Publicité en cours de chargement...

Publicité en cours de chargement...

La question de la mémoire cyber ou l’habitude de faire bouillir le lait

17 oct. 2023 - 10:06,
Tribune - Cédric Cartau
Lors de mon enfance, quand j’allais chez mes grands-parents le mercredi, au petit déjeuner, j’avais droit à toutes les saveurs de confiture maison, pain au beurre et jus d’orange. Avec un bol de chocolat chaud, pour lequel ma grand-mère faisait systématiquement bouillir le lait. Pas du lait de ferme sorti 10 minutes plus tôt de l’étable, je précise, non, non : du lait stérilisé UHT en brique bleue achetée au supermarché. Faire bouillir ce genre de lait ne sert strictement à rien (sauf à se brûler régulièrement la langue), c’est juste une habitude héritée de mon arrière-grand-mère (au temps où les briques UHT n’existaient pas et où il fallait pasteuriser le lait soi-même), qui a d’ailleurs été reprise par presque toutes mes tantes – on parle donc d’un geste qui a perduré pendant au moins trois générations.

Il est une question qui revient régulièrement dans les discussions entre RSSI et avec les décideurs : certes, on comprend qu’il est difficile de sensibiliser à un risque avant qu’il survienne (le risque cyber est à ce sujet logé à la même enseigne que les pandémies, les carrefours accidentogènes et les agressions militaires majeures), mais comment garder la mémoire du risque ? Comment faire en sorte que les « bonnes habitudes » prises après sa résolution (pour autant que les organisations n’y aient pas succombé) ne finissent par se déliter ?

Comment faire en sorte, et la question est plus large, qu’après le départ d’un RSSI les « bonnes habitudes » cyber qui ont été prises du temps de son poste lui survivent ? Et que les budgets, décidés par une direction générale après la crise cyber, ne se trouvent pas escamotés par d’autres considérations, d’autres objectifs, d’autres priorités une fois que la direction générale aura changé (tous les quatre à six ans en moyenne selon les établissements) ? Dit encore autrement, comment sortir du biais du halo (le chef charismatique et prophétique qui sait tout) et de la personne-dépendance (seul celui qui a écrit le code d’un logiciel sait le maintenir) ?

À découvrirCybersécurité : une « task force » pour préparer l’après-2023

À cette question vaste, la première réponse consiste à faire confiance à la continuité des postes : le RSSI sera remplacé, et il y aura une période de transition avec son successeur (je rappelle que c’est ce à quoi sert un préavis de départ). Un directeur général change, mais son adjoint assure la continuité. De plus, le président de CME (lui-même secondé) aura lui aussi la mémoire de la crise cyber, et il est peu probable que les deux (DG et président de CME) changent exactement le même jour. On est donc en face d’une double continuité (on dira ce qu’on voudra de la prétendue « lourdeur » de la gouvernance hospitalière, personnellement, je la trouve plutôt efficace), sans parler des autres représentants et du conseil de surveillance. Vous conviendrez que l’hypothèse selon laquelle la totalité du directoire et du conseil de surveillance passe le même jour à la flashouilleuse façon Men in Black est assez peu probable.

Cela étant, même sans renouvellement des postes, les mémoires s’effacent rapidement (on parle de six mois pour un « petit » incident cyber). La continuité des personnes et des fonctions ne peut donc pas être une réponse générique. Il est plus efficace, si l’on veut travailler pour la postérité proche ou lointaine, de s’en remettre à deux concepts qui ont fait largement leurs preuves. Le premier est de nommer les choses : les noms des objets et des lieux sont remarquablement pérennes dans le temps, et les historiens utilisent cette donnée pour remonter des événements historiques tels des mouvements de population. Il suffit pour s’en convaincre de regarder le plan d’une ville : dans les quartiers anciens, les noms des rues correspondent à des lieux remarquables du temps passé (lavoir, écurie, etc.) ou à des dates précises (bataille, massacre, etc.) souvent très reculées. Nommer un actif (« Kit 21 » pour rappeler la dernière attaque cyber du 21/9, par exemple) a plus de chance de marquer durablement les esprits, ce qui peut faire l’objet d’une étude marketing (un excellent sujet de stage ou d’alternance au demeurant).

