Vous êtes dans : Accueil > Tribunes libres >

C’est le jour des bonnes résolutions

Cédric Cartau , LUNDI 07 JANVIER 2019 Soyez le premier à réagirSoyez le premier à réagir

Traditionnellement, le premier article de l’année est dédié à la fois au bilan de celle qui vient de s’écouler et aux bonnes résolutions de celle qui s’annonce.

Soyons honnêtes : en matière de fuite de données, de piratage, de phishing et autres joyeusetés du genre, on en a eu pour notre argent cette année, tout comme l’année dernière d’ailleurs et certainement comme la prochaine. Fuite de données, prunes de la Cnil – avec le contexte particulier du RGPD –, affaires Facebook auxquelles il va bientôt falloir donner un numéro à deux chiffres pour s’y retrouver, bref, que du lourd et du pâteux. 

On l’avait presque oublié, mais l’année 2018 avait commencé par les failles Intel. Grosses gouttes de sueur chez les sysadmin, mais au final plus de peur que de mal : les failles des CPU n’ont pas donné lieu aux retentissements apocalyptiques que nous redoutions tous. Est-ce parce qu’elles étaient difficiles à exploiter (on a parlé à un moment de la récupération en mémoire d’une image JPEG, la belle affaire !) ou parce que les sysadmin ont tellement été échaudés par les WannaCry et consorts qu’ils ont patché à tout va ? Toujours est-il que… plus de peur que de mal.

Cela étant, la grande affaire de l’année aura tout de même été le RGPD. Fidèle à son habitude, la société moderne aura attendu le dernier, mais vraiment le dernier moment pour se préoccuper d’un texte qui avait tout de même été voté deux ans plus tôt – certaines entreprises n’ont, paraît-il, pas encore nommé de DPO à l’heure où ces lignes sont écrites. Globalement, tout le petit landerneau de la santé a tout de même pas mal bougé, et les difficultés du RGPD n’ont pas forcément été là où on les attendait. Par exemple, les directions générales (pour ce que l’on a pu en savoir) ont été plutôt réceptives, mais le RGPD a permis de débusquer des traitements mis en place à l’arrache sans que les circuits habituels (achat, DSI, etc.) soient dans la boucle. Mais chut ! c’est l’un des thèmes du prochain congrès de l’Apssis au Mans (du 2 au 4 avril 2019).

L’autre grande affaire fut sans conteste le démarrage effectif des GHT. Si l’année 2017 a été consacrée aux schémas directeurs et aux réflexions de fond, les DSI de GHT (DSI-T) ont commencé à émerger en 2018, certes pas toutes au même rythme ni dans les mêmes configurations. Quoi qu’il en soit, certains décideurs ne cachent pas leurs interrogations : fusionner, mais jusqu’où ? Se regrouper et mettre en commun certaines fonctions supports, mais lesquelles et jusqu’où ? Tout le monde sait qu’au-delà d’une certaine taille une organisation perd beaucoup plus en agilité qu’elle ne gagne en coût, et si votre serviteur était persuadé il y a deux ans que le modèle ultime était de fusionner sans se poser de questions métaphysiques, il en est un peu moins certain aujourd’hui.

Sinon, on a eu aussi le démarrage du SNDS (sans authentification forte dans l’accès distant à la plateforme, un comble au xxie siècle tout de même !), des soupçons de fraude au président dans certains hôpitaux, les inévitables marchands de peur pour le RGPD (ces SSII qui vous expliquent que sans les rouleaux de papier toilette estampillés RGPD, vous risquez 4 % de votre CA), l’entrée en vigueur de la certification HDS (tellement lourde et complexe que l’on se demande bien qui va s’y risquer parmi les établissements publics), le toujours excellent congrès de l’Apssis mouture 2018, les fuites de données des grands réseaux sociaux (j’adore quand les opérateurs d’enceintes connectées vous jurent la main sur le cœur qu’ils ne vous espionneront jamais ; non mais il faut vraiment être naïf ou abruti pour croire ces fadaises). 

Ah oui ! j’allais oublier, la directive NIS (décret et arrêté) et les premiers courriers d’intention de nomination des OSE (opérateurs de services essentiels). La démarche qui consiste à pondre des réglementations hors sol, sans concertation avec les experts de terrain qui pourraient au moins remonter ce qui est raisonnablement faisable ou non, semble être une spécificité de ce pays. Juste par curiosité, j’aimerais bien voir, dans la liste des 23 règles listées dans l’arrêté, lesquelles l’Anssi serait capable de s’appliquer à elle-même…

Côté lectures, je rappelle l’excellent ouvrage de la Cnil (Les Données génétiques), le non moins excellent La Guerre des intelligencesdu Dr Laurent Alexandre et, bien entendu, la seconde édition deLa Sécurité du système d’information des établissements de santéde votre serviteur. Ah ! et je ne me souviens plus si je vous ai dit que DSIHrestait de loin le meilleur magazine sectoriel des SI de santé… je l’ai dit ?

Côté résolutions, je ne sais pas pour vous, mais j’ai décidé courageusement et après mûre réflexion de n’en prendre aucune.

Bonne année quand même !

cedric@cartau.net 

RGPD, dsi