Ma lettre au Père Noël 2023

Côté incidents cyber, il semble que l’on ait atteint le « rythme de croisière ». Rennes et Brest, rien de plus cette année dans les CHU – sans parler des autres établissements. Bon, tout de même, la nouveauté, c’est que les RSSI et DSI de ces établissements se sont occupés du problème rapidement et que rien ou presque n’a été pété – si l’on excepte les coupures totales ou partielles du SI pendant des semaines.

Article connexe → En direct de l’APSSIS - Cyberattaque : le retour d’expérience et les conseils du GHT de Dordogne

Bon, comme tous les ans, le congrès de l’Apssis 2023 a frisé la perfection, mais cela devient une habitude. Parfait mélange entre conférences thématiques, sujets de fond, actualité, plénière. Cette année, une petite nouveauté avec rien de moins qu’une directrice générale d’établissement qui vient diriger un brainstorming en live dans la salle sur les mesures cyber essentielles. What else ?

Sinon, cette année, la cyber commence à s’organiser. Le campus cyber essaime en région, mais pas partout – quelques territoires ont courageusement décidé de ne rien faire sur le sujet, on se demande comment certains sont câblés malgré tout.

Ah oui ! Et puis aussi comme chaque année Père Noël, y a une bande de nunuches qui nous chauffent régulièrement les esgourdes en nous bassinant avec le Cloud. Le Claaaaaouuuud qui serait la réponse à tout, la protection ultime contre les attaques cyber, l’alpha et l’oméga de la cyber. Bon, on va arrêter de fantasmer, le Cloud n’a jamais diminué les risques, il les déplace simplement. Entre l’incendie de datacenters, la coupure de liens FO, la perte des clés masters de Micromou, les incidents massifs en Supply Chain et j’en passe, faut vraiment être limite autiste pour continuer d’affirmer qu’en dehors du Claaaaaaaouuuuuuud point de salut.

Bon, sinon Père Noël, t’es choubidou, tu nous as amené le début de l’évolution du décret HDS avec cette histoire enfin réglée de l’activité 5 qui empoisonnait la vie de tout le monde – ça fait juste trois ans que l’on attend. Par contre, nulle information sur la prise en compte de la version 2022 de l’ISO 27001, pour 2024 peut être ? Et quid de SecNumCloud ? Des rumeurs courent sur la disparition d’HDS au profit de SecNumCLoud, inutile de dire qu’aucun CHU n’a les épaules pour jouer dans cette cour.

Côté protection des données, c’est la fête au village. La plus grosse chienlit putative reste sans aucun doute l’IA et ChatGPT (avec ses avatars). On ne se rend pas encore compte de la rupture qui va s’ensuivre, mais quand on voit rien que les données de chercheurs académiques sur la protection des données des bases de travail de l’IA[1] (en gros, aucune protection) et les possibilités de rédaction de mails de phishing par l’IA, on se demande si ceux qui se gargarisent de la réglementation récente de l’IA en Europe réalisent vraiment leur décalage par rapport à la réalité ? Personne, jamais, dans aucune civilisation, n’a réussi à encadrer le développement d’une nouvelle arme, et l’IA n’échappera pas à la règle.

Bon, on a tous en ligne de mire la préparation des JO 2024. Les premiers tests de la résistance de nos messageries ont démarré, et les résultats sont absolument désastreux. Certains fournisseurs de chaîne de protection des mails sont mis le nez devant leurs baratins marketo-pipo-foutage-de-face. L’outil mis à disposition par les pouvoirs publics est vraiment génial et démontre par l’exemple que tant que l’on n’a pas testé un dispositif, on est à poil sans même le savoir.

Bon, par contre Père Noël, côté bras dans la cyber, c’est toujours pas le top. Et côté présence féminine non plus. En même temps, on vient de voir que parmi les finalistes de Miss France se trouvait Miss Île-de-France[2], Elena Faliez, qui est consultante en cybersécurité. Ben tu vois, quand tu veux tu peux !

Gros bisous Père Noël,

Ton RSSI qui t’aime,

[1] https://www.jeuxvideo.com/news/1833844/c-est-absurde-que-notre-attaque-ait-fonctionne-ils-depensent-200-euros-et-chatgpt-leur-devoile-des-informations-personnelles-sur-des-inconnus.htm 

[2] https://actu.fr/ile-de-france/paris_75056/la-miss-paris-elena-faliez-sacree-miss-ile-de-france_60243180.html 

L'auteur

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.