Publicité en cours de chargement...
Un début de rentrée tout en nuances
Côté cyber, la routine, toujours la routine, rien que la routine.
Le Royaume-Uni victime d’une des plus grosses cyberattaques de son histoire, avec des millions de données électorales d’électeurs dérobées. Breaking news : apparemment, cette fois-ci, Mark Zuckerberg n’y est pour rien.
La mairie de Sartrouville totalement paralysée par une cyberattaque. Tout comme celle de Houilles.
Le maire d’une municipalité récemment attaquée faisait référence à la perte irréversible de certaines données d’état civil ainsi qu’à l’augmentation significative des budgets SI et cyber de sa commune. On se plaint dans les hôpitaux, mais quand on voit l’état SI de certaines mairies ou collectivités, c’est Beyrouth.
Les données de santé de 4 millions d’Américains volées, à la suite d’une cyberattaque contre MOVEit et IBM, qui gère une partie de son infrastructure. Mais, malgré cela, on trouve encore des consultants pochettes-surprises sur les réseaux professionnels qui viennent vous expliquer à tour de posts/tweets que, hors l’externalisation, point de salut. À ce sujet, je vous renvoie, une fois de plus, à ce précédent article[1] de DSIH où je liste une bonne partie des mesures à prendre pour sécuriser les accès fournisseurs.
Autre news presque drôle : l’État veut renforcer la transparence et le contrôle de ses services en matière de prestations informatiques externalisées, notamment par des entreprises de services du numérique (ESN). Il s’agit notamment de maintenir un niveau de compétences adéquat en interne pour réduire les risques liés à l’externalisation. Alors là, pincez-moi : on nous bassine depuis des décennies, en dehors de toute étude indépendante et de toute évaluation propre, en affirmant que l’externalisation est le seul remède (voire même que les informaticiens de la fonction publique sont forcément nuls, ce qui justifie le recours massif à l’externalisation – authentique, je l’ai déjà entendu) et là, enfin, l’État se rend compte des légers petits inconvénients du système. On a mal, une seconde fois, pour les consultants pochettes-surprises du dessus : va bientôt falloir qu’ils se recyclent. Commentaire lu sur LinkedIn : va falloir augmenter les salaires des experts cyber en interne, le delta est important. Commentaire du commentaire : oui, et alors ?
Sinon, votre serviteur a mis à profit les journées de farniente pour écluser certains podcasts, notamment des REX sur des attaques cyber. Je vais encore me faire plein de potes, mais entre filer des sommes importantes pour le triptyque à la mode EDR/SIEM/SOC et sécuriser ses accès en MFA (pour les agents) en déroulant les préconisations de l’article précédemment cité sur les accès fournisseurs, je persiste à choisir la seconde option (qui, soit dit en passant, peut se faire la plupart du temps à coûts très faibles).
Cadeau bonus de la rentrée, cet excellent schéma glané sur Internet qui décrit le niveau de maturité de l’authentification : https://danielmiessler.com/p/casmm-consumer-authentication-security-maturity-model/
Il y a clairement une réflexion de fond à mener sur les niveaux cibles, ce qui risque, en gros, de donner ceci :
– en interne, pour les agents, niveau 3 au minimum ;
[1] /article/5196/la-cyber-confrontee-a-la-question-des-acces-fournisseurs.html
L'auteur
Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.
Avez-vous apprécié ce contenu ?
A lire également.
Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée
24 avril 2025 - 15:14,
Actualité
- DSIHLa Délégation au numérique en santé (DNS) publie le premier rapport d’activité de la Plateforme d’éthicovigilance du numérique en santé, un dispositif inédit lancé fin 2023 pour recueillir les signalements d’usagers et de professionnels confrontés à des enjeux éthiques liés aux technologies de santé...
Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine
21 avril 2025 - 19:07,
Tribune
-Récemment, un post sur LinkedIn racontait l’histoire suivante : un enseignant soucieux de repérer les élèves qui faisaient rédiger leur copie par ChatGPT transmettait ses consignes sous forme de fichiers PDF dans lesquels il incluait des morceaux de texte en caractères blancs, donc invisibles pour l...
L’arnaque à l’arrêt de travail comme source de réflexion
14 avril 2025 - 21:57,
Tribune
-Soupçonné d’avoir mis en place un site Web permettant d’acheter de « faux » arrêts de travail en quelques clics et pour 9 euros seulement, un jeune homme de 22 ans originaire des Landes est sous le coup d’une accusation et de poursuites diverses. Les faux arrêts de travail étaient générés automatiqu...
Panorama forcément non exhaustif du fléau des arnaques en ligne en ce début 2025
08 avril 2025 - 07:19,
Tribune
-Le temps des mails provenant d’un prince nigérian qui requiert votre aide pour toucher un héritage, ou de la petite Marie qui attend désespérément une greffe, est révolu : les techniques ont évolué, les outils aussi, les réseaux se sont structurés et professionnalisés. Petit panorama, forcément inco...