Ni responsable, ni coupable

No Comments

Les récentes attaques au rançongiciel visant les hôpitaux français auraient dû soulever plusieurs questions. Étonnamment, relativement peu d’entre elles ont été évoquées. Autre point étonnant, alors que la presse s’est largement fait l’écho de ces attaques, le discours du président, les mesures et surtout la stratégie de cyber-protection des dits hôpitaux sont (plutôt) passés à la trappe. Comme si le sujet n’était pas important, comme si soulever ces questions n’était pas important, ou comme si l’important était d’évacuer le sujet à grands coups de millions promis pour les hôpitaux…

Source

Pourtant, le sujet mérite qu’on s’y intéresse, car en paralysant un hôpital, ce sont des patients qui sont priés de… patienter encore un peu plus (au fait, avez-vous remarqué que, lorsque vous arrivez en retard chez le médecin, vous êtes quand même en avance – à de rares exceptions près. Théorème de moi, merci de me citer à chaque fois que vous l’emploierez), et si plusieurs hôpitaux sont paralysés simultanément, alors c’est toute une chaîne de santé qui est vraiment menacée. Ce qui pourrait faire de leur cybersécurité une priorité nationale, mais autrement que dans les seuls discours, ce serait parfait. En passant, la page de l’Élysée ne cite pas le cyber parmi les « grands dossiers du président » (cf. illustration infra). Et nous apprenons à propos des attaques cyber, dans le discours présidentiel, qu’elles peuvent paraître très abstraites, et c’est vrai [qu’elles] ne faisaient pas partir du quotidien de notre pays et dont on parlait peu… Si omnis tacent, non tacebo.

De quoi pourrions-nous alors parler ?

Read More

L’hôpital qui se fout de l’informatique

2 Comments

Rappelle-toi Barbara, il pleuvait sur Rouen ce jour-là… Le 15 novembre 2019, le CHU de Rouen était la cible d’une attaque par rançongiciel.  La presse de l’époque racontait : « 19 h 45, vendredi 15 novembre. Un « cryptovirus », de type rançongiciel selon les informations du Monde, est repéré par les services informatiques de ce CHU réparti sur cinq sites, comptant plus de 10 000 salariés et près de 2 500 lits. Afin d’éviter que le virus ne se propage, l’arrêt de tous les ordinateurs est rapidement décidé. L’hôpital passe alors en mode dit dégradé. Il l’était encore lundi dans la journée. »

Source

Ce n’était pas une première, puisque le 15 mai 2017, l’hôpital d’Issoire faisait l’objet d’une attaque par rançongiciel : « Au premier constat, on a eu vraiment peur. Mais on a rapidement identifié les origines de ce virus arrivé par mail. L’impact est minime. On a perdu très peu de données », affirme Franck Barbeau, responsable informatique à l’hôpital Paul-Ardier. N’oublions pas qu’en 2017, le rançongiciel WannaCry avait semé le chaos dans tout le système britannique de santé, contraignant de multiples établissements à refuser des patients. Sûrement la faute au Brexit, et n’oublions pas que nous avons en France un système de santé que le monde nous envie…

Read More

Dévoiement de l’informatique de production

No Comments

Un excellent livre paru il y a (déjà!) 4 ans expliquait que la puissance informatique industrielle pouvait être dévoyée, en étant notamment utilisée par des pirates qui y voyaient une source de calculs largement sous-employée. D’où l’impérieuse nécessité de protéger l’accès à ces ressources informatiques, afin d’éviter qu’elles servent, entre autres, à héberger des contenus illégaux.

Source

Le problème est que la puissance informatique industrielle est importante, souvent supérieure à celle de la gestion, mais qu’elle est peu surveillée par les RSSI pour des raisons que vous trouverez exposées dans ce même ouvrage.

Ce qui était à prévoir est, hélas, en train de se réaliser, car il semble bien que des pirates (forcément russes, ils ne peuvent venir d’ailleurs) s’en sont rendu compte.

Read More

Quelques leçons de Saint Gobain

No Comments

Après un billet sur la situation plutôt critique de l’hôpital, un autre sur la situation critique des entreprises qui peut renvoyer à (encore) un autre billet traitant de l’apprentissage à partir de ses erreurs lequel évoquait déjà NotPetya.

L’année dernière, j’avais écrit un billet sur TV5 monde. Cette année, passons à une entreprise privée. Comme d’autres, Saint-Gobain a été touchée par NotPetya, mais l’entreprise n’a pas occulté le problème, elle l’a affronté et nous en propose un retex.

