l’APSSIS [6] et vous inscrire sur le Forum SIH [7].

7. La collecte de données à caractère personnel tu limiteras

Dans la santé, nous avons toujours peur de manquer d’informations, alors nous avons tendance à adopter la politique « qui peut le plus, peut le moins » et collecter beaucoup plus de données que de besoins. Revoir ses traitements pour tenter d’être conforme au RGPD peut s’avérer être une bonne idée vu les amendes qui sont tombées l’année passée.

8. Dans les sauvegardes tu investiras

Lorsque l’on parle de sécurité, avec toutes les nouvelles solutions prêtes à résoudre l’ensemble de nos problèmes miraculeusement en se basant sur la block chain, l’IA, le machine learning et tout le toutim, on a parfois a tendance à oublier l’essentiel. Avoir des sauvegardes régulières, cloisonnées (disques) et déconnectées (bandes), mais aussi testées est fondamental.

9. Ton analyse de risques tu présenteras

Ce n’est pas forcément la partie la plus sexy du job, mais ça fait partie du travail du RSSI de présenter son analyse de risques au COMEX ou à la CME. Alors, au boulot !  

10. Ton budget SSI tu défendras

Avoir un budget dédié à la sécurité des SI fait partie des règles clés à respecter, c’est la Ministre qui l’a dit ! Alors, une fois encore, il va falloir se battre pour défendre son budget SSI, en comparant le coût de la sécurité VS le coût d’un incident, en rappelant que la sécurité n’est pas une option et que si l’on veut pouvoir obtenir les financements Hop’En, il va déjà falloir atteindre les prérequis SSI.

Bonne année à toutes et tous !


[1] https://www.pingcastle.com/

 [2] https://github.com/BloodHoundAD/BloodHound

 [3] https://www.esante-paysdelaloire.fr/fr/santescape/

[4] /article/3459/ecran-sante-2019-retour-d-experience.html

[5] https://youtu.be/7QNjfHTKtgc

[6] https://www.apssis.com/ 

[7] https://www.forum-sih.fr/ 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Mais non, la 27001 n’est pas lourdingue !

Mais non, la 27001 n’est pas lourdingue !

06 oct. 2025 - 22:14,

Tribune

-
Cédric Cartau

Récemment, je suis tombé sur un post selon lequel, en gros, la compliance (conformité) serait un mal nécessaire pour décrocher des contrats, des marchés, mais qui globalement n’aurait quasiment pas d’autre utilité, et que sa contribution à améliorer le « système » est tout sauf claire. Bref, c’est b...

Illustration FHIR : la norme qui libère la donnée de santé et ouvre de nouvelles voies

FHIR : la norme qui libère la donnée de santé et ouvre de nouvelles voies

06 oct. 2025 - 21:41,

Actualité

- DSIH

Pour fluidifier les parcours, offrir une vision exhaustive des données patients, connecter la ville et l’hôpital, et permettre aux nouvelles générations d’algorithmes de révéler tout leur potentiel, l’interopérabilité devient essentielle. Autour d’un dîner-conférence organisé par Infor, experts amér...

Illustration Horizon Santé 360 : Innovons ensemble pour notre souveraineté en santé

Horizon Santé 360 : Innovons ensemble pour notre souveraineté en santé

02 oct. 2025 - 10:31,

Communiqué

- La Poste Santé & Autonomie

Rendez-vous le 9 octobre 2025 à Paris pour la 3ᵉ édition d’Horizon Santé 360, l'événement annuel de La Poste Santé & Autonomie.

Illustration Le Data Act : une nouvelle ère pour la gouvernance des données de santé

Le Data Act : une nouvelle ère pour la gouvernance des données de santé

30 sept. 2025 - 07:15,

Tribune

-
Marguerite Brac de La Perrière

Le 12 septembre 2025 a marqué une étape décisive dans la stratégie européenne de la donnée avec l’entrée en application du Data Act (Règlement UE 2023/2854). Ce texte, pilier du marché unique de la donnée, vise à encadrer l’accès, le partage et la portabilité des données générées par les produits ...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.