Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Un début de rentrée tout en nuances

29 août 2023 - 11:20,
Tribune - Cédric Cartau
Apparemment, le temps de cet été 2023 aura été très contrasté. Canicule au sud, incendies en masse dans pas mal de lieux prisés de villégiature, météo mitigée au nord avec des semaines carrément pourries. Ça change, somme toute, des étés caniculaires partout.

Côté cyber, la routine, toujours la routine, rien que la routine.

Le Royaume-Uni victime d’une des plus grosses cyberattaques de son histoire, avec des millions de données électorales d’électeurs dérobées. Breaking news : apparemment, cette fois-ci, Mark Zuckerberg n’y est pour rien.

La mairie de Sartrouville totalement paralysée par une cyberattaque. Tout comme celle de Houilles.
Le maire d’une municipalité récemment attaquée faisait référence à la perte irréversible de certaines données d’état civil ainsi qu’à l’augmentation significative des budgets SI et cyber de sa commune. On se plaint dans les hôpitaux, mais quand on voit l’état SI de certaines mairies ou collectivités, c’est Beyrouth.

Les données de santé de 4 millions d’Américains volées, à la suite d’une cyberattaque contre MOVEit et IBM, qui gère une partie de son infrastructure. Mais, malgré cela, on trouve encore des consultants pochettes-surprises sur les réseaux professionnels qui viennent vous expliquer à tour de posts/tweets que, hors l’externalisation, point de salut. À ce sujet, je vous renvoie, une fois de plus, à ce précédent article[1] de DSIH où je liste une bonne partie des mesures à prendre pour sécuriser les accès fournisseurs.

À découvrirEn direct de l’APSSIS - Cyberattaque : le retour d’expérience et les conseils du GHT de Dordogne

Autre news presque drôle : l’État veut renforcer la transparence et le contrôle de ses services en matière de prestations informatiques externalisées, notamment par des entreprises de services du numérique (ESN). Il s’agit notamment de maintenir un niveau de compétences adéquat en interne pour réduire les risques liés à l’externalisation. Alors là, pincez-moi : on nous bassine depuis des décennies, en dehors de toute étude indépendante et de toute évaluation propre, en affirmant que l’externalisation est le seul remède (voire même que les informaticiens de la fonction publique sont forcément nuls, ce qui justifie le recours massif à l’externalisation – authentique, je l’ai déjà entendu) et là, enfin, l’État se rend compte des légers petits inconvénients du système. On a mal, une seconde fois, pour les consultants pochettes-surprises du dessus : va bientôt falloir qu’ils se recyclent. Commentaire lu sur LinkedIn : va falloir augmenter les salaires des experts cyber en interne, le delta est important. Commentaire du commentaire : oui, et alors ?

Sinon, votre serviteur a mis à profit les journées de farniente pour écluser certains podcasts, notamment des REX sur des attaques cyber. Je vais encore me faire plein de potes, mais entre filer des sommes importantes pour le triptyque à la mode EDR/SIEM/SOC et sécuriser ses accès en MFA (pour les agents) en déroulant les préconisations de l’article précédemment cité sur les accès fournisseurs, je persiste à choisir la seconde option (qui, soit dit en passant, peut se faire la plupart du temps à coûts très faibles).

Cadeau bonus de la rentrée, cet excellent schéma glané sur Internet qui décrit le niveau de maturité de l’authentification : https://danielmiessler.com/p/casmm-consumer-authentication-security-maturity-model/
Il y a clairement une réflexion de fond à mener sur les niveaux cibles, ce qui risque, en gros, de donner ceci :
– en interne, pour les agents, niveau 3 au minimum ;


[1] /article/5196/la-cyber-confrontee-a-la-question-des-acces-fournisseurs.html 


L'auteur 

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Mais non, la 27001 n’est pas lourdingue !

Mais non, la 27001 n’est pas lourdingue !

06 oct. 2025 - 22:14,

Tribune

-
Cédric Cartau

Récemment, je suis tombé sur un post selon lequel, en gros, la compliance (conformité) serait un mal nécessaire pour décrocher des contrats, des marchés, mais qui globalement n’aurait quasiment pas d’autre utilité, et que sa contribution à améliorer le « système » est tout sauf claire. Bref, c’est b...

Illustration FHIR : la norme qui libère la donnée de santé et ouvre de nouvelles voies

FHIR : la norme qui libère la donnée de santé et ouvre de nouvelles voies

06 oct. 2025 - 21:41,

Actualité

- DSIH

Pour fluidifier les parcours, offrir une vision exhaustive des données patients, connecter la ville et l’hôpital, et permettre aux nouvelles générations d’algorithmes de révéler tout leur potentiel, l’interopérabilité devient essentielle. Autour d’un dîner-conférence organisé par Infor, experts amér...

Illustration Horizon Santé 360 : Innovons ensemble pour notre souveraineté en santé

Horizon Santé 360 : Innovons ensemble pour notre souveraineté en santé

02 oct. 2025 - 10:31,

Communiqué

- La Poste Santé & Autonomie

Rendez-vous le 9 octobre 2025 à Paris pour la 3ᵉ édition d’Horizon Santé 360, l'événement annuel de La Poste Santé & Autonomie.

Illustration Le Data Act : une nouvelle ère pour la gouvernance des données de santé

Le Data Act : une nouvelle ère pour la gouvernance des données de santé

30 sept. 2025 - 07:15,

Tribune

-
Marguerite Brac de La Perrière

Le 12 septembre 2025 a marqué une étape décisive dans la stratégie européenne de la donnée avec l’entrée en application du Data Act (Règlement UE 2023/2854). Ce texte, pilier du marché unique de la donnée, vise à encadrer l’accès, le partage et la portabilité des données générées par les produits ...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.