Publicité en cours de chargement...
La question de la mémoire cyber ou l’habitude de faire bouillir le lait
Il est une question qui revient régulièrement dans les discussions entre RSSI et avec les décideurs : certes, on comprend qu’il est difficile de sensibiliser à un risque avant qu’il survienne (le risque cyber est à ce sujet logé à la même enseigne que les pandémies, les carrefours accidentogènes et les agressions militaires majeures), mais comment garder la mémoire du risque ? Comment faire en sorte que les « bonnes habitudes » prises après sa résolution (pour autant que les organisations n’y aient pas succombé) ne finissent par se déliter ?
Comment faire en sorte, et la question est plus large, qu’après le départ d’un RSSI les « bonnes habitudes » cyber qui ont été prises du temps de son poste lui survivent ? Et que les budgets, décidés par une direction générale après la crise cyber, ne se trouvent pas escamotés par d’autres considérations, d’autres objectifs, d’autres priorités une fois que la direction générale aura changé (tous les quatre à six ans en moyenne selon les établissements) ? Dit encore autrement, comment sortir du biais du halo (le chef charismatique et prophétique qui sait tout) et de la personne-dépendance (seul celui qui a écrit le code d’un logiciel sait le maintenir) ?
À découvrir → Cybersécurité : une « task force » pour préparer l’après-2023
À cette question vaste, la première réponse consiste à faire confiance à la continuité des postes : le RSSI sera remplacé, et il y aura une période de transition avec son successeur (je rappelle que c’est ce à quoi sert un préavis de départ). Un directeur général change, mais son adjoint assure la continuité. De plus, le président de CME (lui-même secondé) aura lui aussi la mémoire de la crise cyber, et il est peu probable que les deux (DG et président de CME) changent exactement le même jour. On est donc en face d’une double continuité (on dira ce qu’on voudra de la prétendue « lourdeur » de la gouvernance hospitalière, personnellement, je la trouve plutôt efficace), sans parler des autres représentants et du conseil de surveillance. Vous conviendrez que l’hypothèse selon laquelle la totalité du directoire et du conseil de surveillance passe le même jour à la flashouilleuse façon Men in Black est assez peu probable.
Cela étant, même sans renouvellement des postes, les mémoires s’effacent rapidement (on parle de six mois pour un « petit » incident cyber). La continuité des personnes et des fonctions ne peut donc pas être une réponse générique. Il est plus efficace, si l’on veut travailler pour la postérité proche ou lointaine, de s’en remettre à deux concepts qui ont fait largement leurs preuves. Le premier est de nommer les choses : les noms des objets et des lieux sont remarquablement pérennes dans le temps, et les historiens utilisent cette donnée pour remonter des événements historiques tels des mouvements de population. Il suffit pour s’en convaincre de regarder le plan d’une ville : dans les quartiers anciens, les noms des rues correspondent à des lieux remarquables du temps passé (lavoir, écurie, etc.) ou à des dates précises (bataille, massacre, etc.) souvent très reculées. Nommer un actif (« Kit 21 » pour rappeler la dernière attaque cyber du 21/9, par exemple) a plus de chance de marquer durablement les esprits, ce qui peut faire l’objet d’une étude marketing (un excellent sujet de stage ou d’alternance au demeurant).
Le second concept, certainement le plus efficace, est que tout RSSI (ou tout qualiticien) doit plus focaliser son énergie sur la mise en place de processus que sur l’état des assets (actifs) contenus dans son périmètre. Les processus survivent aux personnes. Pour preuve, toutes les religions ou presque préconisent des habitudes ou des interdits alimentaires qui perdurent depuis des siècles, voire plus. Les commissaires aux comptes ne sont pas tant là pour contrôler les flux financiers (c’est ce qu’ils font au départ) que pour amener l’entreprise à mettre en place ses propres processus internes de contrôle/conformité, les CAC se positionnant ensuite au second plan en vérifiant le fonctionnement de ces processus.
Un RSSI qui assurerait lui-même la quasi-totalité de la cyber pour le compte de son établissement exposerait ce dernier à une amnésie rapide après son départ, sans même parler de la perte de la mémoire des incidents évoquée plus haut. Un RSSI qui se focalise sur la mise en place de processus travaille dans la durée et pour son successeur, le successeur de son successeur ainsi que ceux de son écosystème.
Dit autrement, tout RSSI doit chercher sa brique de lait UHT à pasteuriser quand même. Mon arrière-grand-mère a d’abord dû entendre qu’il fallait faire bouillir le lait (étape sensibilisation/formation), a ensuite appris la façon de le faire (procédure), et le processus a été lancé. C’est pas si compliqué la 27001 quand on y pense ! Lol.
L'auteur
Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.
Avez-vous apprécié ce contenu ?
A lire également.

Vu à SantExpo 2025 : le CHU d’Amiens obtient l’accord officiel des archives départementales pour son Système d’Archivage Electronique avec la solution HYDMedia de Dedalus
26 mai 2025 - 15:41,
Actualité
- Pauline Nicolas, DSIHLors d’une session au sein de l’auditorium Dedalus, Jacques Delamarre, Responsable Parcours Patient au CHU d’Amiens a témoigné de la genèse qui a conduit à l’adoption de la solution SAE HYDMedia de Dedalus dans son établissement et des principaux apports de cette solution. Un SAE doit intégrer un l...

Vu à SantExpo 2025 | Pour une sortie d’hospitalisation coordonnée et sécurisée : la promesse de Careside, la plateforme d'orchestration des parcours de santé
22 mai 2025 - 18:09,
Actualité
- Pauline Nicolas, DSIHPlateforme d’orchestration de services humains et digitaux pour les parcours de santé, Careside démontre sa capacité à répondre à un enjeu crucial pour les établissements de santé : la sécurisation des sorties d’hospitalisation. Autre point fort à relever dans cette agora, Careside s’inscrit dans la...

Les avantages de lier les rétrocessions au Dossier Pharmaceutique
22 mai 2025 - 10:30,
Communiqué
- Computer EngineeringEn développant un lien direct entre son logiciel Rétro et le Dossier Pharmaceutique du patient, l’éditeur Computer Engineering améliore la sécurisation de la dispensation des médicaments rétrocédés. Et les équipes hospitalières gagnent du temps…

Vu à SantExpo 2025 | De l’international à la France : comment la donnée peut réinventer les systèmes d’information de santé – la vision de La Poste Santé & Autonomie et de ses partenaires
21 mai 2025 - 22:50,
Actualité
- Pauline Nicolas, DSIHDédiée à la transformation du système de santé à travers la data et comment la data peut réinventer le système d’information hospitalier, cette nouvelle agora se présente sous la forme d’un panorama en deux langues car tournée vers l’international. Entre exemple catalan et vision française d’un écos...