Le second concept, certainement le plus efficace, est que tout RSSI (ou tout qualiticien) doit plus focaliser son énergie sur la mise en place de processus que sur l’état des assets (actifs) contenus dans son périmètre. Les processus survivent aux personnes. Pour preuve, toutes les religions ou presque préconisent des habitudes ou des interdits alimentaires qui perdurent depuis des siècles, voire plus. Les commissaires aux comptes ne sont pas tant là pour contrôler les flux financiers (c’est ce qu’ils font au départ) que pour amener l’entreprise à mettre en place ses propres processus internes de contrôle/conformité, les CAC se positionnant ensuite au second plan en vérifiant le fonctionnement de ces processus.

Un RSSI qui assurerait lui-même la quasi-totalité de la cyber pour le compte de son établissement exposerait ce dernier à une amnésie rapide après son départ, sans même parler de la perte de la mémoire des incidents évoquée plus haut. Un RSSI qui se focalise sur la mise en place de processus travaille dans la durée et pour son successeur, le successeur de son successeur ainsi que ceux de son écosystème.

Dit autrement, tout RSSI doit chercher sa brique de lait UHT à pasteuriser quand même. Mon arrière-grand-mère a d’abord dû entendre qu’il fallait faire bouillir le lait (étape sensibilisation/formation), a ensuite appris la façon de le faire (procédure), et le processus a été lancé. C’est pas si compliqué la 27001 quand on y pense ! Lol.


L'auteur 

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.

 

 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Le GHT Hôpitaux de Provence optimise ses flux patients avec la solution M-SESAME de Maincare

Le GHT Hôpitaux de Provence optimise ses flux patients avec la solution M-SESAME de Maincare

24 avril 2025 - 10:06,

Communiqué

- Maincare

Le GHT Hôpitaux de Provence, un des groupements hospitaliers les plus importants de France avec 13 établissements et un bassin de 2 millions d’habitants, a choisi la solution M-SESAME, développée par Atout Majeur Concept, distribuée et intégrée par Maincare, pour répondre à ses besoins en matière de...

Illustration Webinaire – Coordination & Automatisation : La nouvelle gestion du travail des hôpitaux avec l’AP-HP

Webinaire – Coordination & Automatisation : La nouvelle gestion du travail des hôpitaux avec l’AP-HP

14 avril 2025 - 22:20,

Communiqué

Dans un contexte de transformation numérique et d’optimisation des ressources, les établissements de santé doivent relever des défis de plus en plus complexes : multiplication des projets transverses, dispersion des outils, surcharge administrative et difficultés de coordination entre directions mét...

Illustration Optimisation de la chaîne AFRT : un enjeu clé pour les établissements de santé

Optimisation de la chaîne AFRT : un enjeu clé pour les établissements de santé

07 avril 2025 - 11:25,

Tribune

-
Emmanuel BLOT

La maîtrise de la chaîne Admission-Facturation-Recouvrement-Trésorerie (AFRT) est un enjeu stratégique pour les établissements de santé. Un circuit bien structuré garantit une meilleure expérience patient, une facturation fiable et une trésorerie optimisée. Dans ce contexte, le Département d’Informa...

Illustration Hélène Gilardi nommée directrice du groupe hospitalo-universitaire (GHU) AP-HP. Université Paris-Saclay

Hélène Gilardi nommée directrice du groupe hospitalo-universitaire (GHU) AP-HP. Université Paris-Saclay

04 avril 2025 - 11:47,

Communiqué

- AP-HP

Nicolas Revel, directeur général de l’AP-HP, a nommé Hélène Gilardi, directrice du groupe hospitalo-universitaire (GHU) AP-HP. Université Paris-Saclay, à compter du lundi 7 avril prochain. Elle succède à Christophe Kassel, appelé à de nouvelles fonctions.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.