Actualité cyber : JO or not JO

Sortie du nouveau référentiel HDS – que l’on n’attendait plus à force de l’attendre, mais bon, y a eu le Covid qui a un peu tout retardé. En gros, c’est plus aligné sur la 27001, les discussions métaphysiques autour de l’activité 5 évoluent dans le bon sens, mais il reste tout de même la question de la souveraineté à régler. Le référentiel mentionne en effet un hébergement sur le territoire européen, sans exclure les acteurs US. Le député Philippe Latombe fait ainsi remarquer : « Joe Biden a pris un executive order qui explique que les données sensibles des Américains ne doivent pas être détenues par des hébergeurs non américains, en citant explicitement les données de santé. La technologie actuelle fait que l’anonymisation ne peut plus être assurée, et les données doivent être hébergées chez des Américains. Pourquoi ne pas faire la même chose ? » 

*** BREAKING NEWS ***
En 1973, le psychologue David Rosenhan a mené une expérience[1] consistant à envoyer dans des services de psychiatrie des personnes tout à fait saines d’esprit pour tester les capacités du corps médical à identifier la supercherie – et donc la véracité des diagnostics. Résultat : zéro pointé sur toute la ligne, aucune d’entre elles n’a été détectée.
La question qui nous brûle à tous les lèvres : si on envoyait dans des DSI des personnes sans aucune qualification mais prétendant le contraire, on mettrait combien de temps à s’en apercevoir ?

Sinon, les CHU se préparent aux cyberattaques, et le rôle des GHT intervient forcément, en particulier celui de l’établissement support. Autant de situations différentes que de GHT, mais il y a tout de même un point qui semble absent des débats. Si un établissement support aura en effet (dans certains cas) les moyens d’aller aider un plus petit établissement du GHT qui subirait une attaque cyber, à la fois sur le plan informatique et sur le plan sanitaire, l’inverse est-il vrai ? Si un gros établissement support subissait une attaque, l’ensemble des autres établissements auraient-ils les moyens de lui venir en aide, et les patients pourraient-ils tous être déroutés vers ces « petits » établissements (qui dans certains cas sont d’ailleurs très gros) ?

*** JINGLE PUB ***
Il paraît que les couples de manchots, pour entretenir la flamme, s’offrent de petits cailloux soigneusement choisis[2] – authentique. Vous pensez que je peux offrir une CVE bien rutilante à ma chérie ?
*** FIN DU JINGLE PUB ***

NIS 2 : la Commission supérieure du numérique et des Postes émet ses recommandations alors que l’examen de la directive doit bientôt avoir lieu au Sénat[3]. Ce qui est intéressant dans l’article, c’est l’estimation financière : entre 100 000 et 200 000 euros par entité, et encore ce montant ne représente que le Capex. À l’époque de NIS 1, une estimation avait été réalisée au sein de certains CHU et aboutissait à peu près à la même somme. Cohérent donc.

Crise cyber et JO : dans le prolongement de mon article de la semaine dernière sur ce qu’est ou n’est pas une crise cyber[4], pour ce qui concerne le cas particulier des JO et si l’on fait une projection à partir du niveau d’attaque cyber des JO de Tokyo, ça va être l’Armageddon. D’ailleurs, votre serviteur a observé une activité anormalement haute d’attaques par mail sur tout le mois de mai (en général moins longue à ce niveau). Un conseil : tenez à jour vos annuaires Tchap internes pour vous joindre les uns les autres, quand plus rien ne fonctionnera vous serez content de pouvoir vous appeler et vous écrire de cette façon. À titre personnel, je double le mien avec Signal au cas où. Et je vous conseille d’annoncer à vos utilisateurs et à votre top management que dans un cas pas forcément improbable il sera nécessaire de couper la totalité d’Internet (mails inclus) pendant tous les JO. Si, si.

 *** JINGLE PUB ***
Il paraît que l’IA va multiplier notre productivité par trois.
Ça va nous faire une belle jambe, on nous en demandera trois fois plus pour le même prix et le même temps de travail.
*** FIN DU JINGLE PUB ***

C’est étrange, j’ai l’impression d’être devant la boîte du chat de Schrödinger : tant que l’on n’a pas ouvert la boîte, on ne sait pas s’il est mort ou vivant et deux univers alternatifs sont au bout de l’ouverture de la boîte. Il existe un univers où les JO vont être une tuerie cyber, et un autre où il ne se passera rien, nada, comme il ne s’est rien passé pour le passage à l’an 2000. Je le sais, j’y étais.

Miaou-ment vôtre.

[1] https://www.lepoint.fr/eureka/l-experience-des-faux-patients-schizophrenes-qui-a-secoue-la-psychiatrie-07-06-2024-2562275_4706.php?utm_source=pocket-newtab-fr-fr 

[2] https://www.huffingtonpost.fr/life/article/le-secret-pour-illuminer-sa-vie-de-couple-s-inspirer-des-manchots-et-de-leur-pebbling-clx1_235015.html?utm_source=pocket-newtab-fr-fr 

[3] https://www.banquedesterritoires.fr/nis-2-la-commission-superieure-du-numerique-et-des-postes-emet-ses-recommandations-alors-que-son 

[4] /article/5543/mais-au-fait-c-est-quoi-exactement-une-crise-et-surtout-une-crise-cyber.html

L'auteur

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.