2023, bilan de l’année

Janvier
Un pépite : le manuel de sabotage sur le terrain[1] initialement rédigée par les services secrets pendant la Seconde Guerre Mondiale pour faire de la résistance passive dans les pays occupés. Cela fait peur : presque toutes les dispositions recommandées (réunions interminables, comités d’experts sans fin, etc.) sont devenues le quotidien de nos organisations modernes.

Février
Plusieurs alertes, issues de secteurs très différents – en plus de l’hôpital s’entend – révèlent une situation de burn out préoccupante dans les métiers de la cyber. Faire le test ici[2] en cas de doute.

Mars
Attaque cyber du CHU de BREST, et un peu plus tard le CHU de RENNES. Les points d’entrée dans le SI en authentification simple doivent disparaître, et la supply chain doit être sécurisée. Absolument. Et on rencontre couramment des fournisseurs qui vous expliquent qu’il leur faut un accès 24-365 sans restriction sinon ils ne maintiennent plus les systèmes. Affligeant.

Avril
C’est au tour des GAFAM, qui s’assoient depuis des lustres sur les droits d’à peu près tout le monde, de jouer les pleureuses en réclamant un moratoire sur l’IA et ChatGPT. Bon ça c’était avant que Micromou fasse main basse sur ChatGPT et Google d’annoncer un modèle encore plus performant. Business as usual.

Mai
Petite réflexion sur le management cyber et la nécessité du Check. Votre serviteur faisait remarquer que le point commun entre ORPEA, la fraude sociale et le niveau déplorable de l’éducation nationale était l’absence de check (avant le test PISA on était persuadés d’être bons !). Sans Check tous ce que l’on se raconte sur le niveau de protection d’un SI a autant de valeur qu’une prière au Dieu de la pluie pour gagner au loto.

Juin
Le congrès de l’APSSIS, what else ?

Juillet et août
Aucune idée je n’étais plus là.

Septembre
Une rentrée tout en nuances.
Le Royaume-Uni victime d’une des plus grosses cyber attaque de son histoire, des millions de données électorales de millions d’électeurs dérobées. Breaking news : apparemment cette fois-ci Mark Zuckerberg n’y est pour rien. La mairie de Sartrouville totalement paralysée par une cyber attaque. Tout comme celle de Houilles.

Article connexe → Dernières considérations cyber avant la plage

Un maire faisait référence à la perte irréversible de certaines données d’état-civil, et à l’augmentation significative des budgets SI et cyber de sa commune. On se plaint dans les hôpitaux, mais quand on voit l’état SI de certaines mairies ou collectivité c’est Beyrouth. Les données de santé de 4 millions d’américains volées, après une cyber attaque contre MOVEit et IBM qui gère une partie de son infrastructure. Mais après cela on trouve encore des consultants pochette-surprise sur les réseaux professionnels qui viennent vous expliquer à tour de post / tweet qu’hors l’externalisation point de salut.

Octobre
Au train où vont les choses, si t’as pas subi ta bonne petite attaque à base d’IA avant 50 ans, t’a raté ta vie petit RSSI.
Ah j’oubliais : votre serviteur vous alertait sur le cauchemar des données génétiques concernant les politiques d’accès aux données médicales. Entre l’IA et ça mon coeur balance.

Novembre
C’était chaud bouillant. Entre Dave qui se fait vider ses comptes et subtiliser ses cartes bancaires par une entourloupe toute en finesse, la dernière arnaque en vogue qui consiste à menacer de mort par courrier papier (!) si pas de versement de rançon (en BTC évidemment) et le fait qu’avec l’IA les photographes de mariage seraient capables d’estimer la durée du couple, le torticolis me guette.

Décembre
Presque soft par rapport au reste de l’année. La CAF qui effectue des contrôles en s’aidant d’un système d’aide à la décision et OLVID qui débarque au gouvernement – et déclenche aussitôt une polémique.

Bon réveillon à tous, à l’année prochaine.

[1] https://fr.wikipedia.org/wiki/Manuel_de_sabotage_simple_sur_le_terrain 

[2] https://www.centreduburnout.org/test-burn-out/ 

L'auteur

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.