Dernières considérations cyber avant la plage

Janvier

Si vous voulez pourrir la vie de votre entreprise, service, équipe, pas de panique : l’Office of Strategic Services (ancêtre de la CIA) a pensé à tout et publié, dans son Manuel de sabotage simple sur le terrain, toutes les bonnes recettes des barbouzes, initialement destinées aux résistants dans les pays occupés par les forces de l’Axe, mais parfaitement utilisables au xxi^e siècle.
Ah, j’oubliais ! N’écoutant que mon courage, je me frotte à ChatGPT avec une question hypersélecte :
Q : Est-ce que Shrek a pécho Fiona ?
Réponse de l’IA : Non, il n’y a aucune indication que Shrek et Fiona aient eu une liaison romantique.
Je m’inscris en faux : selon la définition de « pécho », la réponse est fausse.

Février

Dans un récent et excellent article de La Tribune, Marc Sztulman, conseiller régional d’Occitanie et délégué au Numérique pour tous, s’interroge sur ce qu’est ou n’est pas la souveraineté et la confiance, en particulier autour des notions de Cloud. Indispensable.

Mars

C’était au tour du CHU de Brest d’être victime d’une attaque cyber. Les équipes internes ont contingenté le SI très rapidement, ce qui a permis de limiter les dégâts (et un redémarrage en un temps somme toute assez court si on le compare à celui qu’il aura fallu au CH de Dax), mais chaque DSI, chaque RSSI et bien entendu chaque direction générale se demande : « À quand notre tour ? »
Ah, j’allais oublier ! On a manifestement les chocottes chez Google depuis la sortie publique de ChatGPT : ils ont déclenché l’alerte managériale écarlate.

Avril

ChatGPT ou Le Bal des pleureuses : après avoir déployé de l’informatique à tout va pendant des décennies et nous avoir asséné que c’était la porte du Paradis sur Terre, voilà que les pontes de la Silicon Valley nous alertent maintenant sur les dangers de l’IA, de ChatGPT (et accessoirement des Chinois et de leur rouleau compresseur informatique, tiens donc). Drôle, non ?

Mai

Ça s’agite dans les ministères de tous les pays occidentaux, qui songent à interdire les IA par peur de l’avenir. Quelle anticipation, on en reste baba !
Ah oui ! et j’allais oublier : il semble que Doctolib ait perdu quelques données clients, mais pour la licorne il ne s’agirait pas d’une violation de données personnelles.

Juin

Votre serviteur vous liste l’ensemble des précautions à prendre pour sécuriser les accès fournisseurs[1] et, n’écoutant que son courage, en profite pour vous livrer ses réflexions métaphysiques sur la pertinence des EDR[2].
Ah oui ! et j’allais oublier : une fois n’est pas coutume, juin fut le mois du congrès de l’Apssis 2023, avec des conférences toujours plus pointues, un casting toujours épastrouillant (Robert Erra de l’Ésiéa, Coralie Lemke de Sciences et Avenir et l’astronaute Jean-François Clervoy, excusez du peu !).

[1] /article/5196/la-cyber-confrontee-a-la-question-des-acces-fournisseurs.html 

À lire aussi : Cybersécurité : une « task force » pour préparer l’après-2023

[2] /article/5208/les-edr-ou-le-debat-conceptuel.html 

L'auteur 

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.