Publicité en cours de chargement...

Publicité en cours de chargement...

Les spécificités de la crise cyber expliquées à ma grand-mère

19 juin 2023 - 02:00,
Tribune - Cédric Cartau
Imaginez un peu : vous devez emmener toute votre petite famille (conjoint et trois enfants) en voiture, d’Arengosse (dans les Landes) à Vouziers (dans les Ardennes) dans votre Audi A4 (cinq places). OK, le voyage risque d’être un peu long, mais vous allez y arriver (j’ai volontairement choisi un trajet bien compliqué, avec deux villes sans autoroute à proximité, et qui traverse la France dans le sens de la « diagonale du vide » comme disent les géographes).

En chemin et au beau milieu de nulle part, vous croisez un véhicule en panne sur le bord d’une départementale, et une autre famille avec deux enfants (soit quatre personnes) fait du stop car elle doit justement se rendre en urgence à Vouziers, mais la culasse du véhicule vient de rendre l’âme. Et toujours cinq places dans votre Audi A4, pas une de plus.

Autant le préciser à ce stade : abandonner qui que ce soit ne fait pas partie des possibilités de la présente simulation. Mais, en gros, vous allez tout de même vous en tirer : déposer votre propre famille au village le plus proche, revenir chercher les quatre autres personnes, les ramener au même village, trouver un taxi, etc.

Maintenant, retour à l’étape 1 : votre famille et vous, les autres personnes. Mais cette fois-ci et toujours au beau milieu de nulle part, la tuile : panne d’essence, panne du GPS, panne totale de tous les téléphones portables présents dans l’habitacle et, bien entendu, aucune carte routière dans les vide-poches. Ça rigole moins, n’est-ce pas ?

Grosso modo, le premier cas correspond à un afflux massif de « clients » (ou de patients dans le cas d’un hôpital) : à moyens constants, vous devez d’un coup gérer un afflux de demandes. C’est ce que les hôpitaux vivent dans un plan Amavi[1], c’est ce qu’ils ont vécu pendant les premières phases du Covid et, en général, les organisations acculturées au risque (dont les hôpitaux, mais pas que) sont fortement résilientes face à ce genre de situation. Malgré les contextes de flux tendus que nous connaissons à peu près partout, il est d’ailleurs remarquable de constater que d’un bout à l’autre de la chaîne hiérarchique les hôpitaux ont tenu le choc.

Le second cas en revanche correspond à une suppression des moyens techniques indispensables à assurer la mission, sans que le nombre de clients/patients/usagers change pour autant. Et c’est généralement beaucoup plus complexe, pour tout un tas de raisons, notamment parce que les organisations ne sont pas acculturées à gérer la perte des moyens en back-office ou des outils techniques. Dit en langage Itil, elles sont plus aptes à gérer les dysfonctionnements de leur SLA que de leurs UC (moyens techniques sous-jacents), elles n’ont pas anticipé leur dépendance à des outils presque « invisibles » telle la messagerie, certains composants se retrouvent de facto en situation de SPOF[2], etc. Paradoxalement, devoir courir plus vite sur un tapis est plus « simple » que de se voir retirer d’un coup le tapis sous vos pieds.

Nous pourrions débattre pendant des heures sur ce genre d’analyse, mais au final le schéma est le même : une crise cyber relève de la seconde catégorie. Et c’est justement ce qui fait sa spécificité avec une petite nuance : les autres « crises » équivalentes de perte de moyens supports (par exemple une panne électrique ou un incendie dans un bâtiment) ne durent jamais plus de 48 heures, au pire. Une crise cyber est donc le seul exemple connu d’une perte des moyens techniques qui peut durer des mois.

À découvrirMais au fait, c’est quoi exactement une crise ? Et surtout une crise cyber ?

Les RSSI doivent absolument axer une partie de la sensibilisation de leur direction générale sur l’idée selon laquelle, certes, il s’agit d’un dysfonctionnement de l’intendance, mais, dans ce cas précis, l’intendance ne suivra pas, qu’il risque de durer longtemps et qu’il faut s’y préparer. Justement, au Congrès de l’Apssis, pendant sa conférence, le spationaute Jean-François Clervoy expliquait que 70 % du temps d’entraînement avant un vol dans l’espace consistait à s’exercer aux pannes de toute nature. Sans aller jusque-là côté cyber, c’est une réflexion à intégrer dans le fonctionnement des organisations.

Si vous n’êtes toujours pas convaincu, posez-vous juste la question suivante : si au lieu de vivre un afflux massif de patients pendant le Covid (qui a saturé les services de réa, entre autres) et qui a duré en gros 18 mois, le système de santé français avait connu une panne totale de toute l’informatique des 135 GHT pendant la même durée… Vous préférez gérer quelle situation ?


[1]   Amavi : Afflux massif de victimes.

[2]   Single Point of Failure, ou maillon faible.

 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine

Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine

21 avril 2025 - 19:07,

Tribune

-
Cédric Cartau

Récemment, un post sur LinkedIn racontait l’histoire suivante : un enseignant soucieux de repérer les élèves qui faisaient rédiger leur copie par ChatGPT transmettait ses consignes sous forme de fichiers PDF dans lesquels il incluait des morceaux de texte en caractères blancs, donc invisibles pour l...

Illustration Panorama forcément non exhaustif du fléau des arnaques en ligne en ce début 2025

Panorama forcément non exhaustif du fléau des arnaques en ligne en ce début 2025

08 avril 2025 - 07:19,

Tribune

-
Cédric Cartau

Le temps des mails provenant d’un prince nigérian qui requiert votre aide pour toucher un héritage, ou de la petite Marie qui attend désespérément une greffe, est révolu : les techniques ont évolué, les outils aussi, les réseaux se sont structurés et professionnalisés. Petit panorama, forcément inco...

Illustration Ségur numérique : Mise à jour du calendrier réglementaire pour les dispositifs de la Vague 2 à l’hôpital

Ségur numérique : Mise à jour du calendrier réglementaire pour les dispositifs de la Vague 2 à l’hôpital

24 mars 2025 - 20:32,

Actualité

- DSIH,

Afin de garantir au plus grand nombre d’établissements de santé l’accès aux mises à jour financées par le Ségur numérique, le calendrier des dispositifs dédiés aux logiciels Dossier Patient Informatisé (DPI) et Plateforme d’Interopérabilité (PFI) a été étendu par un arrêté modificatif, publié ce jou...

Illustration Loi sur le narcotrafic et fin du chiffrement : analyse d’un membre éminent et actif du CVC

Loi sur le narcotrafic et fin du chiffrement : analyse d’un membre éminent et actif du CVC

10 mars 2025 - 19:33,

Tribune

-
Cédric Cartau

Vous n’avez pas pu le rater : sous couvert de lutte contre le trafic de stupéfiants, la proposition de loi d’Étienne Blanc et de Jérôme Durain, déjà adoptée à l’unanimité au Sénat, sera débattue au mois de mars à l’Assemblée nationale. Baptisée « loi Narcotrafic », elle vise à obliger les services d...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.