Vous êtes dans : Accueil > Tribunes libres >

C’est le jour des bonnes résolutions

Cédric Cartau , LUNDI 06 JANVIER 2020

Traditionnellement, le premier article de l’année est dédié à la fois au bilan des 12 mois écoulés et aux bonnes résolutions de l’année à venir.

Soyons honnêtes : en matière de fuite de données, piratage, phishing et autres joyeusetés du genre, on en a eu pour notre argent, tout comme l’année dernière d’ailleurs et certainement autant que nous en réservera la prochaine. Fuite de données, amendes de la Cnil – avec le contexte particulier du RGPD –, les affaires Google, les démarchages téléphoniques sauvages (500 000 euros d’amende infligés par la Cnil, beau score), les attaques par cryptolocker de plusieurs entreprises, et surtout les attaques d’établissements de santé publics ou privés, une première dans ce pays, du moins à cette échelle.

Côté RGPD, c’est la saison des prunes toute l’année. Si les plus impressionnantes sont tombées hors de l’Hexagone ou à l’échelon européen (un hôpital au Pays-Bas), rien ou presque dans le monde de la santé en France. Toujours est-il que, comme pour les panneaux « Contrôles radars fréquents » que l’on croise à l’entrée de certains villages, la plupart du temps, de radar que nenni, mais le jour où ils en installent un, on a l’air très bête. Résolution n° 1 : vérifier que les processus de conformité tournent à peu près correctement, la perfection n’est pas de ce monde.

Côté directive NIS (décret et arrêté), on n’avance pas très vite. Entre une réglementation plus que discutable sur la forme (sur le fond, tout le monde s’accorde sur le fait que les hôpitaux ne peuvent pas rester à l’âge de pierre de la sécurité IT), 23 mesures quasi impossibles à appliquer in extenso dans n’importe quelle entreprise petite ou grande (tiens, pour rire, il serait curieux d’évaluer l’Anssi sur cette échelle…), on assiste peu ou prou à un jeu de bataille fermée. Résolution n° 2 : se poser sérieusement la question de savoir si la notion de SI, dans la directive, est à appréhender sous l’angle fonctionnel ou sous l’angle des couches techniques, ce qui n’a ni le même impact, ni le même coût.

Côté crypto, le monde de la santé frise le zéro pointé : ce qui est arrivé à Rouen peut se produire demain n’importe où, et qui se croit à l’abri se rend coupable du péché capital n° 7 (je vous laisse vérifier). Bref, en revenir aux fondamentaux, à savoir la sécurisation de l’AD et des couches systèmes basses : DNS, DHCP, SCCM, sauvegardes. Et avec trois axes : les comptes à privilèges, le filtrage des accès aux plateformes d’administration, les partages de fichiers accessibles. Résolution n° 3 : ce que je viens de dire ci-dessus.

Côté lectures, je rappelle l’excellent ouvrage d’Antonio Casilli (En attendant les robots), le non moins excellent Vous allez commettre une terrible erreur d’Olivier Sibony et, même si ce n’est pas une nouveauté, je recommande fortement L’Inquiétant Principe de précaution de Gérald Bronner et Étienne Géhin, que l’on trouve aussi sur la chaîne Youtube Le Blob, l’extra-média dans la section « Le débat et vice-versa ». Ah ! et je ne me souviens plus si je vous ai dit que DSIH restait de loin le meilleur magazine sectoriel SI de santé… Je l’ai dit ?

Côté résolutions personnelles, je ne sais pas pour vous, mais j’ai décidé courageusement et après mûre réflexion de n’en prendre aucune.

Bonne année quand même !

##cnil#RGPD