Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

2023, bilan de l’année

28 déc. 2023 - 10:51,
Tribune - Cédric Cartau
2023 se termine et comme chaque année c’est l’heure du bilan. Sans prétention aucune bien entendu.

Janvier
Un pépite : le manuel de sabotage sur le terrain[1] initialement rédigée par les services secrets pendant la Seconde Guerre Mondiale pour faire de la résistance passive dans les pays occupés. Cela fait peur : presque toutes les dispositions recommandées (réunions interminables, comités d’experts sans fin, etc.) sont devenues le quotidien de nos organisations modernes.

Février
Plusieurs alertes, issues de secteurs très différents – en plus de l’hôpital s’entend – révèlent une situation de burn out préoccupante dans les métiers de la cyber. Faire le test ici[2] en cas de doute.

Mars
Attaque cyber du CHU de BREST, et un peu plus tard le CHU de RENNES. Les points d’entrée dans le SI en authentification simple doivent disparaître, et la supply chain doit être sécurisée. Absolument. Et on rencontre couramment des fournisseurs qui vous expliquent qu’il leur faut un accès 24-365 sans restriction sinon ils ne maintiennent plus les systèmes. Affligeant.

Avril
C’est au tour des GAFAM, qui s’assoient depuis des lustres sur les droits d’à peu près tout le monde, de jouer les pleureuses en réclamant un moratoire sur l’IA et ChatGPT. Bon ça c’était avant que Micromou fasse main basse sur ChatGPT et Google d’annoncer un modèle encore plus performant. Business as usual.

Mai
Petite réflexion sur le management cyber et la nécessité du Check. Votre serviteur faisait remarquer que le point commun entre ORPEA, la fraude sociale et le niveau déplorable de l’éducation nationale était l’absence de check (avant le test PISA on était persuadés d’être bons !). Sans Check tous ce que l’on se raconte sur le niveau de protection d’un SI a autant de valeur qu’une prière au Dieu de la pluie pour gagner au loto.

Juin
Le congrès de l’APSSIS, what else ?

Juillet et août
Aucune idée je n’étais plus là.

Septembre
Une rentrée tout en nuances.
Le Royaume-Uni victime d’une des plus grosses cyber attaque de son histoire, des millions de données électorales de millions d’électeurs dérobées. Breaking news : apparemment cette fois-ci Mark Zuckerberg n’y est pour rien. La mairie de Sartrouville totalement paralysée par une cyber attaque. Tout comme celle de Houilles.

Article connexeDernières considérations cyber avant la plage

Un maire faisait référence à la perte irréversible de certaines données d’état-civil, et à l’augmentation significative des budgets SI et cyber de sa commune. On se plaint dans les hôpitaux, mais quand on voit l’état SI de certaines mairies ou collectivité c’est Beyrouth. Les données de santé de 4 millions d’américains volées, après une cyber attaque contre MOVEit et IBM qui gère une partie de son infrastructure. Mais après cela on trouve encore des consultants pochette-surprise sur les réseaux professionnels qui viennent vous expliquer à tour de post / tweet qu’hors l’externalisation point de salut.

Octobre
Au train où vont les choses, si t’as pas subi ta bonne petite attaque à base d’IA avant 50 ans, t’a raté ta vie petit RSSI.
Ah j’oubliais : votre serviteur vous alertait sur le cauchemar des données génétiques concernant les politiques d’accès aux données médicales. Entre l’IA et ça mon coeur balance.

Novembre
C’était chaud bouillant. Entre Dave qui se fait vider ses comptes et subtiliser ses cartes bancaires par une entourloupe toute en finesse, la dernière arnaque en vogue qui consiste à menacer de mort par courrier papier (!) si pas de versement de rançon (en BTC évidemment) et le fait qu’avec l’IA les photographes de mariage seraient capables d’estimer la durée du couple, le torticolis me guette.

Décembre
Presque soft par rapport au reste de l’année. La CAF qui effectue des contrôles en s’aidant d’un système d’aide à la décision et OLVID qui débarque au gouvernement – et déclenche aussitôt une polémique.

Bon réveillon à tous, à l’année prochaine.


[1] https://fr.wikipedia.org/wiki/Manuel_de_sabotage_simple_sur_le_terrain 

[2] https://www.centreduburnout.org/test-burn-out/ 


L'auteur

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Horizon Santé 360 : Innovons ensemble pour notre souveraineté en santé

Horizon Santé 360 : Innovons ensemble pour notre souveraineté en santé

02 oct. 2025 - 10:31,

Communiqué

- La Poste Santé & Autonomie

Rendez-vous le 9 octobre 2025 à Paris pour la 3ᵉ édition d’Horizon Santé 360, l'événement annuel de La Poste Santé & Autonomie.

Illustration Le Data Act : une nouvelle ère pour la gouvernance des données de santé

Le Data Act : une nouvelle ère pour la gouvernance des données de santé

30 sept. 2025 - 07:15,

Tribune

-
Marguerite Brac de La Perrière

Le 12 septembre 2025 a marqué une étape décisive dans la stratégie européenne de la donnée avec l’entrée en application du Data Act (Règlement UE 2023/2854). Ce texte, pilier du marché unique de la donnée, vise à encadrer l’accès, le partage et la portabilité des données générées par les produits ...

Illustration « Intelligence artificielle au service de la santé » : quelle stratégie nationale règlementaire ?

« Intelligence artificielle au service de la santé » : quelle stratégie nationale règlementaire ?

29 sept. 2025 - 20:33,

Tribune

-
Alexandre FIEVEÉ &
Alice ROBERT

Partant du constat que l’IA est un « levier de transformation majeur » pour le système de santé français et qu’il est nécessaire d’organiser son développement en tenant compte de paramètres clés tels que la confiance et la clarté du paysage règlementaire et éthique, une stratégie interministérielle ...

Illustration Domaine 2 du programme CaRE : une matinée pour se faire accompagner

Domaine 2 du programme CaRE : une matinée pour se faire accompagner

29 sept. 2025 - 11:30,

Actualité

- Valentine Bellanger, DSIH

Dans le cadre de son Tour de France, Orange Cyberdefense propose des matinales de rencontres et d’échanges autour d’une thématique très attendue : le Domaine 2 du programme CaRE (1). L’objectif : maîtriser les prérequis du programme CaRE et se faire accompagner pour bénéficier des soutiens financier...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.