Publicité en cours de chargement...
La sécurité des SI ou le concours de l’avant-dernier
Vous connaissez par contre tous Charles Ponzi, à l’origine de l’arnaque de la pyramide qui porte son nom. Simple, rapide et redoutable, ce montage en a ruiné plus d’un et a duré beaucoup plus longtemps : alors que Faulkner a sévi pendant « à peine » dix ans, Ponzi a utilisé son système toute sa vie (il a même été recruté par le ministère des Finances italien sous Mussolini et réussi à chiper une somme dont on ignore le montant – authentique). Bref, les trucs les plus simples sont les meilleurs et aussi les plus redoutables. Et, dans le système de Ponzi, vous pouvez être l’avant-dernier, mais jamais le dernier : c’est celui qui se fait plumer jusqu’à l’os.
Une enquête récente, commandée par l’éditeur Kaspersky et relatée par CIO-Online[2], alerte sur l’obsolescence des systèmes informatiques dans le monde de la santé, et souligne à la fois l’état inquiétant des systèmes (dont l’obsolescence n’est dans la plupart des cas même pas connue) et la sous-estimation de cette réalité par les décideurs IT de par le monde. L’étude pointe même du doigt certaines incohérences, par exemple en France où l’on avoue une situation inconnue (en termes de niveau de patch) et des vulnérabilités aux attaques cyber, avec en même temps un assez bon niveau de confiance dans la capacité de résistance à ces mêmes attaques (on doit avoir les RSSI top moumoutes, ça doit être cela…).
Le 1er mars dernier, l’EFS (Établissement français du sang) a subi une attaque de type Emotet. Cette attaque n’a été portée à la connaissance des RSSI santé que le vendredi 4 mars (soit trois jours plus tard, autant dire une éternité), et pendant une journée tout le monde a été à la recherche d’informations, qui reforwardant un mail d’un de ses correspondants EFS local, qui mentionnant un échange verbal avec un informaticien de sa connaissance, etc. Clairement, on a eu un souci dans la remontée et la diffusion d’une information à caractère d’urgence, des dispositifs pourtant de base dans toute gestion du risque SI à l’échelon national. Tout se passe comme si le risque SI était géré en routine avec les bésicles d’un informaticien des années 80.
Daniel Kahneman décrit dans Système 1, système 2 deux modes de pensée : l’automatique et le réfléchi. Le premier est celui que vous utilisez quand vous respirez, quand vous mettez en marche la machine à café en même temps que vous téléphonez à votre boss : on est dans le domaine de l’automatisme, de l’acquis. Le second est celui que vous mettez en branle lorsque vous apprenez à conduire, lorsque vous vous dirigez dans une ville inconnue : on est dans le domaine de l’attention forte, de la réflexion (et c’est épuisant au demeurant). Frédéric Beltran dans Le pilote, acteur de sa sécurité fait remarquer qu’une bonne partie des accidents d’avion proviennent du fait que l’esprit du pilote est resté dans le premier mode, alors que l’environnement extérieur (situation à risque, configuration inhabituelle) aurait dû le faire basculer dans le second (et toute la difficulté est bien de garder au fond du crâne une alarme qui alerte sur ce nécessaire changement de mode).
Entre la situation cyber globale de ces dernières années et le contexte géopolitique récent, cette alarme sonne sans discontinuer et hurle aux oreilles des organisations que les dispositifs cyber (protection, alerte, mais pas que) doivent d’urgence quitter le système 1 pour se caler sur le système 2. Comme l’écrit Niall Ferguson à propos du premier conflit mondial, a posteriori on se demandera comment on a pu ignorer la course aux armements, les tensions internationales et les articles réguliers dans la presse nationale qui tous auraient dû nous alerter sur le conflit à venir.
Si la crise ukrainienne ne parvient pas à nous faire basculer de mode, alors il ne restera que le crash à grande échelle. Et il ne fera pas bon être le dernier dans cette immense pyramide de Ponzi qu’est la cyberprotection des SI modernes.
[1] Voir l’excellent ouvrage de Niall Ferguson : L’Irrésistible Ascension de l’argent.
Avez-vous apprécié ce contenu ?
A lire également.
MedGPT : le premier assistant IA médical français, alternative à ChatGPT
17 sept. 2025 - 08:48,
Actualité
- DSIHLa startup bordelaise Synapse Medicine vient de franchir une étape majeure dans le domaine de la santé numérique avec le lancement de MedGPT, un assistant conversationnel basé sur l’intelligence artificielle et conçu exclusivement pour les professionnels de santé.
La plateforme de télémédecine Rofim lève 10 millions d’euros pour poursuivre sa croissance et internationaliser son activité
15 sept. 2025 - 22:03,
Actualité
- Propos recueillis par Mehdi Lebranchu et Pauline NicolasPensée par et pour des médecins en 2018, Rofim est une plateforme de télémédecine qui regroupe désormais six modules afin de permettre aux patients de recevoir le juste soin, au bon endroit, au bon moment et par le bon professionnel de santé. En cette rentrée 2025, Rofim annonce une levée de fonds d...
29es Journées des ingénieurs biomédicaux du 24 au 26 septembre
15 sept. 2025 - 21:27,
Actualité
- DSIH, Damien DuboisLes 29es rencontres de l’Association française des ingénieurs biomédicaux (Afib) se dérouleront du 24 au 26 septembre à Paris sur le thème « Connaître et transmettre, l’ingénieur biomédical en Scène Seine ». Interview croisée de Valérie Moreno, présidente de l’Afib, et d’Ève Boudon, présidente des J...
Tour de France CaRE Domaine 2
13 sept. 2025 - 16:20,
Communiqué
- Orange CyberdefenseLa cybersécurité n’est plus une option pour les établissements de santé ! Grâce au programme CaRE, vous pouvez bénéficier de subventions pour augmenter votre résilience numérique. Orange Cyberdefense vous invite à son Tour de France autour du Domaine 2 du programme CaRE de mi-septembre à mi-octobre.
