Publicité en cours de chargement...
La sécurité des SI ou le concours de l’avant-dernier
Vous connaissez par contre tous Charles Ponzi, à l’origine de l’arnaque de la pyramide qui porte son nom. Simple, rapide et redoutable, ce montage en a ruiné plus d’un et a duré beaucoup plus longtemps : alors que Faulkner a sévi pendant « à peine » dix ans, Ponzi a utilisé son système toute sa vie (il a même été recruté par le ministère des Finances italien sous Mussolini et réussi à chiper une somme dont on ignore le montant – authentique). Bref, les trucs les plus simples sont les meilleurs et aussi les plus redoutables. Et, dans le système de Ponzi, vous pouvez être l’avant-dernier, mais jamais le dernier : c’est celui qui se fait plumer jusqu’à l’os.
Une enquête récente, commandée par l’éditeur Kaspersky et relatée par CIO-Online[2], alerte sur l’obsolescence des systèmes informatiques dans le monde de la santé, et souligne à la fois l’état inquiétant des systèmes (dont l’obsolescence n’est dans la plupart des cas même pas connue) et la sous-estimation de cette réalité par les décideurs IT de par le monde. L’étude pointe même du doigt certaines incohérences, par exemple en France où l’on avoue une situation inconnue (en termes de niveau de patch) et des vulnérabilités aux attaques cyber, avec en même temps un assez bon niveau de confiance dans la capacité de résistance à ces mêmes attaques (on doit avoir les RSSI top moumoutes, ça doit être cela…).
Le 1er mars dernier, l’EFS (Établissement français du sang) a subi une attaque de type Emotet. Cette attaque n’a été portée à la connaissance des RSSI santé que le vendredi 4 mars (soit trois jours plus tard, autant dire une éternité), et pendant une journée tout le monde a été à la recherche d’informations, qui reforwardant un mail d’un de ses correspondants EFS local, qui mentionnant un échange verbal avec un informaticien de sa connaissance, etc. Clairement, on a eu un souci dans la remontée et la diffusion d’une information à caractère d’urgence, des dispositifs pourtant de base dans toute gestion du risque SI à l’échelon national. Tout se passe comme si le risque SI était géré en routine avec les bésicles d’un informaticien des années 80.
Daniel Kahneman décrit dans Système 1, système 2 deux modes de pensée : l’automatique et le réfléchi. Le premier est celui que vous utilisez quand vous respirez, quand vous mettez en marche la machine à café en même temps que vous téléphonez à votre boss : on est dans le domaine de l’automatisme, de l’acquis. Le second est celui que vous mettez en branle lorsque vous apprenez à conduire, lorsque vous vous dirigez dans une ville inconnue : on est dans le domaine de l’attention forte, de la réflexion (et c’est épuisant au demeurant). Frédéric Beltran dans Le pilote, acteur de sa sécurité fait remarquer qu’une bonne partie des accidents d’avion proviennent du fait que l’esprit du pilote est resté dans le premier mode, alors que l’environnement extérieur (situation à risque, configuration inhabituelle) aurait dû le faire basculer dans le second (et toute la difficulté est bien de garder au fond du crâne une alarme qui alerte sur ce nécessaire changement de mode).
Entre la situation cyber globale de ces dernières années et le contexte géopolitique récent, cette alarme sonne sans discontinuer et hurle aux oreilles des organisations que les dispositifs cyber (protection, alerte, mais pas que) doivent d’urgence quitter le système 1 pour se caler sur le système 2. Comme l’écrit Niall Ferguson à propos du premier conflit mondial, a posteriori on se demandera comment on a pu ignorer la course aux armements, les tensions internationales et les articles réguliers dans la presse nationale qui tous auraient dû nous alerter sur le conflit à venir.
Si la crise ukrainienne ne parvient pas à nous faire basculer de mode, alors il ne restera que le crash à grande échelle. Et il ne fera pas bon être le dernier dans cette immense pyramide de Ponzi qu’est la cyberprotection des SI modernes.
[1] Voir l’excellent ouvrage de Niall Ferguson : L’Irrésistible Ascension de l’argent.
Avez-vous apprécié ce contenu ?
A lire également.
Les outils numériques sont-ils réellement adaptés aux patients ayant plusieurs maladies chroniques ?
28 avril 2025 - 11:08,
Communiqué
- AP-HPLes applications numériques en santé sont conçues pour surveiller, traiter et accompagner les patients, mais elles ne tiennent souvent pas compte de ceux atteints de plusieurs maladies chroniques. Une étude, menée par le Pr Viet-Thi Tran (Université Paris Cité / AP-HP) et Ngan Thi Thuy Phi (Universi...
Un seul outil pour gérer l’ensemble de l’activité de la PUI et des stocks hospitaliers
28 avril 2025 - 11:01,
Communiqué
- Computer EngineeringUne application complète pour assurer à la fois l’ensemble du circuit du médicament - prescriptions, dispensations et administrations - et la gestion des stocks pharmaceutiques : c’est la promesse tenue par l’application Pharma, éditée par Computer Engineering.
Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée
24 avril 2025 - 15:14,
Actualité
- DSIHLa Délégation au numérique en santé (DNS) publie le premier rapport d’activité de la Plateforme d’éthicovigilance du numérique en santé, un dispositif inédit lancé fin 2023 pour recueillir les signalements d’usagers et de professionnels confrontés à des enjeux éthiques liés aux technologies de santé...
Le GHT Hôpitaux de Provence optimise ses flux patients avec la solution M-SESAME de Maincare
24 avril 2025 - 10:06,
Communiqué
- MaincareLe GHT Hôpitaux de Provence, un des groupements hospitaliers les plus importants de France avec 13 établissements et un bassin de 2 millions d’habitants, a choisi la solution M-SESAME, développée par Atout Majeur Concept, distribuée et intégrée par Maincare, pour répondre à ses besoins en matière de...
