Publicité en cours de chargement...

Publicité en cours de chargement...

La cyber et ses ennemis

14 nov. 2023 - 09:41,
Tribune - Cédric Cartau
Récemment, je suis tombé sur un article[1] qui disait, en substance, que les pires ennemis du RSSI étaient les dirigeants : DG, DAF, DRH, etc. Et que, dans le même temps, les RSSI (Ciso dans le monde anglo-saxon) se retrouveraient (toujours selon l’article) de plus en plus en ligne de mire des juges en cas de manquement grave aux bonnes pratiques cyber. Bref, c’est nous (les RSSI) les gentils au milieu de tous ces méchants qui font rien que nous empêcher de cybersécuriser en rond.    

Cet article fait d’ailleurs écho (pour ce qui me concerne) aux nombreuses fois ou j’ai été interviewé par des journalistes de la presse généraliste ou spécialisée, interviews pendant lesquelles on voulait absolument me faire dire que (du point de vue cyber) les pires réfractaires étaient les médecins, les chercheurs, la direction générale, les urgentistes, les enseignants, les juristes, le DIM et j’en passe. Je suis certain que si l’on demande à ChatGPT de nous lister les pires méchants de l’histoire en screenant le Web et les articles du même tonneau, on retrouvera certainement (à force d’encombrer le Web de telles inepties) dans le Top Ten l’un de ceux-là, aux côtés des assureurs, des traders et des cannibales.

La réalité est malheureusement beaucoup plus terre à terre et s’appuie sur les constatations suivantes :

– jusqu’à preuve du contraire, si un individu est parvenu à un poste de direction, c’est qu’il (elle) est tout sauf bête ;

– jusqu’à preuve du contraire, les top managers reçoivent des centaines de sollicitations par jour de personnes d’origine métier multiple venant leur expliquer que l’Armageddon est proche ;

– jusqu’à preuve du contraire, sur un sujet aussi techniquement pointu que la cyber, il faut être hyperpédagogue ;

– et une dernière fois jusqu’à preuve du contraire, la direction générale est seule propriétaire des risques (y compris cyber) de l’entreprise pour autant qu’elle en ait été dûment informée.

À partir de là, on ne trahit aucun secret professionnel en affirmant qu’il faut rencontrer de temps en temps sa direction générale (cela tombe bien, il y a des indicateurs et des textes pour cela), rendre la technique accessible (on ne parle pas de chiffrement homomorphique à une DG), intégrer dans son discours une vision stratégique (et ce n’est pas la partie que les experts techniques maîtrisent le mieux)… et se rappeler qu’au final, même si un manager clique sur toutes les pièces jointes pourries dans sa messagerie alors qu’il a été informé que ce n’était pas une bonne pratique, il en reste le seul comptable au regard des risques.

Et n’en déplaise à certains, les pires ennemis du RSSI ne se trouvent ni au sein des DG (qui ont survécu à deux ans de crise pandémique et les hôpitaux sont toujours debout), ni chez les médecins/urgentistes (heureusement qu’on les a ceux-là, y compris pour la cyber), ni chez les chercheurs (dont les besoins spécifiques doivent être adressés, sinon faut pas venir se plaindre qu’ils contournent). Non, les pires ennemis sont au sein même de certaines DSI, où l’on trouve certainement les pires réfractaires à la cyber, au changement, voire même au respect des règles sanitaires cyber de base. Que je sache, ce n’est pas une DG qui a collé un mot de passe de quatre caractères sur un compte admin de domaine, des règles any to any pour des flux entrants sur le firewall ou des partages en contrôle total sur l’AD.

À lire aussi : En direct de l’APSSIS – Sécurité informatique : le nombre d’attaques en baisse depuis le début de l’année

On connaît les ressorts d’un tel comportement : ils sont multiples mais, entre autres, il y a le « je mets un mot de passe admin pourri mais on est en test, on modifiera avant de passer en prod », qui devient « on est en prod, mince ! on n’a pas pensé à changer le mot de passe admin pourri », pour finir par « on ne peut plus changer le mot de passe admin, y a des adhérences qu’on ne maîtrise pas ». Et là, c’est la faute de la DG peut-être ?

Fin du débat.


[1]   https://www.itforbusiness.fr/dsi-et-rssi-vos-dirigeants-sont-vos-pires-ennemis-68594 


L'auteur 

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Dedalus France : une nouvelle étape dans la trajectoire de transformation

Dedalus France : une nouvelle étape dans la trajectoire de transformation

24 juin 2025 - 07:50,

Actualité

- DSIH

Dedalus France annonce le départ de Frédéric Vaillant, Directeur Général Délégué, au 30 juin 2025, après plus de 25 ans d’engagement. Fondateur de Medasys, acteur central des grandes étapes de structuration de l’entreprise, il a contribué à façonner Dedalus France comme acteur majeur du numérique en...

Illustration Interopérabilité en santé : FHIR on fire

Interopérabilité en santé : FHIR on fire

23 juin 2025 - 21:47,

Actualité

- DSIH, Guilhem De Clerck

HLTH 2025 – Amsterdam, 17 juin 2025 – Sur la scène du congrès HLTH, l’interopérabilité des données de santé s’est imposée comme un enjeu central, illustrant les limites persistantes des systèmes actuels et les espoirs placés dans la norme FHIR (Fast Healthcare Interoperability Resources). Au cœur de...

Illustration « Data Opt-in-imism : pourquoi la confiance est-elle la clé du succès de l’EHDS », une question débattue au HLTH 2025

« Data Opt-in-imism : pourquoi la confiance est-elle la clé du succès de l’EHDS », une question débattue au HLTH 2025

23 juin 2025 - 21:23,

Actualité

- DSIH, Mehdi Lebranchu

Le 18 juin dernier, au Salon HLTH Europe d’Amsterdam, la conférence « Data Opt-in-imism: Why trust is key to the success of EHDS » a réuni des voix institutionnelles du nord de l’Europe autour d’une question déterminante pour l’avenir du partage de données de santé : la confiance. Prévu pour 2029, l...

Illustration HLTH 2025, un Salon sous le signe de l’innovation distribuée

HLTH 2025, un Salon sous le signe de l’innovation distribuée

23 juin 2025 - 21:18,

Actualité

- DSIH, Mehdi Lebranchu

HLTH Europe 2025, qui s’est tenu cette année à Amsterdam, a offert un panorama dense et incarné de l’écosystème européen de la santé numérique. Le Salon a rassemblé géants technologiques, institutions publiques, start-up prometteuses et hôpitaux à la recherche de nouveaux modèles de collaboration. U...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.