Publicité en cours de chargement...
Sécurité des SI : danger de la monotonie, l’enjeu du RSSI
D’aucuns diront que les « démocratures » s’en sont mieux sorties que les vraies démocraties, justement parce que l’opinion publique n’y compte pour rien, qu’il a été facile de fliquer la population et d’imposer des mesures draconiennes de confinement : c’est malheureusement faux, et des exemples comme celui de la Corée du Sud sont là pour infirmer cet avis. En fait, la taille du pays et son régime politique ne sont pas discriminants : seule compte la capacité de l’administration à réagir vite et avec des mesures parfois extrêmes. C’est pour cela que la Belgique (11 millions d’habitants) a été aussi inefficace que la plupart des pays européens, alors qu’Israël s’en est très bien sorti.
De façon générale, les organisations qui sont régulièrement confrontées à des menaces sérieuses sont mithridatisées et savent mobiliser rapidement des ressources, des organisations, des femmes et des hommes, pour faire face à l’inconnu. L’UE n’a connu aucune menace pandémique depuis 1970, alors que les pays asiatiques y sont confrontés tous les cinq ans, et la différence est là.
Il n’y a rien de pire, pour un RSSI et pour son organisation, qu’un serveur qui n’est jamais tombé en panne, qu’une application qui n’a jamais connu d’arrêt, qu’un pôle ou un service qui n’a jamais connu d’incident IT. Je tiens, pour mon propre compte, une liste exhaustive des gros incidents IT que j’ai pu rencontrer en 21 ans de monde hospitalier. Et le constat est sans appel : il se produit en moyenne un incident majeur tous les 18 à 24 mois, et surtout l’incident qui se produit est presque toujours un truc qui n’est jamais arrivé, que l’on va finir par régler, et pour lequel on sera parfaitement préparé quand il se reproduira… jusqu’au prochain gros incident, qui ne se sera jamais produit, etc.
Dans ce contexte, on peut légitimement s’interroger sur la pertinence des appréciations de risques formalisées qui durent des plombes (et accessoirement coûtent un bras) : pourquoi se faire des nœuds au cerveau à essayer d’imaginer ce que de toute manière il est impossible d’anticiper ? L’expérience tend à démontrer qu’il vaut mieux non pas se limiter à quelques risques, mais plutôt miser sur la capitalisation des risques au fur et à mesure de leur apparition – et ne pas oublier de mettre à jour l’appréciation.
En fait, le pire danger pour un RSSI est de se trouver au milieu d’une organisation qui ronronne doucement. Ne pas être confronté régulièrement à des menaces extérieures est le meilleur moyen de disparaître de son écosystème. Ce n’est pas pour rien que les élèves pilotes doivent régulièrement faire des tests de panne moteur en vol, ce n’est pas pour rien qu’il faut faire régulièrement des tests de sécurité incendie (avec un test d’évacuation du personnel). À ce sujet, il faut absolument écouter le Super Fail[1] sur l’incendie de la cathédrale Notre-Dame : pas de test des dispositifs, personnels mal formés et insuffisants, dispositif global de crise inexistant, il eût été difficile de faire pire.
Les CH et les CHU qui ont été récemment confrontés à des attaques de cryptolocker sont, il faut le dire, beaucoup mieux préparés à une réitération de ce genre de sinistre cyber que les autres. N’allons pas jusqu’à dire qu’il faut se cryptolocker soi-même pour rendre son organisation résiliente, mais des tests de restauration, des audits sur la dernière sauvegarde de l’AD, des simulations (boîte noire ou blanche) d’attaque crypto avec rappel de personnel (oui, je sais, ça ennuie prodigieusement tout le monde, autant que le teste d’évacuation incendie), constituent certainement une meilleure protection que le dernier SOC tout beau qui clignote en couleurs.
Les organisations humaines se comportent, en un certain sens, comme des organismes biologiques : on y retrouve la même capacité à développer des anticorps… si elles ne meurent pas avant. Un RSSI doit se voir comme le gugusse qui se promène dans les couloirs avec une seringue vaccinale au bout des doigts : ne vous inquiétez pas, ça va piquer un peu, mais c’est pour votre bien.
[1] https://www.franceculture.fr/emissions/superfail/notre-dame-des-catastrophes
Avez-vous apprécié ce contenu ?
A lire également.

« Restons maîtres de notre destin » - La souveraineté, l’innovation et la résilience du système de santé comme thématiques clés de la matinée Horizon Santé 360
20 oct. 2025 - 15:51,
Actualité
- Par Pauline Nicolas, DSIHLa 3ème édition d’Horizon Santé 360 s’est ouverte le jeudi 9 octobre 2025 et a réuni plus de 550 acteurs du secteur de la santé (établissements de santé, industrie pharmaceutique, institutionnels, consultants, industriels, start-up). Cette journée a débuté par une conférence introductive de Dominiqu...
RGPD et cyber : l’ouverture de la chasse à la bécasse et à la galinette cendrée[1]
20 oct. 2025 - 13:47,
Tribune
-En l’espace d’une semaine, je tombe sur deux « news » de la planète RGPD/RSSI, à propos desquelles on se demande comment les organisations impliquées ont bien pu « en arriver là » – sans conséquences gravissimes, heureusement.

La combinaison Philips SpeechLive et Dragon Medical One fluidifie l’organisation au sein du Cabinet de Cardiologie SCP Cardiovasculaire de l’Est
17 oct. 2025 - 15:01,
Communiqué
- PhilipsLa SCP Cardiovasculaire de l’Est constitue un groupement d’experts en cardiologie qui propose une offre complète de soins avec une forte présence à Nancy, Essey-lès-Nancy et Épinal. Elle réunit 12 cardiologues associés qui exercent en cabinet comme en clinique, avec une expertise allant du suivi méd...

L’IA en santé : la parole des usagers au cœur de la stratégie ministérielle
13 oct. 2025 - 18:29,
Actualité
- Rédaction, DSIHAlors que l’intelligence artificielle transforme le monde de la santé, France Assos Santé veille à ce que la voix des patients reste au centre des décisions. À travers une large consultation et des témoignages d’associations, l’organisation plaide pour une IA responsable, éthique et réellement au se...