Ma lettre au Père Noël 2024

Côté incidents cyber, la routine, un crypto par-ci, une rançon par-là. Bon, tout de même, la nouveauté, c’est que les RSSI et DSI de ces établissements ont réagi rapidement et que rien ou presque n’a été pété – si l’on excepte tout de même les coupures totales ou partielles du SI pendant des semaines. Mais voyons plutôt le côté positif des choses : pour ce que l’on en sait, aucun patient décédé, aucun dirigeant devant un juge, le reste est gérable.

Bon, comme tous les ans le congrès de l’Apssis 2024 a frisé la perfection, c’est devenu une habitude. Parfait mélange entre conférences thématiques, sujets de fond, actualité, plénière. L’âge de raison, quoi. What else ?

Ah oui ! Cette année, grosse nouveauté – enfin je ne sais pas vraiment si c’est une nouveauté, tu jugeras toi-même : la crétinerie intersidérale de certains acteurs de l’écosystème informatique/cyber/santé (l’un des trois ou les trois, au choix) qui n’ont pas l’air d’avoir saisi le monde dans lequel on vit. C’est ainsi que l’on voit, chez certains, des phrases, des mails, des écrits, des tentatives de réponse ou de justification concernant leur incurie crasse qui laissent rêveur. L’un de mes confrères, mi-hilare, mi-désolé, m’a envoyé cette réponse lunaire de l’un de ses fournisseurs (copié-collé exact, références anonymes bien entendu, mais c’est du 100 % réel), reste bien assis sur ton traîneau :

« Le cahier des charges ne spécifiait pas de ne pas écrire les clés d’API dans le code source de l’application. Il n’était pas non plus détaillé d’utiliser de requêtes préparées pour se prémunir des injections SQL. Pour conclure, notre société n’étant pas soumise à NIS 2, nous n’avons pas l’obligation de tester la sécurité de nos développements si cela n’est pas spécifié dans le cahier des charges. Nous restons disponibles pour réaliser un chiffrage du coût de ces mesures lors des prochains développements que nous réaliserons au profit de votre société. »

Sinon Père Noël, t’es choubidou, côté réglementaire tu nous as amené – enfin – la 27001/27002 version 2022 et surtout l’évolution de l’HDS pour être conformes à cette nouvelle version de la 27001. Gros poutous. On est quand même dans les starting-blocks concernant NIS 2 (histoire notamment de clouer le bec au crétin intersidéral à l’origine du mail ci-dessus), mais il semble que dans l’immédiat il y ait des échanges plus qu’intenses entre l’Anssi et le Sénat.

Côté protection des données, c’est la fête au village. La plus grosse chienlit putative reste sans aucun doute l’IA et ChatGPT (ou ses avatars), mais 2024 aura été l’année des EDS (entrepôts de données de santé) : autorisations à foison et surtout détournements assez fréquents, on a l’impression de revivre le sketch dantesque des débuts de l’HDS.

Par contre Père Noël, côté bras dans la cyber, c’est toujours pas le top. Et côté présence féminine non plus. Les recrutements relèvent du parcours du combattant, les élèves qui sortent de primo-formation (même fléchés cyber) en connaissent moins que ma grand-mère sur le volet démarche structurée et conformité, mais bon, ils finiront par apprendre comme nous autres les vieux croûtons de service on a appris en rentrant sur le marché du travail il y a plusieurs décennies.

Gros bisous Père Noël,

Ton RSSI qui t’aime,