Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Un début de rentrée tout en nuances

29 août 2023 - 11:20,
Tribune - Cédric Cartau
Apparemment, le temps de cet été 2023 aura été très contrasté. Canicule au sud, incendies en masse dans pas mal de lieux prisés de villégiature, météo mitigée au nord avec des semaines carrément pourries. Ça change, somme toute, des étés caniculaires partout.

Côté cyber, la routine, toujours la routine, rien que la routine.

Le Royaume-Uni victime d’une des plus grosses cyberattaques de son histoire, avec des millions de données électorales d’électeurs dérobées. Breaking news : apparemment, cette fois-ci, Mark Zuckerberg n’y est pour rien.

La mairie de Sartrouville totalement paralysée par une cyberattaque. Tout comme celle de Houilles.
Le maire d’une municipalité récemment attaquée faisait référence à la perte irréversible de certaines données d’état civil ainsi qu’à l’augmentation significative des budgets SI et cyber de sa commune. On se plaint dans les hôpitaux, mais quand on voit l’état SI de certaines mairies ou collectivités, c’est Beyrouth.

Les données de santé de 4 millions d’Américains volées, à la suite d’une cyberattaque contre MOVEit et IBM, qui gère une partie de son infrastructure. Mais, malgré cela, on trouve encore des consultants pochettes-surprises sur les réseaux professionnels qui viennent vous expliquer à tour de posts/tweets que, hors l’externalisation, point de salut. À ce sujet, je vous renvoie, une fois de plus, à ce précédent article[1] de DSIH où je liste une bonne partie des mesures à prendre pour sécuriser les accès fournisseurs.

À découvrirEn direct de l’APSSIS - Cyberattaque : le retour d’expérience et les conseils du GHT de Dordogne

Autre news presque drôle : l’État veut renforcer la transparence et le contrôle de ses services en matière de prestations informatiques externalisées, notamment par des entreprises de services du numérique (ESN). Il s’agit notamment de maintenir un niveau de compétences adéquat en interne pour réduire les risques liés à l’externalisation. Alors là, pincez-moi : on nous bassine depuis des décennies, en dehors de toute étude indépendante et de toute évaluation propre, en affirmant que l’externalisation est le seul remède (voire même que les informaticiens de la fonction publique sont forcément nuls, ce qui justifie le recours massif à l’externalisation – authentique, je l’ai déjà entendu) et là, enfin, l’État se rend compte des légers petits inconvénients du système. On a mal, une seconde fois, pour les consultants pochettes-surprises du dessus : va bientôt falloir qu’ils se recyclent. Commentaire lu sur LinkedIn : va falloir augmenter les salaires des experts cyber en interne, le delta est important. Commentaire du commentaire : oui, et alors ?

Sinon, votre serviteur a mis à profit les journées de farniente pour écluser certains podcasts, notamment des REX sur des attaques cyber. Je vais encore me faire plein de potes, mais entre filer des sommes importantes pour le triptyque à la mode EDR/SIEM/SOC et sécuriser ses accès en MFA (pour les agents) en déroulant les préconisations de l’article précédemment cité sur les accès fournisseurs, je persiste à choisir la seconde option (qui, soit dit en passant, peut se faire la plupart du temps à coûts très faibles).

Cadeau bonus de la rentrée, cet excellent schéma glané sur Internet qui décrit le niveau de maturité de l’authentification : https://danielmiessler.com/p/casmm-consumer-authentication-security-maturity-model/
Il y a clairement une réflexion de fond à mener sur les niveaux cibles, ce qui risque, en gros, de donner ceci :
– en interne, pour les agents, niveau 3 au minimum ;


[1] /article/5196/la-cyber-confrontee-a-la-question-des-acces-fournisseurs.html 


L'auteur 

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.

Avez-vous apprécié ce contenu ?

A lire également.

Illustration L’IA générative en santé : un outil prometteur, à utiliser de manière responsable

L’IA générative en santé : un outil prometteur, à utiliser de manière responsable

30 oct. 2025 - 11:15,

Communiqué

- HAS

Face à l’expansion rapide des systèmes d’intelligence artificielle (IA) générative – tels que Mistral AI, CoPilot ou ChatGPT – la HAS publie ses premières clés pour un usage responsable de ces technologies dans les secteurs sanitaire, social et médico-social. Ce guide concis et pédagogique, destiné ...

Illustration Les cyber-tuiles ont toutes été posées par cyber-temps sec

Les cyber-tuiles ont toutes été posées par cyber-temps sec

27 oct. 2025 - 22:19,

Tribune

-
Cédric Cartau

Chaque semaine, je me demande bien ce que je vais pouvoir raconter dans le billet de la semaine suivante… et il me suffit de jeter un œil sur l’actualité pour tomber sur des sujets en veux-tu en voilà qu’il est d’autant plus facile de relier à la cyber que les analogies sautent aux yeux comme une am...

Illustration Conformité au Programme CaRE D2

Conformité au Programme CaRE D2

27 oct. 2025 - 17:00,

Communiqué

- Gplexpert

Le Programme CaRE, lancé en 2023, constitue une initiative majeure du Ministère de la Santé pour renforcer la cybersécurité et la résilience des établissements de santé. Dans ce cadre, le Domaine 2 (D2), consacré à la continuité et à la reprise d’activité, impose aux établissements de santé de nouve...

Illustration Horizon Santé 360 : des promesses concrètes de l’innovation en santé

Horizon Santé 360 : des promesses concrètes de l’innovation en santé

27 oct. 2025 - 11:04,

Actualité

- Pauline Nicolas, DSIH

Après une matinée centrée sur la souveraineté et les perspectives stratégiques du groupe La Poste Santé & Autonomie et de ses expertises, l’après-midi d’Horizon Santé 360 a laissé place à la mise en pratique avec ateliers riches et inspirants où l’innovation a pu se déployer tout autant qu’être soum...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.