Ni responsable, ni coupable

No Comments

Les récentes attaques au rançongiciel visant les hôpitaux français auraient dû soulever plusieurs questions. Étonnamment, relativement peu d’entre elles ont été évoquées. Autre point étonnant, alors que la presse s’est largement fait l’écho de ces attaques, le discours du président, les mesures et surtout la stratégie de cyber-protection des dits hôpitaux sont (plutôt) passés à la trappe. Comme si le sujet n’était pas important, comme si soulever ces questions n’était pas important, ou comme si l’important était d’évacuer le sujet à grands coups de millions promis pour les hôpitaux…

Source

Pourtant, le sujet mérite qu’on s’y intéresse, car en paralysant un hôpital, ce sont des patients qui sont priés de… patienter encore un peu plus (au fait, avez-vous remarqué que, lorsque vous arrivez en retard chez le médecin, vous êtes quand même en avance – à de rares exceptions près. Théorème de moi, merci de me citer à chaque fois que vous l’emploierez), et si plusieurs hôpitaux sont paralysés simultanément, alors c’est toute une chaîne de santé qui est vraiment menacée. Ce qui pourrait faire de leur cybersécurité une priorité nationale, mais autrement que dans les seuls discours, ce serait parfait. En passant, la page de l’Élysée ne cite pas le cyber parmi les « grands dossiers du président » (cf. illustration infra). Et nous apprenons à propos des attaques cyber, dans le discours présidentiel, qu’elles peuvent paraître très abstraites, et c’est vrai [qu’elles] ne faisaient pas partir du quotidien de notre pays et dont on parlait peu… Si omnis tacent, non tacebo.

De quoi pourrions-nous alors parler ?

Read More

L’hôpital qui se fout de l’informatique

2 Comments

Rappelle-toi Barbara, il pleuvait sur Rouen ce jour-là… Le 15 novembre 2019, le CHU de Rouen était la cible d’une attaque par rançongiciel.  La presse de l’époque racontait : « 19 h 45, vendredi 15 novembre. Un « cryptovirus », de type rançongiciel selon les informations du Monde, est repéré par les services informatiques de ce CHU réparti sur cinq sites, comptant plus de 10 000 salariés et près de 2 500 lits. Afin d’éviter que le virus ne se propage, l’arrêt de tous les ordinateurs est rapidement décidé. L’hôpital passe alors en mode dit dégradé. Il l’était encore lundi dans la journée. »

Source

Ce n’était pas une première, puisque le 15 mai 2017, l’hôpital d’Issoire faisait l’objet d’une attaque par rançongiciel : « Au premier constat, on a eu vraiment peur. Mais on a rapidement identifié les origines de ce virus arrivé par mail. L’impact est minime. On a perdu très peu de données », affirme Franck Barbeau, responsable informatique à l’hôpital Paul-Ardier. N’oublions pas qu’en 2017, le rançongiciel WannaCry avait semé le chaos dans tout le système britannique de santé, contraignant de multiples établissements à refuser des patients. Sûrement la faute au Brexit, et n’oublions pas que nous avons en France un système de santé que le monde nous envie…

Read More

Infogérance et autonomie

No Comments

La crise sanitaire de laquelle nous ne cessons de sortir à coups de confinement, déconfinement, reconfinement, couvre-feu, re-couvre-confinement-feu et autres variantes possibles a mis en lumière ce qui était, il y n’a pas si longtemps, un gros mot : l’autonomie stratégique. Elle a permis de (re)découvrir que de nombreuses productions avaient été délocalisées il y a plus ou moins longtemps (Ah ! Alcatel et les entreprises fabless…) et que, face à ce qui devenait un défaut dans la cuirasse en temps de crise, il était nécessaire de relocaliser et donc de réindustrialiser le pays.

Source

Certains disent que ce n’est pas si simple, d’autres encore que c’est plus compliqué que cela, s’opposant ainsi à tous les partisans de « l’intendance suivra » ou des démiurges dont la parole est performative. Pour savoir ce qu’il en est, et comme nous vivons dans une époque numérisée, il peut être utile de se pencher sur un phénomène historique pas si vieux que cela, celui de l’infogérance.

Read More

Categories: Management Étiquettes : , ,

Cyberattaque mortelle (bis)

No Comments

Comme je l’ai écrit dans mon précédent billet la mort d’une patient à cause d’une cyberattaque était loin d’être prouvée. Notamment parce que le flou qui entourait la chronologie ne laissait pas augurer d’une grande rigueur dans la recherche des faits et des causes de la mort.

