Sécurité cyber et routière, même combat !

No Comments

Le récent FIC s’est clôt par un événement typiquement français : la publication/proclamation d’un livre blanc pour lutter contre le cybercrime/les cybermenaces/les cyberattaques/etc. Au fait, pour avoir des idées utiles à la lutte contre la propagation d’inutiles livres blancs, visionnez cette vidéo en cliquant ici !

Ce n’est peut-être pas inutile, mais typiquement français et il serait à ce sujet intéressant (mais ô combien fastidieux) de lister tous les livres blancs que certains passent leur temps à écrire, à publier avec plus ou moins de publicité, avant que l’oubli de cette incomparable littérature les incite à en écrire un nouveau, car « l’actualité l’impose. »

Cet événement conjugué à la récente lecture du livre de Jean Todt « des millions de vie à sauver… sur les routes du monde » m’incite à dresser un parallèle entre le monde cyber et la sécurité routière, uniquement pour le cas français.

Source

Read More

Categories: protection, Sécurité Étiquettes :

De la sensibilisation à la considération

No Comments

Il est d’un usage constant qu’en tout pays (de France au moins) et en tout temps, il soit toujours de bons enfants que l’on débine. On les appelle de noms d’oiseaux, de j’m’en foutistes, de rigolos, dans l’entreprise pour eux, pas de pot, ce sont les informaticiens et, en particulier, les RSSI.

Le propos pourrait paraître exagéré, mais la récente mésaventure d’une entreprise « du numérique » confirme cette introduction. Cette entreprise, que nous appellerons Zorglub par pudeur, a plus de 10 ans d’existence, un CA d’environ 250 millions et outre son implantation en France, elle est aussi présente dans une trentaine de pays étrangers.

Sa vie était un long fleuve tranquille qui charriait les dollars, jusqu’à ce que d’horribles pirates, russes bien évidemment, s’en prennent à cette charmante pépite (licorne avec des paillettes comme diraient mes petites-filles).

Source

Et là, subitement, le monde s’écroule, la terre s’arrête de tourner pour s’ouvrir sous les pieds des dirigeants effarés qui ne savent tout-à-coup plus que faire et commencent donc à pleurer toutes les larmes de leur corps.

Sûrement parce que la sensibilisation avait échoué, non ? Relisez donc mon billet sur l’échec de la sensibilisation. Et celui-ci, tant qu’à faire. À moins qu’il ne faille chercher ailleurs…

Dire que cette attaque arrive peu de temps après la panne des numéros d’urgence d’Orange où l’entreprise n’était pas responsable (en fait, si, un peu, beaucoup, passionnément, à la folie ?)

Et ce n’est pas comme s’il n’y avait pas eu d’attaques informatiques contre les hôpitaux pendant la crise du Covid (cf. mon billet)

Bref, qualité et numérique semble être le nouvel oxymore du moment.

Mais il y a plus, accrochez-vous donc au pinceau, car je vais subitement enlever l’échelle.

Read More

Ni responsable, ni coupable

No Comments

Les récentes attaques au rançongiciel visant les hôpitaux français auraient dû soulever plusieurs questions. Étonnamment, relativement peu d’entre elles ont été évoquées. Autre point étonnant, alors que la presse s’est largement fait l’écho de ces attaques, le discours du président, les mesures et surtout la stratégie de cyber-protection des dits hôpitaux sont (plutôt) passés à la trappe. Comme si le sujet n’était pas important, comme si soulever ces questions n’était pas important, ou comme si l’important était d’évacuer le sujet à grands coups de millions promis pour les hôpitaux…

Source

Pourtant, le sujet mérite qu’on s’y intéresse, car en paralysant un hôpital, ce sont des patients qui sont priés de… patienter encore un peu plus (au fait, avez-vous remarqué que, lorsque vous arrivez en retard chez le médecin, vous êtes quand même en avance – à de rares exceptions près. Théorème de moi, merci de me citer à chaque fois que vous l’emploierez), et si plusieurs hôpitaux sont paralysés simultanément, alors c’est toute une chaîne de santé qui est vraiment menacée. Ce qui pourrait faire de leur cybersécurité une priorité nationale, mais autrement que dans les seuls discours, ce serait parfait. En passant, la page de l’Élysée ne cite pas le cyber parmi les « grands dossiers du président » (cf. illustration infra). Et nous apprenons à propos des attaques cyber, dans le discours présidentiel, qu’elles peuvent paraître très abstraites, et c’est vrai [qu’elles] ne faisaient pas partir du quotidien de notre pays et dont on parlait peu… Si omnis tacent, non tacebo.

