Publicité en cours de chargement...
La sécurité des SI ou le concours de l’avant-dernier
Vous connaissez par contre tous Charles Ponzi, à l’origine de l’arnaque de la pyramide qui porte son nom. Simple, rapide et redoutable, ce montage en a ruiné plus d’un et a duré beaucoup plus longtemps : alors que Faulkner a sévi pendant « à peine » dix ans, Ponzi a utilisé son système toute sa vie (il a même été recruté par le ministère des Finances italien sous Mussolini et réussi à chiper une somme dont on ignore le montant – authentique). Bref, les trucs les plus simples sont les meilleurs et aussi les plus redoutables. Et, dans le système de Ponzi, vous pouvez être l’avant-dernier, mais jamais le dernier : c’est celui qui se fait plumer jusqu’à l’os.
Une enquête récente, commandée par l’éditeur Kaspersky et relatée par CIO-Online[2], alerte sur l’obsolescence des systèmes informatiques dans le monde de la santé, et souligne à la fois l’état inquiétant des systèmes (dont l’obsolescence n’est dans la plupart des cas même pas connue) et la sous-estimation de cette réalité par les décideurs IT de par le monde. L’étude pointe même du doigt certaines incohérences, par exemple en France où l’on avoue une situation inconnue (en termes de niveau de patch) et des vulnérabilités aux attaques cyber, avec en même temps un assez bon niveau de confiance dans la capacité de résistance à ces mêmes attaques (on doit avoir les RSSI top moumoutes, ça doit être cela…).
Le 1er mars dernier, l’EFS (Établissement français du sang) a subi une attaque de type Emotet. Cette attaque n’a été portée à la connaissance des RSSI santé que le vendredi 4 mars (soit trois jours plus tard, autant dire une éternité), et pendant une journée tout le monde a été à la recherche d’informations, qui reforwardant un mail d’un de ses correspondants EFS local, qui mentionnant un échange verbal avec un informaticien de sa connaissance, etc. Clairement, on a eu un souci dans la remontée et la diffusion d’une information à caractère d’urgence, des dispositifs pourtant de base dans toute gestion du risque SI à l’échelon national. Tout se passe comme si le risque SI était géré en routine avec les bésicles d’un informaticien des années 80.
Daniel Kahneman décrit dans Système 1, système 2 deux modes de pensée : l’automatique et le réfléchi. Le premier est celui que vous utilisez quand vous respirez, quand vous mettez en marche la machine à café en même temps que vous téléphonez à votre boss : on est dans le domaine de l’automatisme, de l’acquis. Le second est celui que vous mettez en branle lorsque vous apprenez à conduire, lorsque vous vous dirigez dans une ville inconnue : on est dans le domaine de l’attention forte, de la réflexion (et c’est épuisant au demeurant). Frédéric Beltran dans Le pilote, acteur de sa sécurité fait remarquer qu’une bonne partie des accidents d’avion proviennent du fait que l’esprit du pilote est resté dans le premier mode, alors que l’environnement extérieur (situation à risque, configuration inhabituelle) aurait dû le faire basculer dans le second (et toute la difficulté est bien de garder au fond du crâne une alarme qui alerte sur ce nécessaire changement de mode).
Entre la situation cyber globale de ces dernières années et le contexte géopolitique récent, cette alarme sonne sans discontinuer et hurle aux oreilles des organisations que les dispositifs cyber (protection, alerte, mais pas que) doivent d’urgence quitter le système 1 pour se caler sur le système 2. Comme l’écrit Niall Ferguson à propos du premier conflit mondial, a posteriori on se demandera comment on a pu ignorer la course aux armements, les tensions internationales et les articles réguliers dans la presse nationale qui tous auraient dû nous alerter sur le conflit à venir.
Si la crise ukrainienne ne parvient pas à nous faire basculer de mode, alors il ne restera que le crash à grande échelle. Et il ne fera pas bon être le dernier dans cette immense pyramide de Ponzi qu’est la cyberprotection des SI modernes.
[1] Voir l’excellent ouvrage de Niall Ferguson : L’Irrésistible Ascension de l’argent.
Avez-vous apprécié ce contenu ?
A lire également.
Des bonnes pratiques internationales pour l’IA dans le médicament
27 jan. 2026 - 08:45,
Actualité
- Damien Dubois, DSIHLe 14 janvier, l’Agence européenne des médicaments et la Food and Drug Administration américaine ont diffusé dix principes pour le développement et l’utilisation de l’IA dans le cycle de vie des médicaments.
Le CHU de Bordeaux lance un projet 5G pour soutenir de nouveaux usages hospitaliers
23 jan. 2026 - 12:45,
Actualité
- Rédaction, DSIHLe CHU de Bordeaux a annoncé le lancement du projet 5MART HO5PITAL, reposant sur le déploiement d’une infrastructure 5G au sein de l’établissement. Mené avec Bouygues Telecom Business, le projet bénéficie d’un financement européen et vise à accompagner l’évolution des usages numériques hospitaliers.
TEHDAS2 : chantiers décisifs pour l’Espace européen des données de santé en 2026-2027
12 jan. 2026 - 22:25,
Actualité
- Rédaction, DSIHLa deuxième consultation publique du projet TEHDAS2 s’est clôturée le 30 novembre 2025, après avoir recueilli les contributions sur onze lignes directrices techniques clés. Portés par un consortium de 29 pays européens sous coordination finlandaise (Sitra), ces travaux visent à accompagner la mise e...
Accès transfrontalier aux données de santé dans l’UE : comment la technologie rend possible l’Espace européen des données de santé
08 déc. 2025 - 23:22,
Tribune
-La libre circulation dans l’Union européenne est une réalité. Travailler ou vivre dans un autre pays membre est devenu courant. Mais l’accès aux soins, lui, reste souvent limité par les frontières. Une opération urgente en vacances, un traitement commencé ailleurs – et les données médicales nécessai...
