2020, bilan d’une année

Janvier : même si tout le monde sait que le CHU qui s’est fait poutrer en décembre est celui de Rouen, chut, interdit de le dire, de l’écrire, de l’imaginer. Après coup, l’ensemble des RSSI du secteur auront des critiques assez dures sur la communication produite par les pouvoirs publics, au moins aurions-nous pu prendre des mesures préventives.

Février : on parle d’une grippe bizarre en Chine, mais rien d’inquiétant, aucun risque qu’elle ne se propage chez nous, et puis la France est toujours prête. Votre serviteur disserte sur les critères de choix d’un progiciel métier, histoire de rendre à César (la MOA) ce qui n’appartient pas à Brutus (la DSI).

Mars : pendant que votre serviteur détaille en long et en large des techniques et outils d’anonymisation, le Covid arrive, avec le confinement et la pénurie de gel hydroalcoolique. Les masques ne sont pas utiles, pas d’inquiétude. Les DSI se préparent à un passage massif en télétravail, le cours du PC portable à la Fnac explose, et tout le monde découvre Zoom.

Avril : on est en plein confinement et des malfaisants de la dernière espèce en profitent pour attaquer les hôpitaux à coups de malwares et de phishing. On l’a un peu oublié, mais Google se prend une belle panne Wifi [1] dans la figure, un modèle du genre dans la catégorie des emmerdements qui volent – toujours – en escadrille.

Mai : la France est en plein débat sur SI-DEP et surtout StopCovid. Les analyses des experts descendent en flammes la sécurité globale du second, même si les pouvoirs publics affirment à qui mieux mieux que tout est rose au pays de Choupi. Au final, la version finira par être retirée des stores, et une seconde version fera son apparition quelques mois plus tard.

Juin : encore un débat, celui de la pertinence du Health Data Hub, hébergé chez Micromou. Rien de nature, semble-t-il, à émouvoir les pilotes du projet que de refiler le patrimoine national à Bill et à Donald, mais d’autres instances ne le voient pas de cet œil.

Juillet : invalidation du Privacy Shield, ça va piquer un peu. Ça pique toujours d’ailleurs, et si d’aucuns avaient annoncé un Armageddon commercial entre l’UE et les US, force est de constater qu’il n’en a rien été : les entreprises vont devoir se conformer au droit UE si elles veulent faire du business chez nous, et c’est tant mieux. Pourquoi ne l’a-t-on pas fait avant ?

Août : rien, on est tous occupé à se recontaminer.

Septembre : votre serviteur disserte pendant trois longs articles sur la question de savoir s’il faut ou pas chiffrer les données de son DPI. En résumé : chiffrer est un moyen et non un besoin, quel est le besoin ? Et surtout, le Congrès de l’Apssis, reporté depuis avril, se tient quand même. Et ce fut un excellent cru.

Octobre : Health Data Hub, du recadrage de la Cnil à l’arrêt prévisible du service. Enfin, jusqu’à ce que l’on se rende compte que l’on ne peut pas couper le robinet en un tour de poignet. À quand un Superfail [2] sur ce sujet ?

Novembre : effet de sidération dû au second confinement. À l’heure où ces lignes sont écrites, les pouvoirs publics suggèrent l’idée qu’il pourrait y en avoir un troisième.

Décembre : attaque de Dedalus, l’ensemble des clients Santé coupent les accès en télémaintenance de l’entreprise pendant 72 heures. Et l’on se rend compte qu’il n’est pas si facile de savoir quel site est touché, quelles applications sous télémaintenance vulnérables, etc.

Et l’année se termine sur une gigantesque cyberattaque du gouvernement US, par le biais d’une supply chain attack. Vladimir jure qu’il n’y est pour rien, en tout cas pas plus que le Mossad et la CIA pour Stuxnet.

Bonne année quand même.

[1]   /article/3735/quand-ca-retombe-en-marche.html 

[2]   https://www.franceculture.fr/emissions/superfail