Interrogations existentielles d’un RSSI en Cyberland

Mais bon là, pour le coup, je suis dubitatif concernant la question de la semaine, à savoir le risque SSI létal : pour une fois, j’ose dire « je ne sais pas trop ». Ce que l’on entend par « risque létal » ou « risque Armageddon », c’est le risque qui, s’il survient, met en danger l’existence même de la structure. Par exemple, au temps des cow-boys, quand le directeur de la banque fichait le camp en diligence avec le contenu du coffre-fort dans sa valise, nul doute que la banque ne s’en relevait pas (et lui non plus du reste s’il se faisait pincer). Certes, il y a peu de risques qui mettraient en danger la vie même d’un hôpital public, mais il y a des exemples, pas si anciens, qui ont pas mal secoué la structure (scandale de la Clinique du sport à Paris, affaire d’Épinal, etc.) et qui ont conduit à des condamnations au pénal tout de même. Par extension, on pourrait désigner par « risque létal » ce qui entraînerait des secousses telles que l’on se trouverait de facto dans une crise majeure, par définition incontrôlable et aux conséquences imprévisibles (une bonne définition d’une crise : c’est quand il n’y a pas de manuel). Selon une telle définition, la non-conformité vis-à-vis des commissaires aux comptes n’est pas un risque létal, même si cela piquerait forcément. Est par contre létal selon cette définition la contamination de tout le circuit d’eau qui obligerait à évacuer tout un site, la panne électrique totale pendant trois jours ou la révélation qu’un informaticien revend les données patients à la Corée du Nord (cela tombe toujours sur eux). Bref, le truc tellement grave que l’on n’imagine même pas qu’il puisse se produire, même dans nos pires cauchemars.

C’est le moment où l’honorable lecteur se demande pourquoi diable je commence ma semaine en lui bousillant la sienne avec des trucs aussi horribles. Réponse : parce qu’à la suite de différentes affaires récentes d’attaques malwares dans des CHU (pas de nom, il paraît qu’il ne faut pas communiquer dessus) il serait peut-être temps de se poser la question du risque létal IT (l’eau et l’électricité, je les laisse à mes collègues et confrères des services techniques). Force est de constater que nous travaillons sur la panne de tel ou tel progiciel majeur, sur la destruction (toutes causes confondues) du datacenter et de la capacité à basculer sur un site de secours, et que, au moins dans les CHU et les CH qui ont traité cette question, nous sommes à un niveau plus que correct (la preuve étant qu’il n’y a aucun sinistre de ce genre à déplorer depuis plus de dix ans). La panne du DPI, on traite : il y a des procédures dégradées papier, des PC sur lesquels on recopie les prescriptions sous format PDF toutes les heures, etc. La panne du Pacs, OK on isole les consoles et on va lire directement l’image dessus, ce qui au passage nécessite de pouvoir isoler des pans du LAN. Panne des labos idem. Samu idem. Mais quid de la panne de TOUT ?

Ceux qui ont l’immense privilège d’être OIV ou OSE (pas de liste, on n’a pas le droit, c’est vilain) savent que, dans la définition du SIE (système d’information essentiel), on trouve en vrac les notions de nombre d’utilisateurs, d’impact sur le fonctionnement de la nation, de lien avec des organismes tiers, etc. Le décret NIS ne donne évidemment pas de règle simple et renvoie à une appréciation des risques (de la réelle utilité de laquelle on doute d’ailleurs sur ce type de sujet, à part l’habituelle technique de ceinture et bretelles) propre à chaque organisme. Mais en résumé un SIE, c’est le truc qui, s’il s’arrête, c’est la chienlit. Un SI de Samu s’arrête ? On a des systèmes de débordement d’appels mis au point depuis plusieurs années et on reroute vers le Samu d’à côté. Un DPI s’arrête ? Ce sera le foutoir pendant deux jours, mais après on retourne au papier crayon et on rappelle du monde, voire on décale certains actes programmés (attention, je ne dis pas que ce sera drôle). Labo et pharmacie idem. Isolément, il est peu probable que la panne d’un de ces sous-systèmes conduise à une situation de crise majeure, et c’est ce qui me fait dire que l’approche Directive NIS par l’angle des SI métiers ne serait peut-être pas la bonne (et la phrase est bien au conditionnel).

Par contre, le téléphone qui s’arrête, là on ne joue plus. L’AD qui est HS, si l’on en croit le REX de Saint-Gobain, on ne souhaite cela à personne. Le hacker qui a pris la main sur votre console SCCM et qui pète tout le parc PC et serveurs en trois commandes, idem. Bref, les seuls risques qui peuvent entraîner un arrêt quasi total de tout le SI concernent les composants de l’infrastructure, parce que ce sont les sous-systèmes SI qui supportent le reste. Et c’est l’autre approche de la couverture du risque létal SI : par ces composants (j’en ai identifié à ce jour sept ou huit).
Si quelqu’un à un avis différent, je suis preneur.