Publicité en cours de chargement...
Quelques idées en vrac pour les RSSI désœuvrés
De temps à autre, il arrive cependant de tomber sur une idée intéressante d’un confrère, une suggestion d’un collègue ou tout simplement un os (ou si vous préférez une mouche dans le lait) qui nous conduisent à mettre en place des vérifications périodiques d’éléments simples, le genre auquel personne ne pense, mais qui peut parfois éviter de gros, gros ennuis.
Par exemple, il peut être intéressant de googliser son PDG. Pas pour connaître la marque de sa voiture, mais juste pour voir si par hasard il n’y aurait pas trop d’informations qui traînent sur le Web le concernant, et qui seraient un marchepied rêvé pour un début d’arnaque au président. Une offre de services existe sur le marché, mais elle n’est pas spécialement pléthorique. Sinon, j’étais tombé une fois sur Maltego, un outil avec une version gratuite qui s’en charge. Une petite recherche de ce genre, une fois par an ou à chaque changement de Big Boss, paraît raisonnable.
Dans le même genre, un petit coup d’attaque en force brute sur les mots de passe AD de l’ensemble du board, juste histoire de vérifier si quelqu’un n’utiliserait pas, par le plus grand des hasards, le prénom du (de la) conjoint(e), la date de mariage ou celle de la communion du petit dernier. Rappelons en effet que sans OTP[1] en cas de MFA[2], le Webmail de la personne en question est accessible à travers ce simple mot de passe, et que tous deviennent potentiellement des cibles. À faire a minima tous les ans. La première année, prévenir tout de même, les suivantes, ne prévenir personne.
Toujours dans le registre de la veille, vous ne pouvez pas savoir la quantité de trucs que l’on trouve en tapant tout simplement dans son moteur de recherche préféré la chaîne de caractères suivante : « filetype:pdf nom_de_la_boite ». Certains CHU ont trouvé sur le Web des comptes rendus médicaux en PDF, des documents financiers, des programmes de financement de projets de recherche a priori confidentiels, tout en open bar. Souvent, ce sont des utilisateurs internes qui utilisent des plateformes d’échange de fichiers qui ne suppriment jamais rien. Fréquence : au moins deux fois par an, et penser à conseiller à ses utilisateurs une plateforme « RGPD responsable », à défaut d’en héberger une soi-même.
Pour la configuration de son serveur de messagerie, il existe pas mal d’outils bien sympathiques (et en plus gratuits) qui peuvent auditer la configuration de la passerelle externe, voire analyser toute la trame d’un message et pointer les problèmes potentiels. Par exemple https://www.mail-tester.com/, mais aussi https://zonemaster.net/domain_check ou https://mxtoolbox.com/. À faire a minima tous les ans, l’ingé infra en charge de la plateforme va vous haïr, surtout ne me remerciez pas, c’est tout naturel.
Last but not least, lancer un coup de PingCastle toutes les semaines, histoire de contrôler les comptes à privilèges : si vous en voyez apparaître qui ne sont pas passés par un processus formalisé d’approbation et de création, vous pouvez sortir le martinet. Dans sa dernière mouture, PingCastle offre une fonction qui permet de lister l’ensemble des partages de fichiers totalement accessibles en lecture-écriture sur votre réseau. Mon conseil : à lancer tous les mois, mais la première fois restez bien assis avant d’ouvrir le rapport : on signale des cas d’apoplexie de certains RSSI imprudents.
Bon, j’aurais pu aussi vous parler de vérification de typosquatting (les petits rigolos qui déposent des noms de domaine proche du vôtre pour du phishing, entre autres), du scan de surface périmétrique à l’aide d’outils tels IKare de ITrust, des scans Shodan pour vérifier si des IoT ne sont pas connectés en direct, des revues automatisées des habilitations des accès à votre réseau Wifi public ou à votre VPN fournisseurs : mais c’est inutile, vous le faites déjà.
[1] One-Time Password.
[2] Multi-Factor Authentication.
Avez-vous apprécié ce contenu ?
A lire également.

Interopérabilité en santé : FHIR on fire
23 juin 2025 - 21:47,
Actualité
- DSIH, Guilhem De ClerckHLTH 2025 – Amsterdam, 17 juin 2025 – Sur la scène du congrès HLTH, l’interopérabilité des données de santé s’est imposée comme un enjeu central, illustrant les limites persistantes des systèmes actuels et les espoirs placés dans la norme FHIR (Fast Healthcare Interoperability Resources). Au cœur de...

Harmonisation des grilles de redevances pour l’accès aux données
23 juin 2025 - 18:07,
Actualité
- Damien Dubois, DSIHLe 19 juin, le Health Data Hub a annoncé la disponibilité des grilles de redevances pour l’accès aux données de santé afin de faciliter la contractualisation entre établissements hospitaliers et acteurs privés.

Marc Bertrand-Mapataud nommé directeur des ressources humaines de l’AP-HP
17 juin 2025 - 11:59,
Communiqué
- l’AP-HPNicolas Revel, directeur général de l’AP-HP, a nommé Marc Bertrand-Mapataud, directeur des ressources humaines de l’AP-HP, à compter du 16 juin 2025. Il succède ainsi à Vannessa Fage-Moreel, actuellement adjointe au directeur du groupe hospitalo-universitaire (GHU) AP-HP. Nord - Université Paris Cit...

Changer de solution SIH : méthode, engagement et vision d’usage pour réussir le déploiement
16 juin 2025 - 22:32,
Tribune
-Changer de DPI, de SIRH ou d’outil logistique n’est plus un simple projet technique. Dans un contexte hospitalier sous tension, réussir le changement et le déploiement d’une solution SIH impose une approche rigoureuse, coconstruite et profondément orientée utilisateurs. Objectiver les choix, sécuris...