Publicité en cours de chargement...

Publicité en cours de chargement...

Rentrée cyber : une rentrée bizarre, très bizarre…

12 sept. 2022 - 17:38,
Tribune - Cédric Cartau
La rentrée 2022 aura été bizarre, vraiment bizarre.

Bizarre, vraiment bizarre cette volte-face des pouvoirs publics qui semblent maintenant autoriser le remboursement par un assureur d’une rançon à la suite d’une attaque cyber… à condition que la victime ait porté plainte. Pas certain que ce revirement fasse rire les quelques assureurs qui ont laissé cette garantie dans leurs contrats. Par contre, si vous ne connaissez pas le sens de l’expression « attraper les mouches avec du miel », sachez que les bad guys du Dark Web ne vont pas se faire prier pour attaquer nos entreprises et nos administrations.

Bizarre, vraiment bizarre l’État qui cherche toujours son directeur numérique interministériel depuis huit mois. La nomination ne devrait semble-t-il pas tarder… mais se fait toujours attendre. Encore un effet du Big Quit ?

Bizarre encore, l’Anssi qui fait ce rappel à l’ordre concernant la méthode Ebios devenue obsolète – il faut utiliser Ebios RM. Non, OK, sont essentiellement concernées les solutions labellisées par la Cnil. Une promesse : après appropriation, la mise en œuvre de cette démarche permet de gagner 30 % de temps par rapport à la version de 2010. Je confirme en effet que pour une bête appréciation des risques, on passe de deux semaines de consultants à 1,5 boule la journée… à juste dix jours. Bon, la simple appréciation des risques totalement conforme ISO 27005 demande quant à elle à peine une demi-journée, mais elle fait vivre moins de gens.

Bizarre, très bizarre ce brave père de famille qui s’est vu verrouiller par Google la totalité de ses comptes (mail, forfait téléphonique, etc.) au motif que l’IA du Gafam a identifié par erreur les messages de sa BAL relatifs à une téléconsultation médicale comme relevant d’activités pédopornographiques. Comme le raconte le site[1], Google est certainement « l’espion le plus con du monde ». C’est chouette le Claooouud.

Bizarre, très bizarre cette évolution des CGU de Doctolib passée en loucedé – il faut dire que tout le monde était obnubilé par cette histoire de naturopathes. On y trouve, entre autres, l’autorisation de traitements qui interrogent, notamment la création d’un annuaire pour les prospects de la société, la réalisation de campagnes marketing par e-mail et SMS, la création d’une base de prospects (le motif invoqué étant « l’intérêt légitime », youpi !). Personne n’a réagi, mais cela permettrait – on va délirer deux minutes – des mails ciblés aux familles de patients en fin de vie afin de proposer des contrats obsèques, voire un partenariat de Doctolib avec des cabinets d’avocats spécialisés dans les divorces lorsqu’une recherche en paternité déterminera que monsieur n’est pas le papa (1 % à 2 % des naissances en France, le double pour les enfants de troisième rang).

Bizarre, vraiment bizarre le fait que tout le monde s’interroge sur l’empreinte CO2 du dernier déplacement du PSG (OK, je veux bien) et de la prochaine Coupe du monde de foot (je veux bien aussi), mais que personne, absolument personne dans les grands médias (j’excepte les discussions de spécialistes sur les canaux de spécialistes) ne s’interroge sur l’empreinte carbone des datacenters de par le monde, dont une bonne partie sert à véhiculer des images de chats et de chattes.

Bizarre, vraiment bizarre aussi les informations qui filtrent sur l’attaque du CHSF : on parle de la compromission d’un compte VPN fournisseur comme point d’entrée initial. Que ceux qui ne laissent les comptes actifs qu’en heures ouvrables, qui les laissent verrouillés par défaut, qui ont un protocole sécurisé d’envoi et de changement de mot de passe avec un formalisme tracé à chaque demande d’activation temporaire lèvent la main. Un indicateur SSI de plus semble-t-il…

Bizarre enfin, vraiment bizarre cette société du xxie siècle. Dans quelques centaines d’années, si l’humanité est toujours sur la Terre, les historiens regarderont avec étonnement ce monde où les pays occidentaux étaient tous incapables de protéger les institutions socles de la société (hôpitaux, fournisseurs d’énergie, etc.), mais où une IA réussissait à pister les piscines privées et les vérandas non déclarées pour ramener de la thune dans les caisses de l’État.

Bonne rentrée bizarre tout de même.

Article connexeActualité de rentrée cyber – ça bouge beaucoup tout de même


[1]   https://grisebouille.net/google-lespion-le-plus-con-du-monde/ 


L'auteur 

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.

 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Des lignes directrices sur la portée des obligations applicables aux modèles d'IA à usage général (1)

Des lignes directrices sur la portée des obligations applicables aux modèles d'IA à usage général (1)

29 juil. 2025 - 11:09,

Actualité

-
Marguerite Brac de La Perrière

Le règlement (UE) 2024/1689 (AI Act), entré en vigueur le 1er août 2024, vise à encadrer le développement et l’utilisation de l’intelligence artificielle dans l’Union européenne, en conciliant innovation technologique et protection des droits fondamentaux.

Illustration Dernier billet philosohico-cyber avant la plage

Dernier billet philosohico-cyber avant la plage

21 juil. 2025 - 10:00,

Tribune

-
Cédric Cartau

À l’approche des congés d’été, l’heure est à la réflexion — et pas seulement sur la température de l’eau ou le bon dosage de crème solaire. Entre arnaques bancaires de plus en plus sophistiquées, dérives technologiques, illusions cyber-industrielles et lacunes dans la gouvernance publique, ce billet...

Illustration Un code de bonnes pratiques pour les modèles d'IA à usage général

Un code de bonnes pratiques pour les modèles d'IA à usage général

15 juil. 2025 - 16:57,

Actualité

-
Marguerite Brac de La Perrière

Entré en vigueur le 1er août 2024, le Règlement sur l'Intelligence Artificielle (AI Act) vise à créer un cadre juridique uniforme pour le développement, la mise sur le marché, la mise en service et l’utilisation de systèmes d'IA dans le respect des valeurs de l’Union. Parmi les systèmes d'IA encadré...

Illustration Le numérique médico-social : mutation systémique et levier d’humanité

Le numérique médico-social : mutation systémique et levier d’humanité

08 juil. 2025 - 01:07,

Actualité

- DSIH

Longtemps resté en périphérie des politiques publiques du numérique en santé, le secteur médico-social entre aujourd’hui dans une phase de transformation profonde. C’est cette bascule, inédite et structurante, que décrivent Olivier Babinet et Manon Lorenzo dans leur ouvrage Le virage du numérique en...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.