La question de la mémoire cyber ou l’habitude de faire bouillir le lait

Il est une question qui revient régulièrement dans les discussions entre RSSI et avec les décideurs : certes, on comprend qu’il est difficile de sensibiliser à un risque avant qu’il survienne (le risque cyber est à ce sujet logé à la même enseigne que les pandémies, les carrefours accidentogènes et les agressions militaires majeures), mais comment garder la mémoire du risque ? Comment faire en sorte que les « bonnes habitudes » prises après sa résolution (pour autant que les organisations n’y aient pas succombé) ne finissent par se déliter ?

Comment faire en sorte, et la question est plus large, qu’après le départ d’un RSSI les « bonnes habitudes » cyber qui ont été prises du temps de son poste lui survivent ? Et que les budgets, décidés par une direction générale après la crise cyber, ne se trouvent pas escamotés par d’autres considérations, d’autres objectifs, d’autres priorités une fois que la direction générale aura changé (tous les quatre à six ans en moyenne selon les établissements) ? Dit encore autrement, comment sortir du biais du halo (le chef charismatique et prophétique qui sait tout) et de la personne-dépendance (seul celui qui a écrit le code d’un logiciel sait le maintenir) ?

À découvrir → Cybersécurité : une « task force » pour préparer l’après-2023

À cette question vaste, la première réponse consiste à faire confiance à la continuité des postes : le RSSI sera remplacé, et il y aura une période de transition avec son successeur (je rappelle que c’est ce à quoi sert un préavis de départ). Un directeur général change, mais son adjoint assure la continuité. De plus, le président de CME (lui-même secondé) aura lui aussi la mémoire de la crise cyber, et il est peu probable que les deux (DG et président de CME) changent exactement le même jour. On est donc en face d’une double continuité (on dira ce qu’on voudra de la prétendue « lourdeur » de la gouvernance hospitalière, personnellement, je la trouve plutôt efficace), sans parler des autres représentants et du conseil de surveillance. Vous conviendrez que l’hypothèse selon laquelle la totalité du directoire et du conseil de surveillance passe le même jour à la flashouilleuse façon Men in Black est assez peu probable.

Cela étant, même sans renouvellement des postes, les mémoires s’effacent rapidement (on parle de six mois pour un « petit » incident cyber). La continuité des personnes et des fonctions ne peut donc pas être une réponse générique. Il est plus efficace, si l’on veut travailler pour la postérité proche ou lointaine, de s’en remettre à deux concepts qui ont fait largement leurs preuves. Le premier est de nommer les choses : les noms des objets et des lieux sont remarquablement pérennes dans le temps, et les historiens utilisent cette donnée pour remonter des événements historiques tels des mouvements de population. Il suffit pour s’en convaincre de regarder le plan d’une ville : dans les quartiers anciens, les noms des rues correspondent à des lieux remarquables du temps passé (lavoir, écurie, etc.) ou à des dates précises (bataille, massacre, etc.) souvent très reculées. Nommer un actif (« Kit 21 » pour rappeler la dernière attaque cyber du 21/9, par exemple) a plus de chance de marquer durablement les esprits, ce qui peut faire l’objet d’une étude marketing (un excellent sujet de stage ou d’alternance au demeurant).

Le second concept, certainement le plus efficace, est que tout RSSI (ou tout qualiticien) doit plus focaliser son énergie sur la mise en place de processus que sur l’état des assets (actifs) contenus dans son périmètre. Les processus survivent aux personnes. Pour preuve, toutes les religions ou presque préconisent des habitudes ou des interdits alimentaires qui perdurent depuis des siècles, voire plus. Les commissaires aux comptes ne sont pas tant là pour contrôler les flux financiers (c’est ce qu’ils font au départ) que pour amener l’entreprise à mettre en place ses propres processus internes de contrôle/conformité, les CAC se positionnant ensuite au second plan en vérifiant le fonctionnement de ces processus.

Un RSSI qui assurerait lui-même la quasi-totalité de la cyber pour le compte de son établissement exposerait ce dernier à une amnésie rapide après son départ, sans même parler de la perte de la mémoire des incidents évoquée plus haut. Un RSSI qui se focalise sur la mise en place de processus travaille dans la durée et pour son successeur, le successeur de son successeur ainsi que ceux de son écosystème.

Dit autrement, tout RSSI doit chercher sa brique de lait UHT à pasteuriser quand même. Mon arrière-grand-mère a d’abord dû entendre qu’il fallait faire bouillir le lait (étape sensibilisation/formation), a ensuite appris la façon de le faire (procédure), et le processus a été lancé. C’est pas si compliqué la 27001 quand on y pense ! Lol.

L'auteur 

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.