La messagerie est-elle critique ?

L’alerte et les précautions à prendre ont été données par le Fonctionnaire de Sécurité SI du Ministère (FSSI, Philippe LOUDENOT), qui décidément persiste à faire preuve d’une étonnante capacité de coordination dans un domaine où c’est tout sauf simple.

Principe de précaution oblige, un certain nombre d’établissements – dont le CHU de Nantes - a décidé de couper préventivement la messagerie qui reste le vecteur quasi unique de propagation de ce machin. Dans les fait, quasiment aucune perte de données à déplorer sur le territoire national à l’exception de quelques fichiers locaux sur quelques PC. Un certain nombre d’enseignements peuvent néanmoins être tirés de l’alerte.

Tout d’abord, les DSI et les DG qui ont validé la coupure préventive de la messagerie ont démontré la saine gestion du risque : entre les perturbations générées et les précautions indispensables, le curseur est souvent difficile à positionner. Au CHU de Nantes la coupure a tout de même duré plus de 18h, mais malgré la pression compréhensible les décideurs ont laissé les ingénieurs dérouler leurs tests préventifs avant la remise en service. Christian Morel, dans « Les décisions absurdes », précise bien qu’en situation d’urgence la chaîne hiérarchique doit s’effacer derrière les impératifs techniques et j’ai tendance à considérer que la capacité d’une organisation à appliquer ce principe en dit long sur sa maturité face au risque en général.

Ensuite, la décision de couper la messagerie tient en un mot (« Oui ! ») mais sur le plan technique c’est une autre histoire. Couper quoi ? La messagerie entrante ou sortante ? La messagerie utilisateur ou aussi les messageries techniques ? Faut-il couper les flux sécurisés sortant (CPAM, etc.) ? Faut-il également couper la synchronisation avec les smartphones ? En bref, il apparaît nécessaire de procédurer cette action technique que tout le monde pense triviale – et tout le monde se trompe.

Et surtout c’est à la faveur de ce genre de phénomène que la question de la criticité de la messagerie – sur le plan de la disponibilité – se pose. Certes tout le monde pense aux flux avec l’EFS, mais les procédures dégradées existent : fax, téléphone, etc. Par contre, apparaissent à cette occasion des flux mis en place par les utilisateurs eux-mêmes qui, en toute bonne foi, basent certains processus métier critiques sur la messagerie – qui est par nature non sécurisée et en mode « best effort » - à l’insu de la DSI : alerte GTB/GTC, alertes d’équipes en charge de greffes d’organe, gestion de stocks dans les magasins centraux, etc.

En d’autres termes, la messagerie n’est quasiment jamais critique et les rares cas d’usage sensibles sont connus de la DSI. Ce qui est critique, ce sont les détournements qui en sont faits. Bref, à se demander s’il ne faudrait pas couper régulièrement la messagerie sous prétexte de maintenance pour débusquer ces dérives d‘usage…