Publicité en cours de chargement...
Un début de rentrée tout en nuances
Côté cyber, la routine, toujours la routine, rien que la routine.
Le Royaume-Uni victime d’une des plus grosses cyberattaques de son histoire, avec des millions de données électorales d’électeurs dérobées. Breaking news : apparemment, cette fois-ci, Mark Zuckerberg n’y est pour rien.
La mairie de Sartrouville totalement paralysée par une cyberattaque. Tout comme celle de Houilles.
Le maire d’une municipalité récemment attaquée faisait référence à la perte irréversible de certaines données d’état civil ainsi qu’à l’augmentation significative des budgets SI et cyber de sa commune. On se plaint dans les hôpitaux, mais quand on voit l’état SI de certaines mairies ou collectivités, c’est Beyrouth.
Les données de santé de 4 millions d’Américains volées, à la suite d’une cyberattaque contre MOVEit et IBM, qui gère une partie de son infrastructure. Mais, malgré cela, on trouve encore des consultants pochettes-surprises sur les réseaux professionnels qui viennent vous expliquer à tour de posts/tweets que, hors l’externalisation, point de salut. À ce sujet, je vous renvoie, une fois de plus, à ce précédent article[1] de DSIH où je liste une bonne partie des mesures à prendre pour sécuriser les accès fournisseurs.
À découvrir → En direct de l’APSSIS - Cyberattaque : le retour d’expérience et les conseils du GHT de Dordogne
Autre news presque drôle : l’État veut renforcer la transparence et le contrôle de ses services en matière de prestations informatiques externalisées, notamment par des entreprises de services du numérique (ESN). Il s’agit notamment de maintenir un niveau de compétences adéquat en interne pour réduire les risques liés à l’externalisation. Alors là, pincez-moi : on nous bassine depuis des décennies, en dehors de toute étude indépendante et de toute évaluation propre, en affirmant que l’externalisation est le seul remède (voire même que les informaticiens de la fonction publique sont forcément nuls, ce qui justifie le recours massif à l’externalisation – authentique, je l’ai déjà entendu) et là, enfin, l’État se rend compte des légers petits inconvénients du système. On a mal, une seconde fois, pour les consultants pochettes-surprises du dessus : va bientôt falloir qu’ils se recyclent. Commentaire lu sur LinkedIn : va falloir augmenter les salaires des experts cyber en interne, le delta est important. Commentaire du commentaire : oui, et alors ?
Sinon, votre serviteur a mis à profit les journées de farniente pour écluser certains podcasts, notamment des REX sur des attaques cyber. Je vais encore me faire plein de potes, mais entre filer des sommes importantes pour le triptyque à la mode EDR/SIEM/SOC et sécuriser ses accès en MFA (pour les agents) en déroulant les préconisations de l’article précédemment cité sur les accès fournisseurs, je persiste à choisir la seconde option (qui, soit dit en passant, peut se faire la plupart du temps à coûts très faibles).
Cadeau bonus de la rentrée, cet excellent schéma glané sur Internet qui décrit le niveau de maturité de l’authentification : https://danielmiessler.com/p/casmm-consumer-authentication-security-maturity-model/
Il y a clairement une réflexion de fond à mener sur les niveaux cibles, ce qui risque, en gros, de donner ceci :
– en interne, pour les agents, niveau 3 au minimum ;
[1] /article/5196/la-cyber-confrontee-a-la-question-des-acces-fournisseurs.html
L'auteur
Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.
Avez-vous apprécié ce contenu ?
A lire également.

Approche hétérodoxe du concept de risque résiduel
02 juin 2025 - 22:42,
Tribune
-Vous voulez être le bon élève de l’auditeur 27001 qui vient constater, de visu, comment vous mettez en œuvre un SMSI. Le bon élève, avec les félicitations, le bisou sur le front et le petit papier qui va bien.

Fondation Santé Service choisit GPLExpert pour un hébergement web conforme au référentiel CaRE
02 juin 2025 - 15:00,
Communiqué
- GPLExpertGPLExpert rejoint le groupe itp tout en conservant vos interlocuteurs. Fort de 30 ans d’histoire, 160 collaborateurs, 11 agences et 6 domaines d’expertise, qui sont désormais à votre service :

La cyber et les probabilités paresseuses
26 mai 2025 - 21:29,
Tribune
-Récemment, j’ai assisté à la conférence d’un entrepreneur qui propose des prestations de service relatives à des « calculs d’impact ». Oui, dit comme cela, c’est étrange, mais en fait pas autant qu’il y paraît : dans l’idée, si vous disposez d’un budget fixe, entre deux choix de projets cyber (par e...

Cybersécurité, simuler pour protéger : la force des formations immersives
19 mai 2025 - 23:41,
Tribune
-Dans un secteur aussi sensible que celui de la santé, la cybersécurité et la cyber résilience sont prioritaires. Les séquences immersives intégrées dans les formations à la cybersécurité jouent un rôle essentiel pour préparer les professionnels à faire face aux menaces. Ces approches pédagogiques re...