Ma lettre au Père Noël 2022

Les années précédentes, j’avais poliment demandé quelques incidents pas trop méchants, histoire de bien faire sentir l’importance de la SSI, mais en 2022 ça a été too much : des attaques en crypto en veux-tu en voilà sur des hôpitaux à ne plus pouvoir les compter, des collectivités et j’en passe. Si la chienlit ressemble à quelque chose, ça doit être à cela.

Bon, comme tous les ans le Congrès de l’Apssis 2022 a frisé la perfection, mais cela devient une habitude. Nouveauté tout de même, l’Apssis démarre une série de webinaires thématiques. Le premier, sur l’évolution de la réglementation dans la santé, s’est tenu fin décembre, animé par M^e Brac de La Perrière, et a fait un carton. What else ?

Sinon, toujours la sempiternelle question des salaires dans la cyber. On frôle toujours le délire, mais en même temps certains recruteurs devraient se poser des questions – et certains jeunes diplômés aussi du reste. Quand on engage des bac + 5 en cyber (qui ne sont déjà pas nombreux, on le dit juste depuis dix piges) pour les coller sur une chaise à surveiller les consoles d’un SOC (ce qui est éminemment un boulot de bac + 2, et encore), faut pas s’étonner de la pénurie des premiers et de l’absence des seconds dans l’écosystème. Plutôt que de chouiner sur les niveaux de salaire, certains feraient mieux de se demander si avec ce genre de dérive il ne faudra pas être bientôt titulaire d’un post-doctorat pour lancer des CTRL+F sur un fichier texte de traces.

Ah oui ! et puis aussi cette année Père Noël, y a une bande de nunuches qui nous chauffent régulièrement les esgourdes en nous bassinant avec le Cloud. Le Claaaaaouuuud qui serait la réponse à tout, la protection ultime contre les attaques cyber, l’alpha et l’oméga de la cyber. Bon, on va arrêter de fantasmer, le Cloud n’a jamais diminué les risques, il les déplace simplement, comme chaque nouvelle technologie, et ce depuis le début de l’humanité. Quand on est passé du cheval à la voiture thermique, on a remplacé le risque de s’aplatir la face dans l’étron d’un canasson par celui de crever un pneu au beau milieu de nulle part : ça sent juste moins mauvais, mais ce n’est pas forcément mieux.

Autrement Père Noël, t’es choubidou, tu nous as amené l’évolution du décret HDS avec cette histoire enfin réglée de l’activité 5 qui empoisonnait la vie de tout le monde. Par contre, nulle information sur la prise en compte de la version 2022 de l’ISO 27001. Pour 2023 peut-être ?

Côté RGPD, c’est la fête au village. Entre l’affaire Camaïeu, les contrôles à tout va (Discord qui s’est pris une belle prune), les jurisprudences européennes sur le transfert de fichiers clients dans le cas du rachat d’une entreprise et l’UE qui tente une énième fois un accord avec les US sur le transfert de données (les paris sont ouverts pour savoir combien de temps Max Schrems va mettre à faire invalider tout cela), c’est rock’n’roll dans le bureau des DPO et les départements juridiques. Puisque l’on parle de la Cnil justement, l’institution vient de faire paraître une mise à jour de sa doctrine sur les mots de passe, et ça, c’est top : ça va nous faciliter grandement les cahiers des charges.

Bon, par contre Père Noël, c’est bien de nous appâter avec des sous pour faire de la cyber, mais on te le redit encore une fois : on a surtout besoin de bras et de ce côté-là, c’est pas gagné, vu l’extension des SI de santé depuis ces 15 dernières années. T’as pas un ou deux lutins qui voudraient faire de la cyber à tout hasard ?

Gros bisous Père Noël,

À lire aussi : Ma lettre au Père Noël 2023

Ton RSSI qui t’aime,

L'auteur 

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.