Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Sécurité des SI : danger de la monotonie, l’enjeu du RSSI

09 fév. 2021 - 10:10,
Tribune - Cédric Cartau
Dans le dernier numéro du Courrier international (n° 1579 du 4 février), tout un dossier est consacré à la façon dont les administrations de plusieurs pays ont géré la crise Covid-19 depuis son origine. Le premier article du dossier, centré sur le Royaume-Uni, ne fait pas dans la dentelle et fait carrément le parallèle avec la retraite en catastrophe de l’armée britannique à Dunkerque en 1940. Trois journalistes méconnus à l’époque avaient fait paraître un court essai (Guilty Men, non traduit en français) qui fustigeait une administration dépassée par les événements, incapable d’interpréter les signes pourtant évidents d’une guerre à venir et préférant un fonctionnement routinier à une mobilisation préalable, coûteuse mais nécessaire, de ressources.

D’aucuns diront que les « démocratures » s’en sont mieux sorties que les vraies démocraties, justement parce que l’opinion publique n’y compte pour rien, qu’il a été facile de fliquer la population et d’imposer des mesures draconiennes de confinement : c’est malheureusement faux, et des exemples comme celui de la Corée du Sud sont là pour infirmer cet avis. En fait, la taille du pays et son régime politique ne sont pas discriminants : seule compte la capacité de l’administration à réagir vite et avec des mesures parfois extrêmes. C’est pour cela que la Belgique (11 millions d’habitants) a été aussi inefficace que la plupart des pays européens, alors qu’Israël s’en est très bien sorti.

De façon générale, les organisations qui sont régulièrement confrontées à des menaces sérieuses sont mithridatisées et savent mobiliser rapidement des ressources, des organisations, des femmes et des hommes, pour faire face à l’inconnu. L’UE n’a connu aucune menace pandémique depuis 1970, alors que les pays asiatiques y sont confrontés tous les cinq ans, et la différence est là.

Il n’y a rien de pire, pour un RSSI et pour son organisation, qu’un serveur qui n’est jamais tombé en panne, qu’une application qui n’a jamais connu d’arrêt, qu’un pôle ou un service qui n’a jamais connu d’incident IT. Je tiens, pour mon propre compte, une liste exhaustive des gros incidents IT que j’ai pu rencontrer en 21 ans de monde hospitalier. Et le constat est sans appel : il se produit en moyenne un incident majeur tous les 18 à 24 mois, et surtout l’incident qui se produit est presque toujours un truc qui n’est jamais arrivé, que l’on va finir par régler, et pour lequel on sera parfaitement préparé quand il se reproduira… jusqu’au prochain gros incident, qui ne se sera jamais produit, etc.

Dans ce contexte, on peut légitimement s’interroger sur la pertinence des appréciations de risques formalisées qui durent des plombes (et accessoirement coûtent un bras) : pourquoi se faire des nœuds au cerveau à essayer d’imaginer ce que de toute manière il est impossible d’anticiper ? L’expérience tend à démontrer qu’il vaut mieux non pas se limiter à quelques risques, mais plutôt miser sur la capitalisation des risques au fur et à mesure de leur apparition – et ne pas oublier de mettre à jour l’appréciation.

En fait, le pire danger pour un RSSI est de se trouver au milieu d’une organisation qui ronronne doucement. Ne pas être confronté régulièrement à des menaces extérieures est le meilleur moyen de disparaître de son écosystème. Ce n’est pas pour rien que les élèves pilotes doivent régulièrement faire des tests de panne moteur en vol, ce n’est pas pour rien qu’il faut faire régulièrement des tests de sécurité incendie (avec un test d’évacuation du personnel). À ce sujet, il faut absolument écouter le Super Fail[1] sur l’incendie de la cathédrale Notre-Dame : pas de test des dispositifs, personnels mal formés et insuffisants, dispositif global de crise inexistant, il eût été difficile de faire pire.

Les CH et les CHU qui ont été récemment confrontés à des attaques de cryptolocker sont, il faut le dire, beaucoup mieux préparés à une réitération de ce genre de sinistre cyber que les autres. N’allons pas jusqu’à dire qu’il faut se cryptolocker soi-même pour rendre son organisation résiliente, mais des tests de restauration, des audits sur la dernière sauvegarde de l’AD, des simulations (boîte noire ou blanche) d’attaque crypto avec rappel de personnel (oui, je sais, ça ennuie prodigieusement tout le monde, autant que le teste d’évacuation incendie), constituent certainement une meilleure protection que le dernier SOC tout beau qui clignote en couleurs.

Les organisations humaines se comportent, en un certain sens, comme des organismes biologiques : on y retrouve la même capacité à développer des anticorps… si elles ne meurent pas avant. Un RSSI doit se voir comme le gugusse qui se promène dans les couloirs avec une seringue vaccinale au bout des doigts : ne vous inquiétez pas, ça va piquer un peu, mais c’est pour votre bien.


[1]   https://www.franceculture.fr/emissions/superfail/notre-dame-des-catastrophes 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Galeon, le seul DPI certifié pour l’aide à la prescription hospitalière (LAP)

Galeon, le seul DPI certifié pour l’aide à la prescription hospitalière (LAP)

13 mai 2025 - 08:00,

Communiqué

- Galeon

Certains ne font rien comme les autres dans le milieu hospitalier. C’est le cas de Galeon qui s’inscrit comme le premier logiciel à être certifié LAP. Une première dans le monde des logiciels hospitaliers.

Illustration « La donnée, c’est le socle de la transformation » Entretien-vérité avec Dominique Pon sur l’avenir du numérique en santé

« La donnée, c’est le socle de la transformation » Entretien-vérité avec Dominique Pon sur l’avenir du numérique en santé

11 mai 2025 - 18:19,

Actualité

- DSIH,

Deux ans après la création de La Poste Santé & Autonomie, Dominique Pon, son Directeur Général, en expose les fondements, les choix structurants et ses priorités. À la veille d’une intervention attendue au salon SantExpo, il aborde sans détour les enjeux du numérique en santé : stratégie industriell...

Illustration À l’ère de l’IA conversationnelle, l’intégration de Dragon Medical One à Philips SpeechLive reconnecte médecins et secrétaires

À l’ère de l’IA conversationnelle, l’intégration de Dragon Medical One à Philips SpeechLive reconnecte médecins et secrétaires

08 mai 2025 - 14:46,

Communiqué

-
Philippe VEMCLEFS

Utilisée par plus de 10 000 structures de santé à travers le monde dont 550 000 médecins (1), Dragon Medical One (DMO) est la solution de reconnaissance vocale médicale la plus reconnue, tant chez les médecins spécialistes que chez les radiologues. Devenue une référence incontournable dans le secteu...

Illustration Élargissement de la feuille de route pour la performance des achats et de la logistique

Élargissement de la feuille de route pour la performance des achats et de la logistique

06 mai 2025 - 08:10,

Actualité

- Damien Dubois, DSIH

Le 28 avril, la feuille de route pour la performance des achats et de la logistique des établissements de santé et médico-sociaux a été étendue selon trois axes structurants : Pilotage, Produits de santé et criticité, Pratiques et processus d’achat.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.