Publicité en cours de chargement...

Publicité en cours de chargement...

Les spécificités de la crise cyber expliquées à ma grand-mère

19 juin 2023 - 02:00,
Tribune - Cédric Cartau
Imaginez un peu : vous devez emmener toute votre petite famille (conjoint et trois enfants) en voiture, d’Arengosse (dans les Landes) à Vouziers (dans les Ardennes) dans votre Audi A4 (cinq places). OK, le voyage risque d’être un peu long, mais vous allez y arriver (j’ai volontairement choisi un trajet bien compliqué, avec deux villes sans autoroute à proximité, et qui traverse la France dans le sens de la « diagonale du vide » comme disent les géographes).

En chemin et au beau milieu de nulle part, vous croisez un véhicule en panne sur le bord d’une départementale, et une autre famille avec deux enfants (soit quatre personnes) fait du stop car elle doit justement se rendre en urgence à Vouziers, mais la culasse du véhicule vient de rendre l’âme. Et toujours cinq places dans votre Audi A4, pas une de plus.

Autant le préciser à ce stade : abandonner qui que ce soit ne fait pas partie des possibilités de la présente simulation. Mais, en gros, vous allez tout de même vous en tirer : déposer votre propre famille au village le plus proche, revenir chercher les quatre autres personnes, les ramener au même village, trouver un taxi, etc.

Maintenant, retour à l’étape 1 : votre famille et vous, les autres personnes. Mais cette fois-ci et toujours au beau milieu de nulle part, la tuile : panne d’essence, panne du GPS, panne totale de tous les téléphones portables présents dans l’habitacle et, bien entendu, aucune carte routière dans les vide-poches. Ça rigole moins, n’est-ce pas ?

Grosso modo, le premier cas correspond à un afflux massif de « clients » (ou de patients dans le cas d’un hôpital) : à moyens constants, vous devez d’un coup gérer un afflux de demandes. C’est ce que les hôpitaux vivent dans un plan Amavi[1], c’est ce qu’ils ont vécu pendant les premières phases du Covid et, en général, les organisations acculturées au risque (dont les hôpitaux, mais pas que) sont fortement résilientes face à ce genre de situation. Malgré les contextes de flux tendus que nous connaissons à peu près partout, il est d’ailleurs remarquable de constater que d’un bout à l’autre de la chaîne hiérarchique les hôpitaux ont tenu le choc.

Le second cas en revanche correspond à une suppression des moyens techniques indispensables à assurer la mission, sans que le nombre de clients/patients/usagers change pour autant. Et c’est généralement beaucoup plus complexe, pour tout un tas de raisons, notamment parce que les organisations ne sont pas acculturées à gérer la perte des moyens en back-office ou des outils techniques. Dit en langage Itil, elles sont plus aptes à gérer les dysfonctionnements de leur SLA que de leurs UC (moyens techniques sous-jacents), elles n’ont pas anticipé leur dépendance à des outils presque « invisibles » telle la messagerie, certains composants se retrouvent de facto en situation de SPOF[2], etc. Paradoxalement, devoir courir plus vite sur un tapis est plus « simple » que de se voir retirer d’un coup le tapis sous vos pieds.

Nous pourrions débattre pendant des heures sur ce genre d’analyse, mais au final le schéma est le même : une crise cyber relève de la seconde catégorie. Et c’est justement ce qui fait sa spécificité avec une petite nuance : les autres « crises » équivalentes de perte de moyens supports (par exemple une panne électrique ou un incendie dans un bâtiment) ne durent jamais plus de 48 heures, au pire. Une crise cyber est donc le seul exemple connu d’une perte des moyens techniques qui peut durer des mois.

À découvrirMais au fait, c’est quoi exactement une crise ? Et surtout une crise cyber ?

Les RSSI doivent absolument axer une partie de la sensibilisation de leur direction générale sur l’idée selon laquelle, certes, il s’agit d’un dysfonctionnement de l’intendance, mais, dans ce cas précis, l’intendance ne suivra pas, qu’il risque de durer longtemps et qu’il faut s’y préparer. Justement, au Congrès de l’Apssis, pendant sa conférence, le spationaute Jean-François Clervoy expliquait que 70 % du temps d’entraînement avant un vol dans l’espace consistait à s’exercer aux pannes de toute nature. Sans aller jusque-là côté cyber, c’est une réflexion à intégrer dans le fonctionnement des organisations.

Si vous n’êtes toujours pas convaincu, posez-vous juste la question suivante : si au lieu de vivre un afflux massif de patients pendant le Covid (qui a saturé les services de réa, entre autres) et qui a duré en gros 18 mois, le système de santé français avait connu une panne totale de toute l’informatique des 135 GHT pendant la même durée… Vous préférez gérer quelle situation ?


[1]   Amavi : Afflux massif de victimes.

[2]   Single Point of Failure, ou maillon faible.

 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Dernier billet philosohico-cyber avant la plage

Dernier billet philosohico-cyber avant la plage

21 juil. 2025 - 10:00,

Tribune

-
Cédric Cartau

À l’approche des congés d’été, l’heure est à la réflexion — et pas seulement sur la température de l’eau ou le bon dosage de crème solaire. Entre arnaques bancaires de plus en plus sophistiquées, dérives technologiques, illusions cyber-industrielles et lacunes dans la gouvernance publique, ce billet...

Illustration Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé

Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé

07 juil. 2025 - 23:57,

Actualité

- DSIH

Le ministre chargé de la Santé et de l’Accès aux soins, Yannick Neuder, a réuni ce 1er juillet un Comité stratégique exceptionnel pour présenter les premières étapes de la stratégie nationale sur l’intelligence artificielle (IA) et l’utilisation secondaire des données de santé. Objectif : structurer...

Illustration Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

01 juil. 2025 - 00:00,

Actualité

- DSIH

La 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...

Illustration Le 8ème opus des guides cyber-résilience de l’APSSIS est en ligne !

Le 8ème opus des guides cyber-résilience de l’APSSIS est en ligne !

30 juin 2025 - 20:50,

Communiqué

- APSSIS

L’APSSIS a le plaisir d’annoncer la publication du 8ème opus des Guides Cyber-résilience à destination des professionnels du secteur. Conçus et élaborés par Cédric Cartau, ces guides se veulent à la fois accessibles, techniques et pratiques.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.