C’est maintenant officiel, le lien entre les deux éléments (cyberattaque et décès) n’est pas retenu par la justice allemande : « l’enquête a finalement conclu que ce délai supplémentaire n’a pas joué de « rôle décisif » dans son décès. Les cybercriminels ne peuvent donc pas être poursuivis pour homicide involontaire. » (…) « Le délai n’a pas eu d’importance dans l’issue finale. La situation médicale était l’unique cause du décès », a déclaré le procureur.

Voici donc qui règle l’aspect cyber de l’affaire, sans pour autant légitimer l’attaque.

 

Cyberattaque mortelle ?

No Comments

Il y a environ 2 mois, une cyberattaque visant un hôpital allemand a été qualifiée de première cyberattaque mortelle. La presse s’en est d’ailleurs fait l’écho, mais depuis, plus aucune nouvelle.

Ce qui peut laisser songeur.

Il est vrai que les inondations dans le sud de la France, les attentats, l’actuel psychodrame électoral américain mobilisent davantage, mais nous pouvons nous poser quelques questions cependant :

  • alors que l’événement marque une rupture dans les cyberattaques qui, jusqu’à présent, n’avaient pas causé de morts, pourquoi si peu d’articles à ce sujet ? Les moteurs de recherche sont plutôt avares de références sur le sujet.
  • pourquoi (également) tous les experts de la cyber (plus nombreux que les spécialistes des maladies infectieuses) ne se sont-ils pas emparé, eux aussi, du sujet ?
  • comment se fait-il que les rares articles à en avoir parlé n’ont pas proposé de chronologie afin que nous sachions quel a été l’ordonnancement exact des événements ? La cyberattaque a-t-elle paralysé le bloc opératoire dans lequel la personne venait d’être admise, ou les responsables ont-ils tardé à la transférer une fois le constat de non fonctionnement du bloc fait ?

Ce dernier point est important car dans un cas la responsabilité des médecins n’est pas engagée, mais si l’enquête venait à prouver qu’ils ont trop tardé, ce ne serait plus pareil.

Comme le dirait Balzac, c’est une bien ténébreuse affaire.

Où l’on reparle de formation à la cybersécurité

No Comments

Placer l’humain au cœur de la cybersécurité est une expression à la mode depuis quelque temps. Elle peut être vue comme un sacrifice aux idoles du temps présent (après tout, même Staline estimait qu’il fallait placer l’homme au cœur du communisme et G. Marchais évoquait un communisme à visage humain) ou comme un véritable centre d’intérêt des organisations.

Source

Dans ce dernier cas, cela signifie que l’organisation a centré sa cybersécurité sur l’humain, mais pas seulement pour estimer que PEBKAC ou le punir lorsque les choses se passent mal.

Ce (re)centrage de la cybersécurité sur l’humain permet alors de remédier à l’échec de la sensibilisation à la cybersécurité, pour peu que les quelques éléments suivants soient pris en compte.

Read More

Menaces cyber : imbroglio et erreur de l’ANSSI

No Comments

Parler de menaces cyber revient à ouvrir une boîte de Pandore de laquelle, en premier lieu, s’envolent une multitude de termes relatifs aux risques et menaces. Ces deux termes semblent pour certains tellement proches qu’ils seraient deux jumeaux qu’un importun sort aurait séparé.

Source

Pourtant, les définitions sont claires. Selon le dictionnaire Larousse une menace se définit comme suit :

  • Action de menacer ; parole, comportement par lesquels on indique à quelqu’un qu’on a l’intention de lui nuire, de lui faire du mal, de le contraindre à agir contre son gré : Des gestes de menace. Écrire sous la menace.
  • Signe, indice qui laisse prévoir quelque chose de dangereux, de nuisible : Il y a une menace d’épidémie dans la région.
  • Délit qui consiste à faire connaître à quelqu’un son intention, notamment verbalement ou par écrit, image ou tout autre moyen de porter atteinte à sa personne. (La menace de commettre une destruction ou une dégradation dangereuses pour les personnes est également un délit.)

Quant au risque, c’est toujours selon le même Larousse

  • Possibilité, probabilité d’un fait, d’un événement considéré comme un mal ou un dommage : Les risques de guerre augmentent.
  • Danger, inconvénient plus ou moins probable auquel on est exposé : Courir le risque d’un échec. Un pilote qui prend trop de risques.
  • Fait de s’engager dans une action qui pourrait apporter un avantage, mais qui comporte l’éventualité d’un danger : Avoir le goût du risque.
  • Préjudice, sinistre éventuel que les compagnies d’assurance garantissent moyennant le paiement d’une prime.

