Publicité en cours de chargement...
Cet article fait d’ailleurs écho (pour ce qui me concerne) aux nombreuses fois ou j’ai été interviewé par des journalistes de la presse généraliste ou spécialisée, interviews pendant lesquelles on voulait absolument me faire dire que (du point de vue cyber) les pires réfractaires étaient les médecins, les chercheurs, la direction générale, les urgentistes, les enseignants, les juristes, le DIM et j’en passe. Je suis certain que si l’on demande à ChatGPT de nous lister les pires méchants de l’histoire en screenant le Web et les articles du même tonneau, on retrouvera certainement (à force d’encombrer le Web de telles inepties) dans le Top Ten l’un de ceux-là, aux côtés des assureurs, des traders et des cannibales.
La réalité est malheureusement beaucoup plus terre à terre et s’appuie sur les constatations suivantes :
– jusqu’à preuve du contraire, si un individu est parvenu à un poste de direction, c’est qu’il (elle) est tout sauf bête ;
– jusqu’à preuve du contraire, les top managers reçoivent des centaines de sollicitations par jour de personnes d’origine métier multiple venant leur expliquer que l’Armageddon est proche ;
– jusqu’à preuve du contraire, sur un sujet aussi techniquement pointu que la cyber, il faut être hyperpédagogue ;
– et une dernière fois jusqu’à preuve du contraire, la direction générale est seule propriétaire des risques (y compris cyber) de l’entreprise pour autant qu’elle en ait été dûment informée.
À partir de là, on ne trahit aucun secret professionnel en affirmant qu’il faut rencontrer de temps en temps sa direction générale (cela tombe bien, il y a des indicateurs et des textes pour cela), rendre la technique accessible (on ne parle pas de chiffrement homomorphique à une DG), intégrer dans son discours une vision stratégique (et ce n’est pas la partie que les experts techniques maîtrisent le mieux)… et se rappeler qu’au final, même si un manager clique sur toutes les pièces jointes pourries dans sa messagerie alors qu’il a été informé que ce n’était pas une bonne pratique, il en reste le seul comptable au regard des risques.
Et n’en déplaise à certains, les pires ennemis du RSSI ne se trouvent ni au sein des DG (qui ont survécu à deux ans de crise pandémique et les hôpitaux sont toujours debout), ni chez les médecins/urgentistes (heureusement qu’on les a ceux-là, y compris pour la cyber), ni chez les chercheurs (dont les besoins spécifiques doivent être adressés, sinon faut pas venir se plaindre qu’ils contournent). Non, les pires ennemis sont au sein même de certaines DSI, où l’on trouve certainement les pires réfractaires à la cyber, au changement, voire même au respect des règles sanitaires cyber de base. Que je sache, ce n’est pas une DG qui a collé un mot de passe de quatre caractères sur un compte admin de domaine, des règles any to any pour des flux entrants sur le firewall ou des partages en contrôle total sur l’AD.
À lire aussi : En direct de l’APSSIS – Sécurité informatique : le nombre d’attaques en baisse depuis le début de l’année
On connaît les ressorts d’un tel comportement : ils sont multiples mais, entre autres, il y a le « je mets un mot de passe admin pourri mais on est en test, on modifiera avant de passer en prod », qui devient « on est en prod, mince ! on n’a pas pensé à changer le mot de passe admin pourri », pour finir par « on ne peut plus changer le mot de passe admin, y a des adhérences qu’on ne maîtrise pas ». Et là, c’est la faute de la DG peut-être ?
Fin du débat.
[1] https://www.itforbusiness.fr/dsi-et-rssi-vos-dirigeants-sont-vos-pires-ennemis-68594
L'auteur
Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.
Avez-vous apprécié ce contenu ?
A lire également.
PSSI et Care D2, des questions pas si simples
26 août 2025 - 08:49,
Tribune
-Care Domaine 2 exige, entre autres, une PSSI pour le GHT qui candidate. Cela peut paraître simple, mais en fait cette exigence amène des questions et des réponses, surtout plus de questions que de réponses. Pour en avoir discuté avec pas mal de confrères ces derniers temps, force est de constater qu...
La cyber et les sacs de luxe
30 juin 2025 - 20:44,
Tribune
-C’est la fin du premier semestre, il est temps de faire un bilan à mi-course de l’année 2025. Et il s’en est passé, des choses, pas forcément douces et roses.

En direct du congrès APSSIS 2025 –– conférence sur l’histoire des malwares
24 juin 2025 - 18:00,
Tribune
-Temps fort traditionnel, Michel Dubois nous a habitués à des conférences techniques sur des sujets pointus, telle l’histoire du chiffrement. Nous voilà donc embarqués dans l’histoire des malwares, et on part de loin : machine de Turing, théorie de l’informatique de la fin de la Seconde Guerre mondia...

« Data Opt-in-imism : pourquoi la confiance est-elle la clé du succès de l’EHDS », une question débattue au HLTH 2025
23 juin 2025 - 21:23,
Actualité
- DSIH, Mehdi LebranchuLe 18 juin dernier, au Salon HLTH Europe d’Amsterdam, la conférence « Data Opt-in-imism: Why trust is key to the success of EHDS » a réuni des voix institutionnelles du nord de l’Europe autour d’une question déterminante pour l’avenir du partage de données de santé : la confiance. Prévu pour 2029, l...