Cet article fait d’ailleurs écho (pour ce qui me concerne) aux nombreuses fois ou j’ai été interviewé par des journalistes de la presse généraliste ou spécialisée, interviews pendant lesquelles on voulait absolument me faire dire que (du point de vue cyber) les pires réfractaires étaient les médecins, les chercheurs, la direction générale, les urgentistes, les enseignants, les juristes, le DIM et j’en passe. Je suis certain que si l’on demande à ChatGPT de nous lister les pires méchants de l’histoire en screenant le Web et les articles du même tonneau, on retrouvera certainement (à force d’encombrer le Web de telles inepties) dans le Top Ten l’un de ceux-là, aux côtés des assureurs, des traders et des cannibales.
La réalité est malheureusement beaucoup plus terre à terre et s’appuie sur les constatations suivantes :
– jusqu’à preuve du contraire, si un individu est parvenu à un poste de direction, c’est qu’il (elle) est tout sauf bête ;
– jusqu’à preuve du contraire, les top managers reçoivent des centaines de sollicitations par jour de personnes d’origine métier multiple venant leur expliquer que l’Armageddon est proche ;
– jusqu’à preuve du contraire, sur un sujet aussi techniquement pointu que la cyber, il faut être hyperpédagogue ;
– et une dernière fois jusqu’à preuve du contraire, la direction générale est seule propriétaire des risques (y compris cyber) de l’entreprise pour autant qu’elle en ait été dûment informée.
À partir de là, on ne trahit aucun secret professionnel en affirmant qu’il faut rencontrer de temps en temps sa direction générale (cela tombe bien, il y a des indicateurs et des textes pour cela), rendre la technique accessible (on ne parle pas de chiffrement homomorphique à une DG), intégrer dans son discours une vision stratégique (et ce n’est pas la partie que les experts techniques maîtrisent le mieux)… et se rappeler qu’au final, même si un manager clique sur toutes les pièces jointes pourries dans sa messagerie alors qu’il a été informé que ce n’était pas une bonne pratique, il en reste le seul comptable au regard des risques.
Et n’en déplaise à certains, les pires ennemis du RSSI ne se trouvent ni au sein des DG (qui ont survécu à deux ans de crise pandémique et les hôpitaux sont toujours debout), ni chez les médecins/urgentistes (heureusement qu’on les a ceux-là, y compris pour la cyber), ni chez les chercheurs (dont les besoins spécifiques doivent être adressés, sinon faut pas venir se plaindre qu’ils contournent). Non, les pires ennemis sont au sein même de certaines DSI, où l’on trouve certainement les pires réfractaires à la cyber, au changement, voire même au respect des règles sanitaires cyber de base. Que je sache, ce n’est pas une DG qui a collé un mot de passe de quatre caractères sur un compte admin de domaine, des règles any to any pour des flux entrants sur le firewall ou des partages en contrôle total sur l’AD.
On connaît les ressorts d’un tel comportement : ils sont multiples mais, entre autres, il y a le « je mets un mot de passe admin pourri mais on est en test, on modifiera avant de passer en prod », qui devient « on est en prod, mince ! on n’a pas pensé à changer le mot de passe admin pourri », pour finir par « on ne peut plus changer le mot de passe admin, y a des adhérences qu’on ne maîtrise pas ». Et là, c’est la faute de la DG peut-être ?
Fin du débat.
[1] https://www.itforbusiness.fr/dsi-et-rssi-vos-dirigeants-sont-vos-pires-ennemis-68594
L'auteur
Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.