La cyber dans la santé : la loi de Hanlon et les gorets
11 oct. 2022 - 11:30,
Tribune
- Cédric CartauUne personne (monsieur Grincheux) prend contact avec mon établissement, prétendant être missionné pour réaliser un audit diligenté par un organisme extérieur (organisme Olala). Olala existe réellement, il distribue des sous et s’appuie sur des textes de loi qui l’autorisent à vérifier que ces sous sont bien utilisés. Jusque-là, tout va bien.
Monsieur Grincheux, qui refuse catégoriquement de produire une pièce d’identité à jour, prétend appartenir à la société Sept Nains (dont il refuse de produire un certificat Sirene), en tout cas si l’on en juge par la signature en bas de son mail. Vérification faite, la société Sept Nains est introuvable dans le répertoire Sirene à l’adresse indiquée dans la signature mail de monsieur Grincheux.
Pour justifier que la société Sept Nains a bien été missionnée par l’organisme Olala, monsieur Grincheux présente une délégation de pouvoir, mais qui mentionne une société avec une autre raison sociale (Les Nains au lieu de Sept Nains), et nous explique par téléphone que c’est du pareil au même et que nous jouons sur les mots pour éviter le contrôle. Et toujours aucun numéro Sirene. De plus, ladite délégation de pouvoir n’est pas produite par l’organisme Olala, mais par un GIE Glups auquel Olala est supposé appartenir, bien entendu sans document pour l’attester.
Le GIE Glups n’a ni numéro de téléphone de contact, ni site Internet, et la délégation de pouvoir ne comporte aucunes coordonnées (mail, téléphone) pouvant être utilisées pour vérifier sa validité. La signature au bas de la délégation de pouvoir émane d’une personne dont on trouve facilement la trace sur les réseaux sociaux, mais qui appartient à une autre société et qui, si l’on en juge par la date de signature au bas du document, ne mentionne pas dans son parcours professionnel son appartenance au GIE Glups en question à la date de signature. La vérification de l’authenticité de la délégation de pouvoir est, de fait, impossible.
Monsieur Grincheux justifie le contrôle en prétendant que mon établissement a reçu un courrier avec accusé de réception en juillet, mais ne peut produire ni la copie du courrier, ni la copie de la preuve de dépôt, ni la copie de l’éventuel accusé de réception. Pour ces trois éléments, monsieur Grincheux explique qu’il faut prendre contact avec madame Mim, d’une autre société (Merlin), censée avoir envoyé le courrier et détenir les preuves de dépôt et de réception susnommées. Monsieur Grincheux est incapable d’expliquer le rôle de la société Merlin dans l’histoire, et à aucun moment dans aucun document le lien entre la société Merlin, l’organisme Olala et le GIE Glups n’est établi. Et, bien entendu, les coordonnées de la société Merlin ne sont pas fournies par monsieur Grincheux. À ce stade, on est en présence de quatre entités juridiques (Glups, Olala, Sept Nains et Merlin), dont personne ne sait dire qui fait quoi ni pour qui.
De plus, monsieur Grincheux est particulièrement insistant au téléphone, à la limite du menaçant, pour obtenir sous 48 heures des fichiers comportant des données personnelles sensibles, assurant en avoir besoin pour préparer un contrôle dont il ne fournit aucun guide méthodologique opposable. Une recherche sur son identité ne donne absolument rien sur les réseaux professionnels, son site Internet se résume à une page Web avec un formulaire de contact, et ses mails sont entachés de légères fautes de grammaire, de tournures de phrases inhabituelles, de ponctuation étonnamment placée. D’autre part, ce monsieur Grincheux appelle par téléphone à des heures indues (après 20 heures, voire 21 heures), uniquement avec des portables dont, par ailleurs, les numéros ne correspondent pas à ceux de sa signature ou de son site Web.
J’ajoute enfin que les données réclamées par monsieur Grincheux font l’objet de plusieurs alertes nationales et que si mon établissement les faisait fuiter par inadvertance, nous pourrions faire l’objet d’une plainte.
Là, je veux bien être qualifié de paranoïaque, méfiant, suspicieux ou de tout ce que vous voudrez, mais je note tout de même qu’absolument toutes les personnes avec qui j’ai échangé pendant la semaine m’ont confirmé que, selon elles, cette prise de contact comportait absolument tous les signes d’une tentative d’arnaque et d’extorsion. Relisez le descriptif, vous y trouvez tous les codes d’une arnaque au président : données invérifiables, aucune preuve d’identité, légères différences entre les documents produits, renvoi constant à d’autres individus, fautes de français, aucun appel à partir d’un téléphone fixe, numéros changeants, ton pressant, etc.
Et maintenant, la même histoire, racontée par l’autre bout. L’organisme Olala appartient réellement au GIE Glups auquel il a délégué certaines fonctions, notamment un bout d’informatique et les contrôles dont il est question ici (le signataire de la délégation de pouvoir du GIE Glups ne produit aucune convention, mais là vous allez me trouver tatillon). Le GIE Glups n’est qu’une coquille vide sans point de contact ni site Internet. Il a bien fait appel à la société Merlin pour organiser toute l’opération sur le territoire (sans le mentionner dans un quelconque document), société Merlin qui a ensuite fait un appel d’offres pour sélectionner plusieurs consultants par région (toujours sans aucune mention), mon établissement ayant bien été affecté à la société Sept Nains de monsieur Grincheux (toujours sans aucune communication). Le courrier AR est bien parti (mais demeure introuvable) et surtout il n’a obtenu aucune réponse, sans que la société Merlin traite cette anomalie, la délégation de pouvoir comporte une erreur sur la raison sociale de la société Sept Nains de monsieur Grincheux (anomalie constatée, mais non corrigée par la société Merlin), elle est signée d’une personne qui existe réellement et dirige un autre organisme en plus du GIE Glups sans avoir mis à jour son profil. Et monsieur Grincheux ne connaît manifestement pas la réglementation des établissements publics de santé, ne sait pas l’impact du RGPD sur ses contrôles, n’a aucune connaissance des alertes nationales dans un secteur qu’il est pourtant supposé maîtriser, fait du zèle en exigeant des envois par mail de données sensibles (c’est interdit) et ne connaît pas le principe de minimisation (il demande des informations manifestement excessives), sans parler de son relationnel pour le moins discutable.
À ce stade, il y a deux analyses possibles. La première est la loi de la tartine beurrée ou des plaques de Reason. OK, pourquoi pas.
Mais moi, je préfère celle de Hanlon : « Ne jamais attribuer à la malveillance ce que la bêtise ou l’incompétence suffit à expliquer. »
Dit autrement, c’est la première fois de mon existence que je découvre une nouvelle espèce animale dans l’écosystème : le GAC, le Goret Auditeur Consultant. Eh oui ! on n’a pas seulement affaire à des hackers dans la santé : certains interlocuteurs externes travaillent vraiment comme des gorets.
L'auteur
Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.