Publicité en cours de chargement...

Publicité en cours de chargement...

Un mois de janvier comme un autre au pays de la cyber

31 jan. 2023 - 09:27,
Tribune - Cédric Cartau
La routine, vraiment la routine.

Tchap, le canal de communication des RSSI de santé, fait maintenant état de plusieurs attaques en phishing par jour – vous avez bien lu, par jour ! À force de blacklister les adresses mails de Josette au CH de Tartempion-les-Oies, de Michou à La Ferté-sur-Pastis et de Cunégonde à l’Assistance publique des hôpitaux de Mortebouse-en-Brie, on va tous finir blacklistés de partout, vaudra mieux carrément fermer les serveurs de messagerie – en même temps, on aura moins d’em…

RGPD : Espionnage de salariés chez Ikea France. Un ancien PDG condamné en appel à quatre mois de prison avec sursis. Quand on lit le détail de l’affaire, avec espionnage massif de centaines de salariés jusque dans leur plumard, sans même parler de ce que le PDG pouvait bien faire de ces informations, on se dit que le RGPD, en fait, c’est cool, la loi n’est pas aussi sévère qu’on veut bien nous le faire croire, hein ?

Directive NIS : v2 adoptée. Attention, les DG risquent dans certains cas le pénal. Bon, en même temps, ils risquent le pénal tous les jours dans ce pays, une fois de plus ou de moins…

Menaces cyber : apparemment, l’Anssi note une « amélioration » des attaques en 2022, côté hôpitaux et collectivités. Bon, alors là, je suis curieux de voir les sources brutes, car entre le phishing susnommé, les grosses attaques médiatisées (2022 détient le record), les incidents du tout-venant et les explosions des tentatives de fraude au président (ou de ses dérivées), je n’ai pas spécialement l’impression que 2022 a été lisse comme le crâne de Kojak.

Architectures Cloud : ça occupe du monde, de la salive et des visio Zoom, mais les instructions ministérielles pour ne plus utiliser des solutions soumises à des lois extraterritoriales (admirez la litote) engagent pas mal de mouvements de fond chez les éditeurs. Et là, oh ! miracle, on redécouvre que les Sigma, les AZ Network (je ne peux pas tous les citer) – font aussi bien le boulot.

Cochonnerieswares : le vishing est à la mode. Contraction de Voice Phishing, il s’agit d’appels téléphoniques reçus dans l’urgence, de la part d’un prétendu conseiller bancaire qui finit par extorquer des sommes (quelquefois importantes) à la victime qui lui communique le fameux code 3D Secure supposé sécuriser un achat ou un virement interbancaire.

Sécurisation de la supply chain : depuis une des dernières attaques (CH de Versailles), tous les RSSI sont très tendus sur la question des horaires d’ouverture des VPN, et tous les RSSI sont en train de les restreindre, au moins aux heures ouvrables. C’est là que le job est drôle : on voit sortir du chapeau des chefs de projet qui font marner des fournisseurs le soir et le week-end (– Il est surchargé avec ses autres clients le pauuuuuuuvre, tu pourrais lui laisser le VPN ouvert around the clock, s’il te plaît, mon Cédricounet préféré. – Naaan.). Quitte à déjeuner tous les jours à la cafèt’ tout seul et dos au mur, autant que cela serve à quelque chose.

Sécurisation des accès fournisseurs : bis repetita. Les VPN Lan to Lan, va falloir que cela cesse.
Je répète : les VPN Lan to Lan, va falloir vraiment que cela cesse.
Je répète encore une fois ou c’est bon ?

Stockage des mots de passe : CVS sur Keepass, qui vient se rajouter à la liste des containers qui ont eu des vulnérabilités majeures.

C’est l’heure de notre jeu concours, un abonnement à Pif Gadget pour le 100 001e lecteur qui donnera la solution au quiz suivant :
Vous êtes RSSI et vous surprenez un chef de projet Amoa la main dans l’AD à créer un compte adminsys pour un fournisseur kazakh en VPN depuis la Corée du Nord.

a) Vous lui expliquez calmement que c’est très vilain ;
b) Vous le pendez par les pieds et lui faites des guili-guili pendant deux heures tout en le forçant à écouter l’intégrale de Boby Lapointe ;
c) Vous lui coupez son accès Internet pendant trois semaines ;
d) La réponse D.
(Plusieurs bonnes réponses possibles.)

Et pour finir, la bonne résolution de la semaine : je jette un coup d’œil sur mon Firewall aux flux https sortants et aux protocoles qui tentent de passer par là, en particulier les VPN vers des relais privés. Et je reste bien assis en regardant le résultat.

Ah ! j’allais oublier : sortie sur le site de l’Apssis du guide de cyberrésilience opus 6 dédié aux ficelles du métier de RSSI.
C’est ici [1].

La routine, vraiment la routine.

[1] https://www.apssis.com/nos-actions/publication/ 


L'auteur 

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.

Avez-vous apprécié ce contenu ?

A lire également.

Regonfler un pneu ou s’attaquer à la root cause : vision 27001 de la mise sous contrainte

15 sept. 2025 - 22:20,

Tribune

-
Cédric Cartau

Imaginez un peu la scène : vous êtes dans votre jardin en train de tailler vos rosiers, et par-dessus la clôture vous apercevez votre voisin que vous saluez chaleureusement. Vous en profitez pour le prévenir que le pneu arrière gauche de sa voiture, garée dans son allée et que vous voyez très bien d...

Illustration Tour de France CaRE Domaine 2

Tour de France CaRE Domaine 2

13 sept. 2025 - 16:20,

Communiqué

- Orange Cyberdefense

La cybersécurité n’est plus une option pour les établissements de santé ! Grâce au programme CaRE, vous pouvez bénéficier de subventions pour augmenter votre résilience numérique. Orange Cyberdefense vous invite à son Tour de France autour du Domaine 2 du programme CaRE de mi-septembre à mi-octobre.

Illustration CaRE D2 : renforcer la continuité et la reprise d’activité grâce au test du PCRA

CaRE D2 : renforcer la continuité et la reprise d’activité grâce au test du PCRA

08 sept. 2025 - 11:50,

Tribune

-
Manon DALLEAU

Le mois de juillet 2025 a marqué le lancement de CaRE D2, avec pour objectif de renforcer la stratégie de continuité et de reprise d'activité des établissements de santé, aussi bien sur le plan métier que sur le plan informatique. Au cœur du dispositif : le Plan de Continuité et de Reprise d'Activit...

Illustration Certification des établissements de santé : démarrage du 6ᵉ cycle au 1er septembre 2025

Certification des établissements de santé : démarrage du 6ᵉ cycle au 1er septembre 2025

05 sept. 2025 - 11:39,

Actualité

- DSIH

Depuis le 1er septembre 2025, la Haute Autorité de santé (HAS) a officiellement lancé le sixième cycle de certification (2025-2030) des établissements de santé. Ce dispositif, renouvelé tous les quatre ans, constitue un levier majeur d’évaluation de la qualité et de la sécurité des soins dans les st...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.