Vous êtes dans : Accueil > Tribunes libres >

Ma lettre au Père Noël

Cédric Cartau, MARDI 24 DéCEMBRE 2019

     

Cher Père Noël, comme chaque année je t’écris car, soyons honnête : la sécurité des SI, ce n’est pas toujours drôle. Le RSSI passe son temps à convaincre des gens qui sont surchargés de boulot qu’il faut intégrer la sécurité dans leurs pratiques (alors qu’ils sont en train de traiter les projets urgents-urgents-urgents avant de s’attaquer à ceux qui sont seulement urgents), il faut convaincre des décideurs (dont la hiérarchie a sucré les budgets) d’acheter moult gadgets et logiciels qui vont leur dire qu’ils sont en situation hyperrisquée (et en plus, si ça pète, c’est de leur faute), il faut former les développeurs à la crypto avec des dessins de Bob et d’Alice qui veulent envoyer des messages chiffrés (on se demande bien pourquoi), pour finalement s’entendre dire que les chefs de projets n’ont pas le temps, les décideurs pas d’argent, et les développeurs rien à cirer de Bob ni d’Alice. Bref, c’est la chienlit.

Heureusement que tu es là Père Noël, car on ne sait jamais d’où va venir le prochain Scud, le prochain truc tordu à brancher sur le réseau, le prochain projet ultra-ultra-ultra prioritaire plus plus – bon, en même temps, c’est un peu le côté marrant du job. Récemment, j’assistais à une réunion de RSSI (oui je sais, on est un peu addict dans la profession), et l’un d’entre eux nous a fait une présentation courte mais bonne de la pire cochonnerie qui soit en matière de sécurité des SI : les objets connectés – IoT pour les intimes. Et de nous suggérer fortement d’aller faire un tour sur le canal Twitter « Internet of Shit ». Surtout n’y allez pas, c’est horrible. Ou plutôt si : surtout allez-y, c’est horrible.

On y apprend par exemple que bientôt on pourra regarder une vidéo planté devant la porte de son frigo (mais comment avons-nous pu vivre sans ?), qu’il y a des fourchettes connectées qui vibrent dans la bouche lorsque l’on mange trop vite, que maintenant pour continuer d’utiliser un casque audio il faut mettre à jour le firmware, qu’il existe des pièges à souris qui vous envoient une alerte sur votre smartphone quand une pauvre bête s’est fait déchiqueter, qu’il existe des toilettes connectées qui promettent une « fully immersive experience » (là, j’ai peur), que certains robinets connectés se commandent à la voix, qu’il existe des poubelles qui vous envoient un SMS quand elles sont pleines et enfin des conteneurs à poubelles capables de rouler tout seuls jusqu’au bord de la rue la veille du passage des éboueurs – authentique.

C’est le moment précis où l’honorable lecteur se demande ce que ces exemples peuvent bien avoir affaire avec son boulot de tous les jours, et c’est le moment où l’honorable lecteur doit comprendre que ce sera justement son boulot dans deux ans que je viens de lui narrer. Parce que tous ces objets vont arriver dans le monde de l’entreprise, par la porte ou par la fenêtre, et l’hôpital n’y échappera pas. Dans un CHU, on compte des centaines de frigos, faites confiance à vos fournisseurs pour que la prochaine génération soit connectée et qu’il faille la superviser directement sur le LAN. Faites confiance à vos fournisseurs pour aller expliquer que dans les Ehpad il faut des fourchettes connectées pour mieux surveiller la santé des seniors, qu’il faut optimiser le remplissage des poubelles. Pour les toilettes connectées et les autres bidules, je n’ai pas encore trouvé, mais un fournisseur aura la bonne idée à ma place. Vous me croyez si je vous dis que tous ces gadgets sont sécurisés, mots de passe et communications chiffrés, firmwares mis à jour, pas de services inutiles montés sur la pile IP, Privacy by Design et tout le tralala ? Perdu : c’est un gigantesque foutoir, avec des versions non patchées qui sortent en veux-tu en voilà, des fournisseurs (pas tous chinois) qui développent avec deux mains gauches des bidules qui envoient des logs non sécurisés sur votre vie à des fournisseurs (pas tous américains) et qui vous espionnent encore mieux que du temps de la Stasi, bref, le cauchemar absolu.

Alors, cher Père Noël, ce serait bien que tu y ailles mollo sur le remplissage de la hotte avec toutes ces joyeusetés : les attaques en déni de service se multiplient ces derniers temps, et ce n’est pas toi qui vas te les coltiner : dès le 26 tu repars et nous laisses en plan avec tous ces gadgets. D’autant que, depuis plusieurs années, je te demande des petits sinistres SI tout mignons histoire de montrer que la SSI, ce n’est pas de la rigolade, mais là, en 2019, tu y es allé un peu fort : trois CHU attaqués (dont un sévèrement), un groupe de cliniques cryptolocké (non, ce n’est pas un barbarisme, c’est un néologisme), sans parler de tous les petits établissements qui se font poutrer sans que les médias s’en fassent l’écho. Bref, il serait temps de mettre un tantinet le holà.

Sans vouloir être impoli, si tu pouvais faire en sorte que les moyens (certes les sous, mais surtout les bras) nous arrivent légèrement avant le prochain passage de la comète de Halley, tu serais le plus choubidou des Pères Noël.

Gros bisous,

Ton RSSI qui t’aime,

 

#sécurité#rssi#chu