Publicité en cours de chargement...
La sécurité des SI ou le concours de l’avant-dernier
Vous connaissez par contre tous Charles Ponzi, à l’origine de l’arnaque de la pyramide qui porte son nom. Simple, rapide et redoutable, ce montage en a ruiné plus d’un et a duré beaucoup plus longtemps : alors que Faulkner a sévi pendant « à peine » dix ans, Ponzi a utilisé son système toute sa vie (il a même été recruté par le ministère des Finances italien sous Mussolini et réussi à chiper une somme dont on ignore le montant – authentique). Bref, les trucs les plus simples sont les meilleurs et aussi les plus redoutables. Et, dans le système de Ponzi, vous pouvez être l’avant-dernier, mais jamais le dernier : c’est celui qui se fait plumer jusqu’à l’os.
Une enquête récente, commandée par l’éditeur Kaspersky et relatée par CIO-Online[2], alerte sur l’obsolescence des systèmes informatiques dans le monde de la santé, et souligne à la fois l’état inquiétant des systèmes (dont l’obsolescence n’est dans la plupart des cas même pas connue) et la sous-estimation de cette réalité par les décideurs IT de par le monde. L’étude pointe même du doigt certaines incohérences, par exemple en France où l’on avoue une situation inconnue (en termes de niveau de patch) et des vulnérabilités aux attaques cyber, avec en même temps un assez bon niveau de confiance dans la capacité de résistance à ces mêmes attaques (on doit avoir les RSSI top moumoutes, ça doit être cela…).
Le 1er mars dernier, l’EFS (Établissement français du sang) a subi une attaque de type Emotet. Cette attaque n’a été portée à la connaissance des RSSI santé que le vendredi 4 mars (soit trois jours plus tard, autant dire une éternité), et pendant une journée tout le monde a été à la recherche d’informations, qui reforwardant un mail d’un de ses correspondants EFS local, qui mentionnant un échange verbal avec un informaticien de sa connaissance, etc. Clairement, on a eu un souci dans la remontée et la diffusion d’une information à caractère d’urgence, des dispositifs pourtant de base dans toute gestion du risque SI à l’échelon national. Tout se passe comme si le risque SI était géré en routine avec les bésicles d’un informaticien des années 80.
Daniel Kahneman décrit dans Système 1, système 2 deux modes de pensée : l’automatique et le réfléchi. Le premier est celui que vous utilisez quand vous respirez, quand vous mettez en marche la machine à café en même temps que vous téléphonez à votre boss : on est dans le domaine de l’automatisme, de l’acquis. Le second est celui que vous mettez en branle lorsque vous apprenez à conduire, lorsque vous vous dirigez dans une ville inconnue : on est dans le domaine de l’attention forte, de la réflexion (et c’est épuisant au demeurant). Frédéric Beltran dans Le pilote, acteur de sa sécurité fait remarquer qu’une bonne partie des accidents d’avion proviennent du fait que l’esprit du pilote est resté dans le premier mode, alors que l’environnement extérieur (situation à risque, configuration inhabituelle) aurait dû le faire basculer dans le second (et toute la difficulté est bien de garder au fond du crâne une alarme qui alerte sur ce nécessaire changement de mode).
Entre la situation cyber globale de ces dernières années et le contexte géopolitique récent, cette alarme sonne sans discontinuer et hurle aux oreilles des organisations que les dispositifs cyber (protection, alerte, mais pas que) doivent d’urgence quitter le système 1 pour se caler sur le système 2. Comme l’écrit Niall Ferguson à propos du premier conflit mondial, a posteriori on se demandera comment on a pu ignorer la course aux armements, les tensions internationales et les articles réguliers dans la presse nationale qui tous auraient dû nous alerter sur le conflit à venir.
Si la crise ukrainienne ne parvient pas à nous faire basculer de mode, alors il ne restera que le crash à grande échelle. Et il ne fera pas bon être le dernier dans cette immense pyramide de Ponzi qu’est la cyberprotection des SI modernes.
[1] Voir l’excellent ouvrage de Niall Ferguson : L’Irrésistible Ascension de l’argent.
Avez-vous apprécié ce contenu ?
A lire également.
Publication d’un corpus inédit de comptes rendus médicaux fictifs en open data pour accélérer l’IA en santé
26 mars 2026 - 19:08,
Actualité
- Rédaction, DSIHDans un contexte réglementaire européen exigeant, qui garantit un accès et un partage sécurisés des données de santé, le projet PARTAGES apporte une réponse opérationnelle aux défis posés à l’IA en santé. Coordonné par la Plateforme des données de santé (Health Data Hub) et réunissant 32 partenaires...
Speech Processing Solutions dévoile Philips SpeechLive Health, un nouvel assistant IA conçu pour la documentation clinique moderne
25 mars 2026 - 14:46,
Communiqué
- Speech Processing SolutionsSpeech Processing Solutions, leader mondial des solutions professionnelles de dictée et de traitement de la parole commercialisées sous la marque Philips, annonce le lancement de Philips SpeechLive Health, un assistant de documentation clinique basé sur l’IA conçu pour les professionnels de santé. C...
Dedalus et Inovie renouvellent leur partenariat pour le déploiement à grande échelle de la suite InVitro
25 mars 2026 - 08:24,
Communiqué
- DedalusDedalus, acteur majeur de la numérisation des laboratoires de biologie médicale, et INOVIE, acteur majeur du diagnostic médical en France, annoncent la signature d’un partenariat stratégique d’une durée de cinq ans, portant sur le déploiement de la suite Dedalus InVitro en mode SaaS.
Arnaud Vanneste : « Il faut créer une galaxie de systèmes d’information publics »
24 mars 2026 - 08:50,
Actualité
- Propos recueillis par Pierre Derrouch, DSIHVieillissement de la population, explosion des pathologies chroniques, fragmentation des systèmes d’information : pour Arnaud Vanneste, la transformation du système de santé passe d’abord par une rupture organisationnelle et numérique. Au CHRU de Nancy, dont il assume la direction générale, la prior...