De quoi pourrions-nous alors parler ?

Read More

L’hôpital qui se fout de l’informatique

2 Comments

Rappelle-toi Barbara, il pleuvait sur Rouen ce jour-là… Le 15 novembre 2019, le CHU de Rouen était la cible d’une attaque par rançongiciel.  La presse de l’époque racontait : « 19 h 45, vendredi 15 novembre. Un « cryptovirus », de type rançongiciel selon les informations du Monde, est repéré par les services informatiques de ce CHU réparti sur cinq sites, comptant plus de 10 000 salariés et près de 2 500 lits. Afin d’éviter que le virus ne se propage, l’arrêt de tous les ordinateurs est rapidement décidé. L’hôpital passe alors en mode dit dégradé. Il l’était encore lundi dans la journée. »

Source

Ce n’était pas une première, puisque le 15 mai 2017, l’hôpital d’Issoire faisait l’objet d’une attaque par rançongiciel : « Au premier constat, on a eu vraiment peur. Mais on a rapidement identifié les origines de ce virus arrivé par mail. L’impact est minime. On a perdu très peu de données », affirme Franck Barbeau, responsable informatique à l’hôpital Paul-Ardier. N’oublions pas qu’en 2017, le rançongiciel WannaCry avait semé le chaos dans tout le système britannique de santé, contraignant de multiples établissements à refuser des patients. Sûrement la faute au Brexit, et n’oublions pas que nous avons en France un système de santé que le monde nous envie…

Read More

Cyberattaque mortelle (bis)

No Comments

Comme je l’ai écrit dans mon précédent billet la mort d’une patient à cause d’une cyberattaque était loin d’être prouvée. Notamment parce que le flou qui entourait la chronologie ne laissait pas augurer d’une grande rigueur dans la recherche des faits et des causes de la mort.

C’est maintenant officiel, le lien entre les deux éléments (cyberattaque et décès) n’est pas retenu par la justice allemande : « l’enquête a finalement conclu que ce délai supplémentaire n’a pas joué de « rôle décisif » dans son décès. Les cybercriminels ne peuvent donc pas être poursuivis pour homicide involontaire. » (…) « Le délai n’a pas eu d’importance dans l’issue finale. La situation médicale était l’unique cause du décès », a déclaré le procureur.

Voici donc qui règle l’aspect cyber de l’affaire, sans pour autant légitimer l’attaque.

 

Cyberattaque mortelle ?

No Comments

Il y a environ 2 mois, une cyberattaque visant un hôpital allemand a été qualifiée de première cyberattaque mortelle. La presse s’en est d’ailleurs fait l’écho, mais depuis, plus aucune nouvelle.

Ce qui peut laisser songeur.

Il est vrai que les inondations dans le sud de la France, les attentats, l’actuel psychodrame électoral américain mobilisent davantage, mais nous pouvons nous poser quelques questions cependant :

  • alors que l’événement marque une rupture dans les cyberattaques qui, jusqu’à présent, n’avaient pas causé de morts, pourquoi si peu d’articles à ce sujet ? Les moteurs de recherche sont plutôt avares de références sur le sujet.
  • pourquoi (également) tous les experts de la cyber (plus nombreux que les spécialistes des maladies infectieuses) ne se sont-ils pas emparé, eux aussi, du sujet ?
  • comment se fait-il que les rares articles à en avoir parlé n’ont pas proposé de chronologie afin que nous sachions quel a été l’ordonnancement exact des événements ? La cyberattaque a-t-elle paralysé le bloc opératoire dans lequel la personne venait d’être admise, ou les responsables ont-ils tardé à la transférer une fois le constat de non fonctionnement du bloc fait ?

