Publicité en cours de chargement...
La cyber et le théorème du « Popopopopo »
L’affaire, relatée par le Midi libre[1] est un classique : dérangé par le « bip » incessant d’un équipement, un agent d’entretien d’un laboratoire de l’Institut polytechnique Rensselaer a éteint l’appareil (un congélateur). Conséquence : le contenu du congélateur est à mettre direct à la poubelle le lendemain matin. Sauf que ce contenu abritait 20 ans de recherches sur la photosynthèse, irrémédiablement perdues. L’agent en question se retrouve devant un juge, et son employeur (la société de nettoyage qui l’emploie et sous-traite l’entretien pour le compte du laboratoire à qui appartient le congélateur) se voit réclamer 1 million de dollars de dommages et intérêts. Bon, j’avais entendu la même histoire à propos d’un agent d’entretien qui avait débranché le respirateur d’un patient en réanimation pour brancher son aspirateur, mais ce doit être une légende urbaine. Précision utile : le congélateur en question présentait des dysfonctionnements depuis plusieurs jours et une intervention technique avait été programmée. Dans l’attente, un écriteau expliquant l’origine des bips avait été apposé sur la porte et indiquait qu’il ne fallait ni déplacer ni débrancher l’appareil.
En substance et si l’on s’arrête là, l’agent d’entretien est un gros vilain qu’il convient de pendre par les pieds et forcer à écouter l’intégrale des chansons à texte de Patrick Topaloff jusqu’à ce que mort s’ensuive.
À découvrir → En direct de l’APSSIS - Cyberattaque : le retour d’expérience et les conseils du GHT de Dordogne
Popopopopo, mais pas du tout ! En l’absence d’instruction claire de son employeur (la société de nettoyage), je ne vois pas ce qui relèverait de la faute, certainement pas détachable de service et encore moins non détachable. Je fais mon auditeur de base : Je peux voir la procédure ? La formation de l’agent ? Le support de formation ? La fiche d’émargement ? Si un type est embauché pour passer le balai (avec le salaire qui va avec), on peut difficilement lui demander d’en faire plus. Quant à la simple idée que manipuler un disjoncteur ne relève pas de sa mission… Au fait, c’est quoi sa mission ? Rebelote sur la fiche de poste. Et pan dans les dents – de l’employeur.
Popopopopo, mais toujours pas du tout ! Je refais mon auditeur de base : Le contrat qui lie le laboratoire à la société de nettoyage faisait-il mention de zones particulières présentant des particularités devant être portées à la connaissance de ladite société qui les aurait communiquées à ses propres agents (voir le Popopopopo ci-dessus) ? Je gage que dans une centrale nucléaire on met les bonnes protections devant les portes, histoire d’éviter que la femme de ménage aille épousseter le machin en plutonium, non ? En substance, le patron de l’Institut polytechnique Rensselaer est le seul responsable. Et pan dans les dents de l’Institut.
Popopopopo, mais que nenni ! Certes, le boss en question est responsable (ce sont ses services qui ont dû passer le marché de nettoyage), mais on peut difficilement reprocher à un chef à plumes de ne pas connaître toutes les zones à risque, les subtilités de ses nombreux départements et laboratoires, etc. En revanche, le patron du laboratoire incriminé en a-t-il fait part à sa hiérarchie ? Je fais encore l’auditeur : Je peux voir la note de service, les rappels, les dispositions internes, la fiche de risques ? D’expérience, ce genre de truc a été au mieux évoqué entre deux couloirs, au pire n’est connu que des seuls agents du laboratoire eux-mêmes.
Mais bon, si vous n’êtes pas à 100 % convaincu par la démonstration, on peut regarder le sujet sous un autre angle. L’institut en question est une université financée par des bailleurs, publics ou privés, et quel que soit leur nombre, aucune importance. Devant ces bailleurs, qui est responsable ? Un agent d’entretien qu’ils ne connaissent pas ? Une société de nettoyage dont ils n’ont jamais entendu parler ? Ou plus simplement le crétin qui s’est imaginé que pour protéger 20 ans de recherche face à des dysfonctionnements répétés d’un congélateur il suffisait de coller un simple Post-it sur la porte de l’appareil ?
Popopopopo !
L'auteur
Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.
Avez-vous apprécié ce contenu ?
A lire également.

Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée
24 avril 2025 - 15:14,
Actualité
- DSIHLa Délégation au numérique en santé (DNS) publie le premier rapport d’activité de la Plateforme d’éthicovigilance du numérique en santé, un dispositif inédit lancé fin 2023 pour recueillir les signalements d’usagers et de professionnels confrontés à des enjeux éthiques liés aux technologies de santé...

Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine
21 avril 2025 - 19:07,
Tribune
-Récemment, un post sur LinkedIn racontait l’histoire suivante : un enseignant soucieux de repérer les élèves qui faisaient rédiger leur copie par ChatGPT transmettait ses consignes sous forme de fichiers PDF dans lesquels il incluait des morceaux de texte en caractères blancs, donc invisibles pour l...

L’arnaque à l’arrêt de travail comme source de réflexion
14 avril 2025 - 21:57,
Tribune
-Soupçonné d’avoir mis en place un site Web permettant d’acheter de « faux » arrêts de travail en quelques clics et pour 9 euros seulement, un jeune homme de 22 ans originaire des Landes est sous le coup d’une accusation et de poursuites diverses. Les faux arrêts de travail étaient générés automatiqu...

Panorama forcément non exhaustif du fléau des arnaques en ligne en ce début 2025
08 avril 2025 - 07:19,
Tribune
-Le temps des mails provenant d’un prince nigérian qui requiert votre aide pour toucher un héritage, ou de la petite Marie qui attend désespérément une greffe, est révolu : les techniques ont évolué, les outils aussi, les réseaux se sont structurés et professionnalisés. Petit panorama, forcément inco...