La sensibilisation à la sécurité informatique ne sert à rien – DSIH

XtremWebSite
Réalisation site web - Référencement

L’actualité des systèmes d’information hospitaliers et de la e-santé
17/08/2022 – 20 millions pour créer la carte Vitale biométrique
16/08/2022 – Deux concertations estivales proposées par l’ANS
16/08/2022 – Retour sur la phase 2 du programme SUN-ES en Île-de-France
16/08/2022 – Quand le niveau technique monte, les attaquants se recentrent sur les utilisateurs !
09/08/2022 – La sensibilisation à la sécurité numérique : toujours aussi nécessaire en 2022 ?
04/08/2022 – La mise en place de « référents logiciels » comme première étape d’une mutation des DSI hospitalières
05/07/2022 – Entretien avec Christian Fillatreau, Président d’Alliance pour l’Innovation en Santé (ALLIS – NA) et coordonnateur innovation santé du Resah
27/06/2022 – Entretien avec Francis Mambrini, Président de la Fédération des Editeurs d'Informatique Médicale & Paramédicale Ambulatoire (FEIMA)
17/05/2022 – Entretien avec Frederick Marie, Directeur du Centre Hospitalier Mémorial France-Etats-Unis de Saint-Lô et du Centre Hospitalier de proximité de Coutances
DSIH 36 Quand l’hôpital se penche sur la sobriété numérique

DSIH 35 : GHT, convergence à l’approche

DSIH 34, Ségur, les grands petits pas du numérique

DSIH 33, E-parcours 2021, une année charnière

DSIH 32 : Hop’en, l’atout qualité des systèmes d’information ?

DSIH 31 : La e-santé à l’heure de la mondialisation

27/01/2022 : Le DMP, une composante essentielle de Mon Espace Santé
09/12/2021 : Le Ségur du Numérique, une opportunité pour moderniser les SI en imagerie médicale
02/12/2021 : Et si l’approche plateforme pouvait décloisonner plus vite le système de santé dans les territoires ?
25/11/2021 : Dématérialiser et gérer le consentement patient
28/10/2021 : Un hébergement de données toujours plus performant avec Enovacom et AWS
21/10/2021 : Comment se protéger efficacement des cyberattaques ?
Vous souhaitez en savoir plus sur l’organisation des webinaires ? Contactez -nous
Formation Enjeux et Méthodes du Schéma Directeur Système d’InformationFormation Enjeux et Méthodes du Schéma Directeur Système d’Information

Formation e-Learning ISO/CEI 27001 Lead Auditor

Formation ISO/IEC 27001 Lead Implementer
InterSystems éditeur de logiciels novateurs dans le domaine de la Santé pour le développement rapide les bases de données et l’intégration d’applicationsInterSystems éditeur de logiciels novateurs dans le domaine de la Santé pour le développement rapide les bases de données et l’intégration d’applications

