Publicité en cours de chargement...

Publicité en cours de chargement...

Les bonnes résolutions pour 2020 en 10 commandements

07 jan. 2020 - 10:08,
Tribune - Charles Blanc-Rolin
Vous n’échapperez pas à la tradition, on ne commence pas une nouvelle année sans prendre de bonnes résolutions. Les fêtes de fin d’année sont passées et il temps de se remettre au travail. Je vous propose donc 10 commandements pour bien démarrer l’année 2020 !

1. Tes réseaux tu cloisonneras

Quel RSSI du secteur de la santé peut se targuer d’avoir optimisé au mieux le cloisonnement de ses réseaux. Faut-il déjà tous les connaître. Nos SIH ont souvent un lourd passé et des réseaux « fourre-tout » qu’il n’est pas toujours facile de segmenter. Alors cette année encore, il faudra reprendre son bâton de pèlerin pour consolider l’existant et bien penser les nouvelles architectures lors des lancements de nouveaux projets.

2. À jour, tes systèmes tu maintiendras

Revisiter sa politique de « patch management », ou la définir si ce n’est pas encore fait. Évincer les systèmes et logiciels obsolètes, essayer de ne pas prendre un train de retard, car l’année 2019 nous l’a encore démontré, les vulnérabilités corrigées, lorsqu’elles ne sont pas exploitées avant la publication d’un correctif, finissent toujours par l’être, et de plus en plus rapidement.

3. Dans ton Active Directory tu investigueras

L’annuaire Active Directory est le « colosse au pieds d’argile » de nos SIH. Il contient l’ensemble des secrets de nos utilisateurs, ainsi que leurs droits d’accès. Peu maîtrisé des administrateurs, mal configuré et rarement « entretenu », il est une proie vulnérable, de plus en plus attaquée. Sa compromission est une véritable catastrophe. En effet, comme le recommande l’ANSSI, sa reconstruction complète s’avère nécessaire si un tel drame se produit. Alors l’abus d’outils tels que l’excellent Ping Castle [1] de Vincent Le Toux, dont la version 2.7.1.1 a récemment été publiée ou encore Blood Hound [2] est fortement recommandé pour la santé de votre AD.  

4. La bonne parole tu diffuseras

La sensibilisation n’est pas une chose aisée. Elle doit être récurrente sans être lassante. Mooc, simulation de phising, ateliers, affiches, courriels, vidéos... tous les moyens sont bons pour faire passer vos messages. Vous pouvez également vous appuyer sur l’excellent serious game Sant’escape [3].

5. Des incidents tu simuleras

S’entraîner, se préparer aux incidents cyber qui arriveront tôt ou tard afin de bien roder l’organisation à mettre en place en cas de crise, en réalisant des exercices à l’image d’Écran Santé [4] ou ceux proposés par le GCS Sesan [5], s’avère être de plus en plus nécessaire.

6. Informé tu te tiendras

La sécurité des SI est perpétuellement en mouvement, alors se tenir informé est primordiale pour le RSSI. Pour ça, vous pouvez toujours compter sur DSIH magazine, adhérer à l’APSSIS [6] et vous inscrire sur le Forum SIH [7].

7. La collecte de données à caractère personnel tu limiteras

Dans la santé, nous avons toujours peur de manquer d’informations, alors nous avons tendance à adopter la politique « qui peut le plus, peut le moins » et collecter beaucoup plus de données que de besoins. Revoir ses traitements pour tenter d’être conforme au RGPD peut s’avérer être une bonne idée vu les amendes qui sont tombées l’année passée.

8. Dans les sauvegardes tu investiras

Lorsque l’on parle de sécurité, avec toutes les nouvelles solutions prêtes à résoudre l’ensemble de nos problèmes miraculeusement en se basant sur la block chain, l’IA, le machine learning et tout le toutim, on a parfois a tendance à oublier l’essentiel. Avoir des sauvegardes régulières, cloisonnées (disques) et déconnectées (bandes), mais aussi testées est fondamental.

9. Ton analyse de risques tu présenteras

Ce n’est pas forcément la partie la plus sexy du job, mais ça fait partie du travail du RSSI de présenter son analyse de risques au COMEX ou à la CME. Alors, au boulot !  

10. Ton budget SSI tu défendras

Avoir un budget dédié à la sécurité des SI fait partie des règles clés à respecter, c’est la Ministre qui l’a dit ! Alors, une fois encore, il va falloir se battre pour défendre son budget SSI, en comparant le coût de la sécurité VS le coût d’un incident, en rappelant que la sécurité n’est pas une option et que si l’on veut pouvoir obtenir les financements Hop’En, il va déjà falloir atteindre les prérequis SSI.

Bonne année à toutes et tous !


[1] https://www.pingcastle.com/

 [2] https://github.com/BloodHoundAD/BloodHound

 [3] https://www.esante-paysdelaloire.fr/fr/santescape/

[4] /article/3459/ecran-sante-2019-retour-d-experience.html

[5] https://youtu.be/7QNjfHTKtgc

[6] https://www.apssis.com/ 

[7] https://www.forum-sih.fr/ 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration MedGPT : le premier assistant IA médical français, alternative à ChatGPT

MedGPT : le premier assistant IA médical français, alternative à ChatGPT

17 sept. 2025 - 08:48,

Actualité

- DSIH

La startup bordelaise Synapse Medicine vient de franchir une étape majeure dans le domaine de la santé numérique avec le lancement de MedGPT, un assistant conversationnel basé sur l’intelligence artificielle et conçu exclusivement pour les professionnels de santé.

Regonfler un pneu ou s’attaquer à la root cause : vision 27001 de la mise sous contrainte

15 sept. 2025 - 22:20,

Tribune

-
Cédric Cartau

Imaginez un peu la scène : vous êtes dans votre jardin en train de tailler vos rosiers, et par-dessus la clôture vous apercevez votre voisin que vous saluez chaleureusement. Vous en profitez pour le prévenir que le pneu arrière gauche de sa voiture, garée dans son allée et que vous voyez très bien d...

Illustration Tour de France CaRE Domaine 2

Tour de France CaRE Domaine 2

13 sept. 2025 - 16:20,

Communiqué

- Orange Cyberdefense

La cybersécurité n’est plus une option pour les établissements de santé ! Grâce au programme CaRE, vous pouvez bénéficier de subventions pour augmenter votre résilience numérique. Orange Cyberdefense vous invite à son Tour de France autour du Domaine 2 du programme CaRE de mi-septembre à mi-octobre.

Illustration CaRE D2 : renforcer la continuité et la reprise d’activité grâce au test du PCRA

CaRE D2 : renforcer la continuité et la reprise d’activité grâce au test du PCRA

08 sept. 2025 - 11:50,

Tribune

-
Manon DALLEAU

Le mois de juillet 2025 a marqué le lancement de CaRE D2, avec pour objectif de renforcer la stratégie de continuité et de reprise d'activité des établissements de santé, aussi bien sur le plan métier que sur le plan informatique. Au cœur du dispositif : le Plan de Continuité et de Reprise d'Activit...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.