Bilan Cyber de l’année 2025

Janvier
Votre serviteur vous explique avec luxe détails pourquoi le RSSI ne doit SURTOUT PAS avoir de budget. Eh oui ! si vous avez un budget, ce qui n’aura pas été fait sera de votre faute : vous avez validé par défaut que ledit budget était suffisant pour faire de la cyber, en plus, les priorités sont pour votre pomme. Fou ce que c’est pratique de rester en audit, conseil et alerte.

Février
NIS et 27001 ne disparaîtront jamais, c’est le sens de l’Histoire.
La question qui nous brûle tous les lèvres : Lequel va avaler l’autre ?
J’ai un pronostic, qui commence par ISO et se termine par 27001.

Mars
Les banquiers en ont certainement assez de devoir systématiquement rembourser les clients qui se font vider leurs comptes à la suite d’arnaques telles que le faux conseiller bancaire. Les MFA et les doubles vérifications de création de RIB bidon ne suffisent manifestement pas à évacuer leurs responsabilités ; qu’à cela ne tienne, maintenant les CGU et autres sensibilisations finissent le travail. À force de faire porter la sécurité sur des mesures techniques, le dernier maillon faible de la chaîne (le cerveau) est en train de devenir la principale cible des malfaisants.

Avril
Publication par la Cnil du projet de recommandation sur la sécurisation des DPI. On l’attendait tous, il est là, même s’il soulève pas mal de questions, comme la distinction entre les traces techniques et fonctionnelles.

Mai
Méga-panne électrique dans la péninsule ibérique. Comme quoi, en dessous des applis, il y a l’OS, mais en dessous de l’OS, il y a la prise électrique. Note pour moi-même : ne jamais se fâcher avec l’électricien.

Juin
Un arrêt totalement lunaire de la Cour de cassation affirme que les mails professionnels au sein d’un SI constituent des données à caractère personnel dont la collecte ne peut se faire sans l’accord de l’agent concerné. Gloups !
Ah oui ! Congrès de l’Apssis 2025, tip top comme d’habitude.

Juillet
Il a fait un temps super à la plage.

Août
Même météo.

Septembre
Réflexions de fond sur l’attaque de la cyber par l’angle de la root cause : corriger le bug, c’est juste regonfler un pneu à plat, ce n’est pas rechercher le clou planté dans la gomme du pneu.
Une certification 27001 revient à systématiquement chercher en plus la root cause managériale dans un dysfonctionnement cyber.

Octobre
En cette fin d’année on a vu des incidents assez drôles : la Samaritaine qui met des caméras dans les zones de stockage pour pister les vols internes sans se préoccuper d’une quelconque conformité réglementaire.
Et cette direction d’école qui refuse qu’un parent d’élève mette un AirTag dans le sac à dos de son gamin – et qui se fait retoquer par la Cnil à plusieurs reprises.

Novembre
Suite au cambriolage du Louvre le 19 octobre, les auditions des responsables actuels ou passés laissent apparaître un management défaillant et persistant des différents audits de sécurité physique qui avaient pointé les failles du musée. Ce cambriolage est un cas d’école de manquements élémentaires à ce que les systèmes de management cherchent à éradiquer : pas de culture de processus, pas de propriétaire officiel des risques, pas de culture de l’audit et du suivi, etc.

Décembre
Le présent billet.

J’adore la récursivité :-)