Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Rentrée cyber : une rentrée bizarre, très bizarre…

12 sept. 2022 - 17:38,
Tribune - Cédric Cartau
La rentrée 2022 aura été bizarre, vraiment bizarre.

Bizarre, vraiment bizarre cette volte-face des pouvoirs publics qui semblent maintenant autoriser le remboursement par un assureur d’une rançon à la suite d’une attaque cyber… à condition que la victime ait porté plainte. Pas certain que ce revirement fasse rire les quelques assureurs qui ont laissé cette garantie dans leurs contrats. Par contre, si vous ne connaissez pas le sens de l’expression « attraper les mouches avec du miel », sachez que les bad guys du Dark Web ne vont pas se faire prier pour attaquer nos entreprises et nos administrations.

Bizarre, vraiment bizarre l’État qui cherche toujours son directeur numérique interministériel depuis huit mois. La nomination ne devrait semble-t-il pas tarder… mais se fait toujours attendre. Encore un effet du Big Quit ?

Bizarre encore, l’Anssi qui fait ce rappel à l’ordre concernant la méthode Ebios devenue obsolète – il faut utiliser Ebios RM. Non, OK, sont essentiellement concernées les solutions labellisées par la Cnil. Une promesse : après appropriation, la mise en œuvre de cette démarche permet de gagner 30 % de temps par rapport à la version de 2010. Je confirme en effet que pour une bête appréciation des risques, on passe de deux semaines de consultants à 1,5 boule la journée… à juste dix jours. Bon, la simple appréciation des risques totalement conforme ISO 27005 demande quant à elle à peine une demi-journée, mais elle fait vivre moins de gens.

Bizarre, très bizarre ce brave père de famille qui s’est vu verrouiller par Google la totalité de ses comptes (mail, forfait téléphonique, etc.) au motif que l’IA du Gafam a identifié par erreur les messages de sa BAL relatifs à une téléconsultation médicale comme relevant d’activités pédopornographiques. Comme le raconte le site[1], Google est certainement « l’espion le plus con du monde ». C’est chouette le Claooouud.

Bizarre, très bizarre cette évolution des CGU de Doctolib passée en loucedé – il faut dire que tout le monde était obnubilé par cette histoire de naturopathes. On y trouve, entre autres, l’autorisation de traitements qui interrogent, notamment la création d’un annuaire pour les prospects de la société, la réalisation de campagnes marketing par e-mail et SMS, la création d’une base de prospects (le motif invoqué étant « l’intérêt légitime », youpi !). Personne n’a réagi, mais cela permettrait – on va délirer deux minutes – des mails ciblés aux familles de patients en fin de vie afin de proposer des contrats obsèques, voire un partenariat de Doctolib avec des cabinets d’avocats spécialisés dans les divorces lorsqu’une recherche en paternité déterminera que monsieur n’est pas le papa (1 % à 2 % des naissances en France, le double pour les enfants de troisième rang).

Bizarre, vraiment bizarre le fait que tout le monde s’interroge sur l’empreinte CO2 du dernier déplacement du PSG (OK, je veux bien) et de la prochaine Coupe du monde de foot (je veux bien aussi), mais que personne, absolument personne dans les grands médias (j’excepte les discussions de spécialistes sur les canaux de spécialistes) ne s’interroge sur l’empreinte carbone des datacenters de par le monde, dont une bonne partie sert à véhiculer des images de chats et de chattes.

Bizarre, vraiment bizarre aussi les informations qui filtrent sur l’attaque du CHSF : on parle de la compromission d’un compte VPN fournisseur comme point d’entrée initial. Que ceux qui ne laissent les comptes actifs qu’en heures ouvrables, qui les laissent verrouillés par défaut, qui ont un protocole sécurisé d’envoi et de changement de mot de passe avec un formalisme tracé à chaque demande d’activation temporaire lèvent la main. Un indicateur SSI de plus semble-t-il…

Bizarre enfin, vraiment bizarre cette société du xxie siècle. Dans quelques centaines d’années, si l’humanité est toujours sur la Terre, les historiens regarderont avec étonnement ce monde où les pays occidentaux étaient tous incapables de protéger les institutions socles de la société (hôpitaux, fournisseurs d’énergie, etc.), mais où une IA réussissait à pister les piscines privées et les vérandas non déclarées pour ramener de la thune dans les caisses de l’État.

Bonne rentrée bizarre tout de même.

Article connexeActualité de rentrée cyber – ça bouge beaucoup tout de même


[1]   https://grisebouille.net/google-lespion-le-plus-con-du-monde/ 


L'auteur 

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.

 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE

Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE

09 mai 2025 - 16:39,

Actualité

- DSIH

Le programme CaRE franchit une étape clé. Moins d’un an après le lancement de son premier appel à financement dédié à la sécurisation des annuaires techniques et de l’exposition sur Internet, la direction du programme annonce la validation du premier dossier ayant atteint l’ensemble des objectifs fi...

Illustration Ce que nous enseigne la mégapanne électrique dans la péninsule ibérique

Ce que nous enseigne la mégapanne électrique dans la péninsule ibérique

05 mai 2025 - 23:11,

Tribune

-
Cédric Cartau

Impossible de l’avoir ratée, la mégapanne électrique chez nos amis espagnols et portugais. Cet incident est riche d’enseignements, et force est de constater qu’il n’y a pas que des mauvaises nouvelles. D’abord, selon nos informations à ce jour, il n’y a eu aucune victime : c’est une bonne nouvelle.

Illustration Un hôpital, sous-traitant, sanctionné pour ne pas avoir déclaré les sous-traitants ultérieurs

Un hôpital, sous-traitant, sanctionné pour ne pas avoir déclaré les sous-traitants ultérieurs

02 mai 2025 - 16:13,

Tribune

- Alexandre Fievee, Gaétan Dufoulon et Alice Robert de Derriennic Associés

Par décision du 10 avril 2025 [1], l’autorité de contrôle espagnole a infligé une amende de 500.000 euros à un hôpital qui avait recruté des sous-traitants ultérieurs sans en informer préalablement le responsable du traitement.

Illustration Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée

Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée

24 avril 2025 - 15:14,

Actualité

- DSIH

La Délégation au numérique en santé (DNS) publie le premier rapport d’activité de la Plateforme d’éthicovigilance du numérique en santé, un dispositif inédit lancé fin 2023 pour recueillir les signalements d’usagers et de professionnels confrontés à des enjeux éthiques liés aux technologies de santé...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.