Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Sécurité des SI : danger de la monotonie, l’enjeu du RSSI

09 fév. 2021 - 10:10,
Tribune - Cédric Cartau
Dans le dernier numéro du Courrier international (n° 1579 du 4 février), tout un dossier est consacré à la façon dont les administrations de plusieurs pays ont géré la crise Covid-19 depuis son origine. Le premier article du dossier, centré sur le Royaume-Uni, ne fait pas dans la dentelle et fait carrément le parallèle avec la retraite en catastrophe de l’armée britannique à Dunkerque en 1940. Trois journalistes méconnus à l’époque avaient fait paraître un court essai (Guilty Men, non traduit en français) qui fustigeait une administration dépassée par les événements, incapable d’interpréter les signes pourtant évidents d’une guerre à venir et préférant un fonctionnement routinier à une mobilisation préalable, coûteuse mais nécessaire, de ressources.

D’aucuns diront que les « démocratures » s’en sont mieux sorties que les vraies démocraties, justement parce que l’opinion publique n’y compte pour rien, qu’il a été facile de fliquer la population et d’imposer des mesures draconiennes de confinement : c’est malheureusement faux, et des exemples comme celui de la Corée du Sud sont là pour infirmer cet avis. En fait, la taille du pays et son régime politique ne sont pas discriminants : seule compte la capacité de l’administration à réagir vite et avec des mesures parfois extrêmes. C’est pour cela que la Belgique (11 millions d’habitants) a été aussi inefficace que la plupart des pays européens, alors qu’Israël s’en est très bien sorti.

De façon générale, les organisations qui sont régulièrement confrontées à des menaces sérieuses sont mithridatisées et savent mobiliser rapidement des ressources, des organisations, des femmes et des hommes, pour faire face à l’inconnu. L’UE n’a connu aucune menace pandémique depuis 1970, alors que les pays asiatiques y sont confrontés tous les cinq ans, et la différence est là.

Il n’y a rien de pire, pour un RSSI et pour son organisation, qu’un serveur qui n’est jamais tombé en panne, qu’une application qui n’a jamais connu d’arrêt, qu’un pôle ou un service qui n’a jamais connu d’incident IT. Je tiens, pour mon propre compte, une liste exhaustive des gros incidents IT que j’ai pu rencontrer en 21 ans de monde hospitalier. Et le constat est sans appel : il se produit en moyenne un incident majeur tous les 18 à 24 mois, et surtout l’incident qui se produit est presque toujours un truc qui n’est jamais arrivé, que l’on va finir par régler, et pour lequel on sera parfaitement préparé quand il se reproduira… jusqu’au prochain gros incident, qui ne se sera jamais produit, etc.

Dans ce contexte, on peut légitimement s’interroger sur la pertinence des appréciations de risques formalisées qui durent des plombes (et accessoirement coûtent un bras) : pourquoi se faire des nœuds au cerveau à essayer d’imaginer ce que de toute manière il est impossible d’anticiper ? L’expérience tend à démontrer qu’il vaut mieux non pas se limiter à quelques risques, mais plutôt miser sur la capitalisation des risques au fur et à mesure de leur apparition – et ne pas oublier de mettre à jour l’appréciation.

En fait, le pire danger pour un RSSI est de se trouver au milieu d’une organisation qui ronronne doucement. Ne pas être confronté régulièrement à des menaces extérieures est le meilleur moyen de disparaître de son écosystème. Ce n’est pas pour rien que les élèves pilotes doivent régulièrement faire des tests de panne moteur en vol, ce n’est pas pour rien qu’il faut faire régulièrement des tests de sécurité incendie (avec un test d’évacuation du personnel). À ce sujet, il faut absolument écouter le Super Fail[1] sur l’incendie de la cathédrale Notre-Dame : pas de test des dispositifs, personnels mal formés et insuffisants, dispositif global de crise inexistant, il eût été difficile de faire pire.

Les CH et les CHU qui ont été récemment confrontés à des attaques de cryptolocker sont, il faut le dire, beaucoup mieux préparés à une réitération de ce genre de sinistre cyber que les autres. N’allons pas jusqu’à dire qu’il faut se cryptolocker soi-même pour rendre son organisation résiliente, mais des tests de restauration, des audits sur la dernière sauvegarde de l’AD, des simulations (boîte noire ou blanche) d’attaque crypto avec rappel de personnel (oui, je sais, ça ennuie prodigieusement tout le monde, autant que le teste d’évacuation incendie), constituent certainement une meilleure protection que le dernier SOC tout beau qui clignote en couleurs.

Les organisations humaines se comportent, en un certain sens, comme des organismes biologiques : on y retrouve la même capacité à développer des anticorps… si elles ne meurent pas avant. Un RSSI doit se voir comme le gugusse qui se promène dans les couloirs avec une seringue vaccinale au bout des doigts : ne vous inquiétez pas, ça va piquer un peu, mais c’est pour votre bien.


[1]   https://www.franceculture.fr/emissions/superfail/notre-dame-des-catastrophes 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE

Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE

09 mai 2025 - 16:39,

Actualité

- DSIH

Le programme CaRE franchit une étape clé. Moins d’un an après le lancement de son premier appel à financement dédié à la sécurisation des annuaires techniques et de l’exposition sur Internet, la direction du programme annonce la validation du premier dossier ayant atteint l’ensemble des objectifs fi...

Illustration Ce que nous enseigne la mégapanne électrique dans la péninsule ibérique

Ce que nous enseigne la mégapanne électrique dans la péninsule ibérique

05 mai 2025 - 23:11,

Tribune

-
Cédric Cartau

Impossible de l’avoir ratée, la mégapanne électrique chez nos amis espagnols et portugais. Cet incident est riche d’enseignements, et force est de constater qu’il n’y a pas que des mauvaises nouvelles. D’abord, selon nos informations à ce jour, il n’y a eu aucune victime : c’est une bonne nouvelle.

Illustration Un hôpital, sous-traitant, sanctionné pour ne pas avoir déclaré les sous-traitants ultérieurs

Un hôpital, sous-traitant, sanctionné pour ne pas avoir déclaré les sous-traitants ultérieurs

02 mai 2025 - 16:13,

Tribune

- Alexandre Fievee, Gaétan Dufoulon et Alice Robert de Derriennic Associés

Par décision du 10 avril 2025 [1], l’autorité de contrôle espagnole a infligé une amende de 500.000 euros à un hôpital qui avait recruté des sous-traitants ultérieurs sans en informer préalablement le responsable du traitement.

Illustration Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée

Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée

24 avril 2025 - 15:14,

Actualité

- DSIH

La Délégation au numérique en santé (DNS) publie le premier rapport d’activité de la Plateforme d’éthicovigilance du numérique en santé, un dispositif inédit lancé fin 2023 pour recueillir les signalements d’usagers et de professionnels confrontés à des enjeux éthiques liés aux technologies de santé...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.