Source

Le retex est toujours une affaire difficile, car reconnaître avoir été victime d’une attaque revient à (potentiellement) altérer son image de marque. Pourtant, certaines entreprises telles Saint-Gobain communiquent, et il est utile de les écouter pour connaître l’enchaînement des faits, les vulnérabilités exploitées, mais aussi les failles dans l’organisation. Car beaucoup pensent que la sécurité informatique est une affaire purement technique, alors que l’organisation est également importante.

Mais une bonne technique mal organisée ne donnera que des résultats médiocres…

Read More

La santé malade de son informatique

No Comments

Wannacry et NotPetya ont été des cyberattaques réussies, notamment du point de vue médiatique. Passé l’engouement des journalistes en mal de sensationnel, que reste-t-il de concret, quelles leçons ont été tirées de ces affaires ?

Le retex est toujours une affaire difficile, car reconnaître avoir été victime d’une attaque revient à (potentiellement) altérer son image de marque. Pourtant, certaines entreprises communiquent, et il est utile de les écouter pour connaître l’enchaînement des faits ou les vulnérabilités exploitées. C’est peut-être pour cela qu’on ne parle jamais des problèmes informatiques dans le monde de la santé en France, car, n’oublions pas que le monde entier nous envie notre système de soins (donc son informatique avec).

Source

L’année dernière, j’avais écrit un billet sur TV5 monde. Cette année, il me semble intéressant d’évoquer le secteur médical, dont l’informatique fait rarement la une de l’actualité. Mais, la France étant protégée par la jurisprudence Tchernobyl (tout ce qui est mauvais pour notre santé s’arrête à nos frontières), ce qui est arrivé aux britanniques ne risque pas de nous arriver.

Bien sûr que non !

Read More

Pistes pour la numérisation de l’État

No Comments

L’État a décidé de lancer sa numérisation. Son exemple et modèle est l’Estonie, dont j’ai déjà dit le plus grand bien par ailleurs.

Ne négligeons cependant pas tout le travail qui reste à accomplir, tant dans la numérisation à proprement parler, qu’en ce qui concerne les fichiers de sécurité (sujet à peine esquissé ici).

Source

Ne boudons pas pour autant notre plaisir, voici un gouvernement qui parle de numériser ses services. Alors, pour faire avancer les choses, voici ma modeste contribution à sa réflexion.

Read More

Apprendre de ses erreurs

No Comments

Ces derniers temps, NotPetya a fait couler beaucoup d’encre. Mais les analyses pertinentes ne sont pas légion, ce qui est un peu désolant, car cela montre qu’au-delà du sensationnel, tous les neurones semblent anesthésiés lorsqu’il s’agit d’analyser des faits cyber.

Heureusement, un article de Libération fournit des éléments d’appréciation intéressants. Ou décourageants, c’est selon, tant il est vrai qu’apprendre de ses erreurs est difficile, y compris en matière cyber.

Source

Il parait qu’il y a eu un avant Struxnet et un après Stuxnet. Un avant TV5 Monde et un après TV5 Monde. Un avant *** et un après *** (que chacun substitue aux étoiles ce qu’il veut).

En fait on se rend compte qu’il n’y a d’avant incident et d’après incident au mieux que pour ceux qui l’ont vécu. Et encore. Souvenons-nous des mots de passe de TV5 Monde affichés en direct à la télé, quelques temps après l’attaque « sans précédents », forcément.

Read More

Faiblesse des trains

No Comments

Le train est un moyen de transport écologique et commode, principalement lorsqu’il ne tombe pas en panne ou que les cheminots ne font pas grève, ce dernier point étant, semble-t-il bien gaulois.

Foin de management aujourd’hui, nous allons parler de trains, non pas de ceux qui n’arrivent pas à l’heure, c’est d’une banalité phénoménale, mais plutôt de ceux qui ne partent pas du tout ou qui s’arrêtent en pleine voie, c’est plus original.

Les explications peuvent être très variables, comme l’indique le tweet (réel) ci-dessus.

Parfois, c’est (un peu) plus grave.

Read More

L’inexistence du cyberterrorisme

No Comments

J’avoue que le titre peut sembler provocateur, à une époque où l’on ne cesse de nous expliquer que le Calife est un adepte du terrorisme en tout genre (donc implicitement du cyberterrorisme) et qu’il faut lutter contre le phénomène. TV5 aurait d’ailleurs subi ses foudres. (Et en porterait encore les stigmates ?). Face à cette menace, la détermination doit être sans faille et la mobilisation générale.

Source

On peut cependant être circonspect (comme on l’est face à une « fake news » ?) devant cette unanimité de façade, car peu nombreux sont ceux qui expliquent clairement ce qu’est le cyberterrorisme. Le plus étonnant est que, outre sa définition parfois stupéfiante, ce que l’on présente comme ses manifestations le sont tout autant.

Cependant, quelques éléments peuvent expliquer pourquoi le cyberterrorisme est toujours dans un « entre-deux ».

Read More