Bilan 2019

Janvier, au CES de Las Vegas, on apprend – sans trop de surprise – que les fonctions de reconnaissance faciale de la plupart des smartphones se font allègrement berner par des techniques d’entrée de gamme telles des photos ou des animations de visage. Seuls les smartphones haut de gamme s’en sortent correctement ; on n’en a jamais que pour son argent. Et sortie de Ryuk, un malware très vilain qui permet de pratiquer la silent attack, comprendre une attaque ciblée qui reste furtive jusqu’au moment où le hacker envoie sa charge destructrice.

Janvier encore : Google bat le record du monde de la prune, avec 50 millions d’euros infligés par la Cnil.

Février : l’Icann lance une alerte sur un risque significatif et permanent d’attaque contre les DNS.

Mars, le journal 01net titre sur « Sept Femmes qui ont façonné l’Histoire numérique », un numéro collector, respect.

Avril, évidemment le Congrès de l’Apssis au Mans – what else ? Un excellent cru comme d’habitude, et une piste intéressante pour sortir de l’âge de l’esbroufe en matière de SSI : obliger les entreprises à assurer le risque cyber. Bon, après, quand on voit la maturité des offres – votre serviteur a testé, on a tenté de lui fourguer une assurance cyber comme on vend un cageot de tomates –, c’est pas gagné.

Mai, en pleines manifs de Gilets jaunes, controverses sur l’application Si-Vic qui aurait permis de pister les manifestants. Au final, un gros plouf.

Juin : Marguerite Brac de la Perrière et moi-même ferraillons par articles interposés sur la responsabilité juridique de l’IA. Ne pas prendre le sujet à la légère, ce sera notre boulot dans dix ans.

Juillet : Google vient de décrocher la certification HDS pour 25 de ses datacenters, dont aucun n’est en France. Tout va bien, le programme de vente de la nation à la découpe se poursuit comme prévu.

Août : rien, on était tous à la plage.

Septembre : la rentrée a des allures de gueule de bois au mojito, entre la prune record infligée par la Cnil des Pays-Bas à un hôpital, et l’attaque du groupe de cliniques Ramsay.

Octobre : j’explique à mes honorables lecteurs pourquoi c’est toujours la faute du réseau.

Novembre : on revient sur le plus gros projet de convergence SI/DPI en France, en l’occurrence le projet de l’AP-HP. Un cas d’école, qui fait notamment réfléchir sur les délais posés par la loi de santé 2016.

Décembre : attaque du CHU de Rouen, on a enfin des informations par la bande après un verrouillage de la communication. On sait ce qui nous reste à faire après la prochaine crise de foie, on aura un peu de boulot à la rentrée.

Souriez, 2020 est une année bissextile, vous allez pouvoir travailler un jour de plus cadeau.

En 2019, le monde de la santé a connu quatre attaques SI majeures, du jamais vu auparavant. Les RSSI des CHU et des GHT auront pour défi de boucher une bonne partie des trous dans la passoire, et compte tenu de la pression qui pèse sur les DSI pour délivrer du projet fonctionnel, ce n’est pas gagné du tout. La meilleure ligne de conduite est, et restera toujours, le « back to basic », chère au précédent directeur de l’Anssi : avant d’aller s’inquiéter des défauts de conception de l’AD que seul un hacker chevronné peut exploiter, changer le mot de passe par défaut du compte admin de domaine est la priorité.