Vous êtes dans : Accueil > Tribunes libres >

On est peut-être en fin de race – de RSSI s’entend. Partie I

Cédric Cartau, LUNDI 24 OCTOBRE 2016

OK, je l’avoue, j’ai une légère tendance au pessimisme. Mais là, vous avouerez que cela commence à faire beaucoup : non seulement les incidents se multiplient, non seulement aucun des RSSI présents aux Assises, et avec qui j’ai pu causer un peu entre deux one-to-one, ne voit le bout du tunnel, mais il apparaît clairement que nous sommes dans une situation de type « alignement néfaste conjoncturel » assez unique dans l’histoire de la sécurité des SI.

Un « alignement néfaste conjoncturel », dans le vocabulaire du spécialiste de la résilience, c’est l’autre nom pour le phénomène du Titanic. Le naufrage du paquebot n’est pas dû à une cause unique, mais à une somme de causes isolées qui, prises séparément, n’ont aucune conséquence, mais qui ce jour-là et à cet endroit-là ont fait 1 500 morts. Le capitaine du navire qui voulait battre le record de traversée de l’Atlantique, le froid inhabituel en avril dans cette partie de l’Atlantique Nord, le brouillard, la perte de la clé de l’armoire à jumelles (véridique), la réglementation sur les canots de sauvetage qui était devenue inadaptée aux grands transatlantiques : tout RSSI qui se respecte devrait aller perdre une heure ou deux à surfer sur la page Wikipédia[1] du paquebot, un modèle du genre.

Dans le domaine de la SSI – et j’espère sincèrement me tromper –, si l’alignement n’est pas en train de se produire, cela y ressemble fort. Que l’on en juge.

Il y a d’abord les attaques répétées en cryptovirus, pour lesquelles, soyons francs, aucun constructeur ni éditeur ne propose de solution viable. Si les fichiers bureautiques à macros malicieuses sont bloqués par les antivirus des passerelles de messagerie, ne vous inquiétez pas, un utilisateur va vous en rapporter un par consultation de son Webmail ou tout bêtement par une clé USB. La seule chance que nous avons, c’est que pour le moment aucun cryptovirus n’a de capacité de réplication interne sur le LAN, et qu’aucun n’est capable non plus de s’attaquer à des bases de données structurées ni de se propager sur des systèmes de sauvegarde, mais le jour où cela arrivera – et cela arrivera –, nous risquons tous un scénario à la Mr. Robot[2] : la chienlit à la puissance 10 000.

Il y a ensuite, tout du moins dans le monde de la santé, l’informatisation à marche forcée du cœur de métier (le soin) et en particulier de fonctions critiques (la prescription médicamenteuse, les soins intensifs, etc.) sans que certaines directions générales aient véritablement pris la mesure de la dépendance IT que cela engendre, et des conséquences en cas de panne de l’IT. Que certains DRH profitent de l’informatisation d’un métier pour récupérer des ETP, cela s’entend, sauf qu’à la question de savoir avec quelles petites mains on assurera la continuité des soins quand le bazar tombera en panne nulle réponse. On appelle cela du surbooking, sauf qu’au bout de la chaîne ne se trouve pas un passager aérien, mais un patient.

Il y a, encore, l’incurie crasse (et je suis poli) de certaines DSI (pas toutes, heureusement…). Je sais, je radote parfois, mais quand la check-list de mise en production n’existe même pas dans plus de 50 % des établissements de santé, quand certains DSI plissent le front d’ignorance en entendant des termes tels que Itil, catalogue de bonnes pratiques, approche managériale par les processus, maîtrise du parc de PC (véridique), OS à jour (véridique aussi), quand enfin on découvre des logins admin système ouverts à tous les vents, il y a des fessées qui se perdent dans le monde des bits.

À suivre…

1 https://fr.wikipedia.org/wiki/Titanic

2 Voir saison I.

#rssi#sécurité#dsi