La sécurité des SI ou le concours de l’avant-dernier
Vous connaissez par contre tous Charles Ponzi, à l’origine de l’arnaque de la pyramide qui porte son nom. Simple, rapide et redoutable, ce montage en a ruiné plus d’un et a duré beaucoup plus longtemps : alors que Faulkner a sévi pendant « à peine » dix ans, Ponzi a utilisé son système toute sa vie (il a même été recruté par le ministère des Finances italien sous Mussolini et réussi à chiper une somme dont on ignore le montant – authentique). Bref, les trucs les plus simples sont les meilleurs et aussi les plus redoutables. Et, dans le système de Ponzi, vous pouvez être l’avant-dernier, mais jamais le dernier : c’est celui qui se fait plumer jusqu’à l’os.
Une enquête récente, commandée par l’éditeur Kaspersky et relatée par CIO-Online[2], alerte sur l’obsolescence des systèmes informatiques dans le monde de la santé, et souligne à la fois l’état inquiétant des systèmes (dont l’obsolescence n’est dans la plupart des cas même pas connue) et la sous-estimation de cette réalité par les décideurs IT de par le monde. L’étude pointe même du doigt certaines incohérences, par exemple en France où l’on avoue une situation inconnue (en termes de niveau de patch) et des vulnérabilités aux attaques cyber, avec en même temps un assez bon niveau de confiance dans la capacité de résistance à ces mêmes attaques (on doit avoir les RSSI top moumoutes, ça doit être cela…).
Le 1er mars dernier, l’EFS (Établissement français du sang) a subi une attaque de type Emotet. Cette attaque n’a été portée à la connaissance des RSSI santé que le vendredi 4 mars (soit trois jours plus tard, autant dire une éternité), et pendant une journée tout le monde a été à la recherche d’informations, qui reforwardant un mail d’un de ses correspondants EFS local, qui mentionnant un échange verbal avec un informaticien de sa connaissance, etc. Clairement, on a eu un souci dans la remontée et la diffusion d’une information à caractère d’urgence, des dispositifs pourtant de base dans toute gestion du risque SI à l’échelon national. Tout se passe comme si le risque SI était géré en routine avec les bésicles d’un informaticien des années 80.
Daniel Kahneman décrit dans Système 1, système 2 deux modes de pensée : l’automatique et le réfléchi. Le premier est celui que vous utilisez quand vous respirez, quand vous mettez en marche la machine à café en même temps que vous téléphonez à votre boss : on est dans le domaine de l’automatisme, de l’acquis. Le second est celui que vous mettez en branle lorsque vous apprenez à conduire, lorsque vous vous dirigez dans une ville inconnue : on est dans le domaine de l’attention forte, de la réflexion (et c’est épuisant au demeurant). Frédéric Beltran dans Le pilote, acteur de sa sécurité fait remarquer qu’une bonne partie des accidents d’avion proviennent du fait que l’esprit du pilote est resté dans le premier mode, alors que l’environnement extérieur (situation à risque, configuration inhabituelle) aurait dû le faire basculer dans le second (et toute la difficulté est bien de garder au fond du crâne une alarme qui alerte sur ce nécessaire changement de mode).
Entre la situation cyber globale de ces dernières années et le contexte géopolitique récent, cette alarme sonne sans discontinuer et hurle aux oreilles des organisations que les dispositifs cyber (protection, alerte, mais pas que) doivent d’urgence quitter le système 1 pour se caler sur le système 2. Comme l’écrit Niall Ferguson à propos du premier conflit mondial, a posteriori on se demandera comment on a pu ignorer la course aux armements, les tensions internationales et les articles réguliers dans la presse nationale qui tous auraient dû nous alerter sur le conflit à venir.
Si la crise ukrainienne ne parvient pas à nous faire basculer de mode, alors il ne restera que le crash à grande échelle. Et il ne fera pas bon être le dernier dans cette immense pyramide de Ponzi qu’est la cyberprotection des SI modernes.
[1] Voir l’excellent ouvrage de Niall Ferguson : L’Irrésistible Ascension de l’argent.
Avez-vous apprécié ce contenu ?
A lire également.
Comment quantifier un risque
31 mars 2026 - 08:06,
Tribune
-Après avoir expliqué qu’une PSSI et une appréciation des risques ne servaient à rien (ici 1) -mais un peu quand même -, intéressons-nous à un autre sujet brûlant qui déchaîne les passions, pire que JR (2) et la fin du Prisonnier (3) : la quantification du risque.
Publication d’un corpus inédit de comptes rendus médicaux fictifs en open data pour accélérer l’IA en santé
26 mars 2026 - 19:08,
Actualité
- Rédaction, DSIHDans un contexte réglementaire européen exigeant, qui garantit un accès et un partage sécurisés des données de santé, le projet PARTAGES apporte une réponse opérationnelle aux défis posés à l’IA en santé. Coordonné par la Plateforme des données de santé (Health Data Hub) et réunissant 32 partenaires...
Health Data Hub et Microsoft : un cadre juridique clarifié, une souveraineté à construire
23 mars 2026 - 09:58,
Actualité
- Rédaction, DSIHEn validant l’autorisation donnée au Health Data Hub pour traiter des données de santé hébergées par Microsoft en France, le Conseil d’État consolide le cadre posé par la CNIL dans sa décision du 20 mars 2026, relative à l’autorisation CNIL 2025‑013 (délibération n° 2025‑013 du 13 février 2025, proj...
Imprivata lance Agentic Identity Management pour sécuriser et gouverner les agents IA dans le secteur de la santé
11 mars 2026 - 09:52,
Communiqué
- ImprivataImprivata, fournisseur leader de solutions de gestion des identités et des accès pour le secteur de la santé et les industries critiques, vient de dévoiler Agentic Identity Management, de nouvelles capacités conçues pour sécuriser et gouverner les agents IA dans les environnements de soins de santé ...