Ce dernier point est important car dans un cas la responsabilité des médecins n’est pas engagée, mais si l’enquête venait à prouver qu’ils ont trop tardé, ce ne serait plus pareil.

Comme le dirait Balzac, c’est une bien ténébreuse affaire.

Cyber corona

No Comments

Bien que n’ayant pas encore achevé la rédaction de ma thèse (mais cela approche, heureusement !) l’actualité me pousse à rédiger un billet tant qu’il en est temps : espérons que le corona ne s’appesantira pas, et que la vie reprendra son cours paisible.

Source

Ayant été frappé par les similarités entre le monde réel et le monde cyber à l’occasion de cette épidémie, je vous propose d’en faire un petit tour, non exhaustif.

Read More

Categories: Entreprise, Etat, Management, Sécurité Étiquettes : , ,

Hôpital, sécurité et dignité

No Comments

Un récent séjour à l’hôpital s’est révélé concomitant à la publication de ce tweet déplorant la déliquescence de la sécurité informatique à l’hôpital :

Effectivement, lorsqu’on lit ce tweet et qu’on regarde les photos jointes, il y a de quoi être atterré, car la sécurité informatique élémentaire est battue en brèche d’une manière remarquable.

Le moment d’indignation passé (bien sûr que c’est mal, bien sûr qu’en aucun cas je ne ferai jamais cela), il est intéressant de se demander comment on en est arrivé là, si ce constat n’est pas le symptôme d’un mal plus profond interne à l’hôpital, et si cette question de la SSI à l’hôpital peut être réglée uniquement par des mesures techniques.

Read More

Categories: Sécurité Étiquettes : , , ,

Une hirondelle ne fait vraiment pas le printemps

No Comments

C’est le printemps ! Les hirondelles sont de retour et volent (bas).

Cette année, reconnaissons qu’il est spécial : son froid, sa grève des trains, la mise en examen d’un ancien président qui disait (justement) que plus personne ne remarquait les grèves en France, etc., etc.

Source

Tout pareil sur le front de la cyber : « il faut que tout change pour que rien ne change. » Il y a peu, je vous ai compté la mésaventure de Saint-Gobain et de NotPetya. La direction de l’entreprise avait juré que, dorénavant, il y aurait un avant et un après NotPetya. J’étais un peu sceptique, car on nous a déjà asséné un avant et un après Stuxnet, Wannacry, TV5Monde, etc., etc.

Mais Saint-Gobain a fait ce qu’elle a dit. Il y aura pour elle un avant et un après, car depuis ils cherchent un responsable sécurité / sûreté. Intéressant. Bonne réaction ! En uoi consiste ce poste ?

Read More

TV5 Monde, retour sur l’incident

No Comments

L’attaque de TV5 Monde a fait couler beaucoup d’encre (et encore plus de salive) à propos du cyberterrorisme, dont on attend encore les premières manifestations (voir mon billet précédent). À l’image de l’entrée Colonies dans le dictionnaire des idées reçues de Flaubert, dès que le sujet TV5 était abordé, tout le monde devait s’affliger quand on en parle…

De plus, à part celle cataclysmique du président de la chaîne, peu de communications avaient porté sur cette attaque, ses caractéristiques, ses causes, ses conséquences. Récemment, l’ANSSI a rompu ce silence (en juin 2017 au SSTIC) pour présenter son action de réparation des dommages chez TV5. Si l’on peut rester circonspect quant aux justifications de la participation de l’ANSSI au sauvetage de la chaîne de télévision (« Un média est, dans une certaine mesure, un opérateur d’importance vitale dans une démocratie », justifie Guillaume Poupard), le retex est intéressant.

La vidéo de ce retex est disponible ici, et ce billet a pour objectif d’en rendre compte. Les chiffres entre parenthèses indiquent les passages de la vidéo à l’appui de mes commentaires, et les images sont des captures d’écran de la vidéo de l’ANSSI.

Read More