Pour savoir si ces deux termes sont deux jumeaux malheureusement séparés, il suffit de les échanger dans les exemples des définitions supra pour s’apercevoir que prendre l’un pour l’autre revient à prendre des vessies pour des lanternes. Ainsi, un pilote ne prend pas trop de menaces, et on n’écrit pas sous le risque.

Serait-il vrai que, dans ce domaine également, le cyber nous brouille l’écoute ?

Read More

Categories: Etat, protection Étiquettes : , , ,

Confiance numérique ? Tentons le reverse big brother alors !

No Comments

Le numérique, l’Internet, doit être un espace de confiance. D’ailleurs tout le monde proclame que la confiance est indispensable dans le cyberespace, certains déclarant même qu’il faut la restaurer. Si on prend cette déclaration au mot, une restauration signifie que la confiance a existé, qu’elle s’est perdue et qu’elle doit revenir. Mais comment cette perte a-t-elle pu advenir puisque tous les « industriels » du numérique affirment qu’ils sont des acteurs de confiance ? Mais si tel était le cas, pourquoi appelleraient-ils à une restauration de la confiance ?

Source

Sûrement parce qu’en fait, et quoi qu’ils disent, la confiance n’existe pas dans le cyber monde. S’il était un espace de confiance, pourquoi faudrait-il acheter aux industriels de la cybersécurité tous les nouveaux logiciels devant assurer cette sécurité ? Pourquoi tant de mises à jour « pour la sécurité » ? Pourquoi tant d’appels à la vérification et à la méfiance ? Un complotiste affirmerait que c’est justement en criant au loup qu’on a le plus de chances de vendre des pièges à loup…

C’est bien plus simple. La confiance n’existe pas dans le cyber monde car il n’est actuellement pas construit pour être de confiance. On peut cependant mettre en place un système peu compliqué pour que les utilisateurs se sentent davantage en confiance. Nous allons en parler maintenant.

Read More

Modalités de télétravail

No Comments

Alors que le déconfinement pointe le bout de son nez et que le gouvernement vient de publier (selon la presse) un guide sur le télétravail, il peut être utile de se poser quelques questions sur ce « nouveau » mode de travail.

Source

Il y a peu, un billet de ce blog a traité du télétravail en général. Article très générique qui exposait quelques éléments indispensables pour que cette injonction due au confinement réussisse. La bonne volonté ne suffisant pas toujours, il peut alors être bon, de même qu’il existe un plan de continuité d’activité et un plan de protection de l’information (euh…) de rédiger un plan de télétravail qui en fixe les modalités pratiques. Il est admis que la première victime d’une opération est toujours le plan, cependant en rédiger un permet de ne pas être pris totalement au dépourvu. Enfin, s’il n’a pas été rédigé depuis trop longtemps… Passons donc à la pratique.

Read More

Categories: Management Étiquettes : ,

L’échec de l’apprentissage de la gestion de crise

No Comments

L’an dernier (déjà), j’avais publié un article relatif à l’échec de la formation à la cybersécurité. L’actualité épidémique pousse à se demander ce qu’il en est de l’apprentissage de la gestion de crise. En effet, quasiment tous les pays du monde sont confrontés au coronavirus, et l’ampleur de l’épidémie les prend quasiment tous au dépourvu. La situation est inédite pour l’époque mais pas pour l’humanité. Quant à la crise, cela fait des années qu’en ouvrant bien les yeux nous pouvions nous rendre compte qu’il y en avait presque tout le temps dans une partie ou l’autre du monde, et qu’il était bien surprenant qu’aucune ne nous ait encore atteint.

Source

En outre, depuis l’ouragan Katrina en Louisiane (2005), les dirigeants des pays devraient savoir qu’ils sont attendus sur leur attitude et les décisions qu’ils prennent durant ces calamités : George Bush fut ainsi voué aux gémonies pour n’avoir pas réagi correctement à la crise. La surprise devrait alors être faible, d’autant que les formations à la gestion de crise n’ont jamais été aussi abondantes que ces années. En voici une, une autre, encore une autre, encore une, même une liste de formations, et l’Etat via l’INHESJ propose même un management stratégique de la crise.

Bref, il y a le choix. Alors comment se fait-il que tant de voix s’élèvent pour critiquer la façon dont l’épidémie est gérée ?

Read More

Categories: Etat, protection Étiquettes : , ,