Un début de rentrée tout en nuances

Côté cyber, la routine, toujours la routine, rien que la routine.

Le Royaume-Uni victime d’une des plus grosses cyberattaques de son histoire, avec des millions de données électorales d’électeurs dérobées. Breaking news : apparemment, cette fois-ci, Mark Zuckerberg n’y est pour rien.

La mairie de Sartrouville totalement paralysée par une cyberattaque. Tout comme celle de Houilles.
Le maire d’une municipalité récemment attaquée faisait référence à la perte irréversible de certaines données d’état civil ainsi qu’à l’augmentation significative des budgets SI et cyber de sa commune. On se plaint dans les hôpitaux, mais quand on voit l’état SI de certaines mairies ou collectivités, c’est Beyrouth.

Les données de santé de 4 millions d’Américains volées, à la suite d’une cyberattaque contre MOVEit et IBM, qui gère une partie de son infrastructure. Mais, malgré cela, on trouve encore des consultants pochettes-surprises sur les réseaux professionnels qui viennent vous expliquer à tour de posts/tweets que, hors l’externalisation, point de salut. À ce sujet, je vous renvoie, une fois de plus, à ce précédent article[1] de DSIH où je liste une bonne partie des mesures à prendre pour sécuriser les accès fournisseurs.

Autre news presque drôle : l’État veut renforcer la transparence et le contrôle de ses services en matière de prestations informatiques externalisées, notamment par des entreprises de services du numérique (ESN). Il s’agit notamment de maintenir un niveau de compétences adéquat en interne pour réduire les risques liés à l’externalisation. Alors là, pincez-moi : on nous bassine depuis des décennies, en dehors de toute étude indépendante et de toute évaluation propre, en affirmant que l’externalisation est le seul remède (voire même que les informaticiens de la fonction publique sont forcément nuls, ce qui justifie le recours massif à l’externalisation – authentique, je l’ai déjà entendu) et là, enfin, l’État se rend compte des légers petits inconvénients du système. On a mal, une seconde fois, pour les consultants pochettes-surprises du dessus : va bientôt falloir qu’ils se recyclent. Commentaire lu sur LinkedIn : va falloir augmenter les salaires des experts cyber en interne, le delta est important. Commentaire du commentaire : oui, et alors ?

Sinon, votre serviteur a mis à profit les journées de farniente pour écluser certains podcasts, notamment des REX sur des attaques cyber. Je vais encore me faire plein de potes, mais entre filer des sommes importantes pour le triptyque à la mode EDR/SIEM/SOC et sécuriser ses accès en MFA (pour les agents) en déroulant les préconisations de l’article précédemment cité sur les accès fournisseurs, je persiste à choisir la seconde option (qui, soit dit en passant, peut se faire la plupart du temps à coûts très faibles).

Cadeau bonus de la rentrée, cet excellent schéma glané sur Internet qui décrit le niveau de maturité de l’authentification : https://danielmiessler.com/p/casmm-consumer-authentication-security-maturity-model/
Il y a clairement une réflexion de fond à mener sur les niveaux cibles, ce qui risque, en gros, de donner ceci :
– en interne, pour les agents, niveau 3 au minimum ;

[1] /article/5196/la-cyber-confrontee-a-la-question-des-acces-fournisseurs.html 

L'auteur 

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.