Rentrée cyber : une rentrée bizarre, très bizarre…

Bizarre, vraiment bizarre cette volte-face des pouvoirs publics qui semblent maintenant autoriser le remboursement par un assureur d’une rançon à la suite d’une attaque cyber… à condition que la victime ait porté plainte. Pas certain que ce revirement fasse rire les quelques assureurs qui ont laissé cette garantie dans leurs contrats. Par contre, si vous ne connaissez pas le sens de l’expression « attraper les mouches avec du miel », sachez que les bad guys du Dark Web ne vont pas se faire prier pour attaquer nos entreprises et nos administrations.

Bizarre, vraiment bizarre l’État qui cherche toujours son directeur numérique interministériel depuis huit mois. La nomination ne devrait semble-t-il pas tarder… mais se fait toujours attendre. Encore un effet du Big Quit ?

Bizarre encore, l’Anssi qui fait ce rappel à l’ordre concernant la méthode Ebios devenue obsolète – il faut utiliser Ebios RM. Non, OK, sont essentiellement concernées les solutions labellisées par la Cnil. Une promesse : après appropriation, la mise en œuvre de cette démarche permet de gagner 30 % de temps par rapport à la version de 2010. Je confirme en effet que pour une bête appréciation des risques, on passe de deux semaines de consultants à 1,5 boule la journée… à juste dix jours. Bon, la simple appréciation des risques totalement conforme ISO 27005 demande quant à elle à peine une demi-journée, mais elle fait vivre moins de gens.

Bizarre, très bizarre ce brave père de famille qui s’est vu verrouiller par Google la totalité de ses comptes (mail, forfait téléphonique, etc.) au motif que l’IA du Gafam a identifié par erreur les messages de sa BAL relatifs à une téléconsultation médicale comme relevant d’activités pédopornographiques. Comme le raconte le site[1], Google est certainement « l’espion le plus con du monde ». C’est chouette le Claooouud.

Bizarre, très bizarre cette évolution des CGU de Doctolib passée en loucedé – il faut dire que tout le monde était obnubilé par cette histoire de naturopathes. On y trouve, entre autres, l’autorisation de traitements qui interrogent, notamment la création d’un annuaire pour les prospects de la société, la réalisation de campagnes marketing par e-mail et SMS, la création d’une base de prospects (le motif invoqué étant « l’intérêt légitime », youpi !). Personne n’a réagi, mais cela permettrait – on va délirer deux minutes – des mails ciblés aux familles de patients en fin de vie afin de proposer des contrats obsèques, voire un partenariat de Doctolib avec des cabinets d’avocats spécialisés dans les divorces lorsqu’une recherche en paternité déterminera que monsieur n’est pas le papa (1 % à 2 % des naissances en France, le double pour les enfants de troisième rang).

Bizarre, vraiment bizarre le fait que tout le monde s’interroge sur l’empreinte CO₂ du dernier déplacement du PSG (OK, je veux bien) et de la prochaine Coupe du monde de foot (je veux bien aussi), mais que personne, absolument personne dans les grands médias (j’excepte les discussions de spécialistes sur les canaux de spécialistes) ne s’interroge sur l’empreinte carbone des datacenters de par le monde, dont une bonne partie sert à véhiculer des images de chats et de chattes.

Bizarre, vraiment bizarre aussi les informations qui filtrent sur l’attaque du CHSF : on parle de la compromission d’un compte VPN fournisseur comme point d’entrée initial. Que ceux qui ne laissent les comptes actifs qu’en heures ouvrables, qui les laissent verrouillés par défaut, qui ont un protocole sécurisé d’envoi et de changement de mot de passe avec un formalisme tracé à chaque demande d’activation temporaire lèvent la main. Un indicateur SSI de plus semble-t-il…

Bizarre enfin, vraiment bizarre cette société du xxi^e siècle. Dans quelques centaines d’années, si l’humanité est toujours sur la Terre, les historiens regarderont avec étonnement ce monde où les pays occidentaux étaient tous incapables de protéger les institutions socles de la société (hôpitaux, fournisseurs d’énergie, etc.), mais où une IA réussissait à pister les piscines privées et les vérandas non déclarées pour ramener de la thune dans les caisses de l’État.

Bonne rentrée bizarre tout de même.

Article connexe → Actualité de rentrée cyber – ça bouge beaucoup tout de même

[1]   https://grisebouille.net/google-lespion-le-plus-con-du-monde/ 

L'auteur 

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.