Publicité en cours de chargement...
Stratégie de réponse aux ransomwares : élever un peu le débat
La stratégie de protection des entreprises privées ou publiques face à ce nouveau risque – létal dans certains cas – que constituent les ransomwares pourrait s’articuler autour des axes ou chantiers suivants :
Chantier 0 : indicateurs et guides
S’il est une chose dont on ne manque pas ici, ce sont bien les guides et les indicateurs en tout genre, rien d’autre à dire sur ce point.
Chantier 1 : créer des formations SSI dédiées
On manque de masters 2, mais aussi de licences 3. Ça fait juste dix ans qu’on le dit.
Chantier 2 : intégrer un cours de SSI dans toutes les formations de haut niveau
Facultés de médecine, écoles d’ingénieur, formations de management, formations de cadres de l’administration, d’avocats, etc. : aucun diplômé ne doit sortir du système éducatif sans avoir reçu un bagage minimal concernant la sécurité SI.
Chantier 3 : recruter des bras
Des gens qui expliquent aux entreprises quoi faire, on en trouve des palanquées. Des gens pour le faire, un peu moins. À un moment donné, il va bien falloir arrêter de tourner autour du pot et recruter. D’où l’importance du chantier 2. Et d’où l’importance de disposer de budgets adéquats, et pas simplement de crédits d’investissement.
Globalement, les débats publics faisant suite aux dernières attaques médiatisées ne vont pas plus loin que ces quatre chantiers. Ce ne sont pourtant pas les seuls.
Chantier 4 : légiférer sur les fondamentaux vis-à-vis des fournisseurs
C’est bien joli – et souvent justifié – de fustiger les hôpitaux qui ne mettent pas à jour leurs systèmes, mais quand cela est dû à une contrainte imposée par un fournisseur « à la ramasse », le poids du pauvre DSI hospitalier est bien faible. OS obsolètes, accès distants LAN to LAN sans aucun contrôle de sécurité, quand c’est une multinationale américaine qui l’établit dans ses conditions générales, seule la réglementation peut nous aider. Ce point est réclamé depuis des années par toute la profession. Rien que sur ce sujet il faut un groupe de travail.
Chantier 5 : contingenter les évolutions réglementaires ayant un impact SI
Quand une DSI consomme le tiers ou la moitié du temps de son Amoa à suivre (ou à tenter de suivre) la réglementation dans des domaines tels que la T2A ou les RH (on a les bulletins de salaire les plus illisibles du monde), difficile d’expliquer au DSI qu’il faut réduire la voilure du SI pour réaffecter des agents à la cyber.
Chantier 6 : suite du chantier précédent, réduire la voilure du SI
Les DSI n’ont pas tant un problème de moyens, n’en déplaise à certains, qu’un problème d’adéquation entre les moyens dont ils disposent et les projets fonctionnels qui leur tombent dessus à longueur de temps. 1,5 %, 2 %, qu’importe : c’est juste le fait de prétendre vouloir faire du Himss Level 6 avec même pas la moitié du budget nécessaire qui est choquant.
Chantier 7 : centraliser les DMZ
Pièces jointes infectées, sites Web rogues : la plupart des infections proviennent d’une interaction avec l’Internet. Aucun établissement – même un CHU – n’a les moyens d’avoir une DMZ correctement calibrée, avec des composants à jour. Il faut réorienter les architectures des DMZ, en les regroupant par région – a minima par GHT – et confier leur exploitation à des équipes dédiées 24/365. L’échelon idéal est régional, le national est trop gros et trop lourd. Cet aspect est fortement lié au chantier 4, car il va falloir imposer aux fournisseurs de passer par des bastions de prise de main : ça va faire drôle à certains fournisseurs quand on va leur expliquer que les accès LAN to LAN, c’est fini.
Chantier 8 : construire un Internet dédié santé avec des points d’entrée/sortie supervisés et maîtrisés
Suite logique du chantier précédent ou en combinaison avec ce dernier : l’armée le fait, et c’est désormais une nécessité pour les secteurs critiques. Une intervention de niveau opérateur national est indispensable, avec les appels d’offres de concession ad hoc. Le filtrage des IP « étrangères bizarres » relève justement d’une mission régalienne.
Chantier 9 : mettre en place une supervision centralisée
À l’échelon régional ou des GHT (encore une fois, le national est trop gros) avec SOC et Siem, le tout avec des opérateurs français, des infrastructures françaises et des logiciels nationaux.
Chantier 10 : mettre en place une task force sectorielle en santé
Avec 400 ou 500 agents, on voit mal comment l’Anssi pourra se déplacer sur plusieurs théâtres d’opération simultanés.
Tous ces chantiers ne sont évidemment pas exclusifs de ce que chaque établissement doit faire en interne : sécuriser son AD, segmenter son LAN, déployer un réseau d’admin, etc. Voir à ce sujet le Guide Cyber T3[1].
Et j’en ai forcément oublié.
Avez-vous apprécié ce contenu ?
A lire également.

Domaine 2 du programme CaRE : une matinée pour se faire accompagner
29 sept. 2025 - 11:30,
Actualité
- Valentine Bellanger, DSIHDans le cadre de son Tour de France, Orange Cyberdefense propose des matinales de rencontres et d’échanges autour d’une thématique très attendue : le Domaine 2 du programme CaRE (1). L’objectif : maîtriser les prérequis du programme CaRE et se faire accompagner pour bénéficier des soutiens financier...

Imprivata, éditeur international de solutions de gestion des accès, se développe sur le marché français pour répondre à la demande croissante en matière de sécurité et de conformité
22 sept. 2025 - 22:42,
Communiqué
- ImprivataImprivata, un éditeur international de logiciels, spécialisé dans la gestion des accès et des identités numériques pour le secteur de la santé et d’autres secteurs critiques, vient d’annoncer son expansion en France afin de répondre au besoin croissant d’améliorer leur sécurité et de se conformer au...

Intelligence artificielle : construire la confiance, renforcer les compétences
22 sept. 2025 - 22:31,
Tribune
-Dans moins de trois ans, l’Intelligence Artificielle sera présente dans 90 % des établissements de santé. Déjà adoptée par un tiers d’entre eux, elle impose de dépasser le mythe technologique pour affronter la question d’un usage éclairé.
Refuser de donner son mot de passe lors d’un arrêt maladie serait seulement un problème de désobéissance ? Bullshit.
22 sept. 2025 - 22:16,
Tribune
-Vous l’avez certainement vu passer, cet article [1] d’acteurspublic.fr qui commente la décision d’un tribunal administratif et qui affirme que « Refuser de donner son mot de passe lors d’un arrêt maladie peut être assimilé à de la désobéissance ». Sauf que l’histoire est un tantinet plus complexe e...