Vous êtes dans : Accueil > Tribunes libres >

2020, bilan à mi-parcours

Cédric Cartau, MARDI 11 AOûT 2020

L’année 2020 aura été bizarre, confinement oblige. Ce n’est pas pour autant qu’il ne s’est rien passé, et ce n’est pas pour autant que les gendarmes et les voleurs (comprendre RSSI et hackers) se sont tournés les pouces – surtout pour les seconds. Bilan de la première moitié de l’année.

Janvier
Nous avons tous encore les bulles de champagne dans la tête, mais les affaires récentes du CHU de ROUEN, les amendes record infligées à Google et Apple nous sonnes encore dans les oreilles. L’année 2019 a fini très fort, 2020 semble partir de la même façon.

Février

En février, je disserte sur les grippolockers[1] : je n’imaginais pas combien ce billet allait être d’actualité, un confinement plus tard…
Bon je m’indigne aussi des conditions indignes de travail de certains professionnels de santé, à qui l’éditeur de leur progiciel de travail ne met à disposition rien concernant les statistiques, les comptages, les camemberts en couleur : je vois des PH et autres PU-PH passer une partie de leurs week-end à compter des fiches patient, des lots de lait et j’en passe. Indigne.

Mars
Grosse découverte, la société WEDATA spécialisée dans les avatars, une technique révolutionnaire d’anonymisation des données. Déjà au congrès de l’APSSIS 2019, la présentation qu’en avait faite le Pr GOURRAUD avait littéralement scotché la salle. Pour le même prix, je vous remets de lien ici[2].
Mars c’est aussi le début du confinement, et les DSI réalisent qu’elles n’ont pas assez de PC portables pour le télétravail, pas assez de licences sur leurs boitiers VPN, et qu’il va falloir en outre ouvrir largement la sécurité.

Avril
Le confinement cela permet d’avoir un peu plus de temps : manifestement c’est aussi le cas chez les hackers et malfaisants de tout poil, les attaques sur les hôpitaux augmentent comme jamais. Il faut vraiment être un pourri de la pire espèce pour tirer sur l’ambulance.
Avril c’est aussi le moment de faire le point sur l’état des lieux de nos analyses de risque : la pénurie de masque FFP2 démontre que, sans mises à jour, elles deviennent rapidement obsolètes face à des changements de stratégies telle l’externalisation.

Mai
StopCOVID est sous le feu des projecteurs. Pas de commentaires.
SI-DEP et le contact traçing également sous le feu des critiques. Pas de commentaires.
Enfin si un quand même : le graphe des relations d’un individu est tout sauf neutre, contrairement à ce que l’on voudrait nous faire croire.

Juin
Je me lance dans une analyse des enjeux d’externalisation des SI : quoi externaliser, pourquoi, avec quels enjeux, quels risques, etc. La grande conclusion est que l’on n’externalise pas pour économiser des sous – cela coûte la plupart du temps plus cher – mais pour gagner en souplesse. Et surtout, surtout, que cela ne réduit pas les risques : cela déplace la matrice de risques.

Juillet
Un article dans ticsante me fait bondir, qui relate des « indiscrétions » entre personnels des établissements de santé, pour savoir qui est infecté ou pas par le COVID. Tant que l’on ne sanctionnera pas, cela continuera.
Juillet est étonnamment riche en actualité, entre l’invalidation du Privacy Shield, et la mise en demeure infligée par le CNIL à l’encontre de l’application StopCOVID.
Sans parler de la fuite de données sur Doctolib.

Bref une demi-année normale sur le plan SSI, au confinement près.

[1] https://www.dsih.fr/article/3624/les-grippolockers.html 

[2] https://www.dsih.fr/article/3669/anonymisation-comparatif-de-trois-outils-partie-ii.html 

#rssi#dsih