TimeWiseTimeWise

VIDALVIDAL

Toutes les formations Contactez-nous
Voir l’annuaire DSIH Ajoutez votre site
Vous êtes dans : Accueil > Tribunes libres >
Je n’avais pas encore atteint mon quota de poil à gratter cette semaine – j’ai des objectifs hebdomadaires moi môssieur, pas le temps de rigoler, que croyez-vous ? – et je me suis dit que mettre bien franchou les pieds dans le plat de lentilles à propos des habituels lieux communs me permettrait d’exploser les objectifs.
« L’informatique est le problème, l’humain est la solution », « L’utilisateur est le dernier rempart », « L’humain au cœur de la sécurité », voire mon préféré « L’humain maillon fort de la cyber » : en matière de poncifs, il y en a pour tous les goûts, manifestement conçus la plupart du temps par le stagiaire en marketing (voire de 3e). Et blablabla et blablabla. Sauf que tout cela, c’est du flan, bernique et gloubi-boulga en sauce. Voici pourquoi.
Récemment, j’ai participé à une rencontre entre confrères, et le sujet de la sensibilisation était à l’ordre du jour de la petite sauterie. On n’avait pas perdu trop de temps sur le volet enfumage susnommé que l’un de nous sort tout de go : le problème des campagnes de phishing n’est pas tellement le taux de hit (comprendre : le nombre de salariés qui se sont fait prendre comme des bleus à cliquer sur le lien sur lequel il ne fallait pas ou ouvrir la pièce jointe de test) que de savoir comment l’interpréter. Et de développer : si on lance une campagne de phishing incitant à cliquer sur le lien qui permet de faire un don à la petite Marie qui attend sa greffe de moelle osseuse (un grand classique d’il y a quelques années), le taux de hit (assez faible dans ce cas) ne renseigne en rien sur le taux de hit d’une autre campagne de phishing, par exemple cliquer sur le lien pour le bon cadeau à la Fnac pour les fêtes (curieusement quand il s’agit de gagner des sous, on clique plus souvent que quand il s’agit d’en donner). Bref, à moins de faire des campagnes de phishing à longueur de temps et de stresser à fond tous les agents de la boîte (pas sûr que le DRH vous laisse faire longtemps du reste), un test de phishing n’est jamais représentatif du phishing en général, mais juste du thème mentionné dans le mail. Je ne résiste d’ailleurs pas au plaisir de vous mentionner le test auquel un autre participant s’est livré. Il s’agissait d’envoyer à toute la DSI (90 % de gars) un mail intitulé « Boobs – tu ne vas pas en croire tes yeux », avec un lien vers des photos supposées prometteuses. Mon tact proverbial et ma retenue légendaire m’interdisent de vous communiquer le taux de hit, qu’il vous suffise de savoir qu’il est considérablement plus élevé que celui de la petite Marie – on est hyperétonnés, non ?
On pourra toujours argumenter que faire de la sensibilisation vaudra toujours mieux que de ne rien faire (dixit les fournisseurs de solutions, les mêmes qui prétendent mettre « l’humain au centre de la cyber », on a hyperconfiance), sauf que ce raisonnement souffre de deux tares. La première, c’est qu’il suffit d’un seul clic au sein d’une entreprise de 10 000 agents pour tout cryptolocker : en d’autres termes, si la sensibilisation ne touche pas 100 % du personnel, c’est comme si rien n’avait été fait. Et la seconde, c’est que toute affirmation doit être prouvée, sans quoi elle est nulle : pour démontrer que la sensibilisation fonctionne, il faudrait conduire un protocole de recherche précis avec des groupes de test, des tests en double aveugle et tout le tralala (sans même parler de l’impact avéré de la tare précédente). À ma connaissance, cela n’a jamais été fait, et pour cause.
Le dernier truc à la mode, ce sont les escape games. C’est trendy, c’est hype. Il s’agit de mettre 10 ou 12 gugusses dans une pièce et de les faire jouer à une sorte de jeu de rôle plus ou moins sophistiqué avec tous les codes des parties de Donjons et Dragons des années 1980 : les gadgets, le maître de jeu, les événements qui surviennent en cours de partie. Si vous avez tout plein de sous, certains prestataires mettent même à disposition des locaux avec tout le décorum : pièces décorées, écrans avec des chiffres 0 et 1 qui défilent comme dans Matrix (authentique) et même les types en capuche pour effrayer la donzelle, mais c’est en option. C’est trendy, c’est hype, et c’est idiot : par fournées de 12 personnes, il va falloir combien de temps pour sensibiliser tout le personnel d’un GHT, y compris les VIP, y compris les médecins, les soignants, la DSI ? Sans compter qu’il faut mettre tout ce beau monde pendant 2 ou 3 heures, voire plus, dans une pièce – c’est vrai qu’on n’est pas du tout en tension RH dans les hôpitaux en ce moment[1]. Bref, cela peut être utile, mais pour quel type de population ? Quelle étude a été réalisée pour mesurer l’impact des escape games selon le type d’utilisateur ? Quelle est leur efficacité ?
La vérité, c’est que la sensibilisation à la SSI est nécessaire : ce billet n’a pour objectif que de soulever les questions en suspens. Mais la maturité globale des acteurs du marché (fournisseurs de solutions logicielles ou prestations, entre autres mais pas que, cela fait vivre du monde) se situe entre le Précambien supérieur et le Phanérozoïque inférieur. Injecter à fonds perdu des sous dans une activité dont on est incapable d’estimer l’efficacité, mais qui raisonne encore de la sorte au xxie siècle ? Qui a encore le toupet d’aller vendre un machin supposé réduire un risque sans être capable d’en quantifier la diminution, même à la grosse louche ? Vendre à son boss une formation SSI à 12 000 agents de deux heures par personne (24 000 heures de travail en remplacement à reconduire a minima tous les trois ans, je vous laisse faire le calcul de la facture finale, sans même parler du logiciel très cher qu’on va me refourguer), faut être très motivé. Le seul intérêt remonté par ceux qui ont testé, c’est que les utilisateurs sont plus enclins à signaler un message suspect à la DSI –, mais pas tous les utilisateurs, et c’est bien le problème, on en revient toujours à la notion d’évaluation.
Le champ de la sensibilisation ne sortira de cette situation (qui finira par lui retomber dessus quand certains décideurs interrogeront l’efficacité des sommes mobilisées) qu’aux conditions suivantes, certainement pas exhaustives :
Mais bon, faites quand même un peu de sensibilisation. Si vous avez un gros pépin, on vous reprochera de n’en avoir pas fait : c’est son seul intérêt démontré.
[1] Attention, les simulations de gestion de crise SI sont elles, par contre, tout à fait indispensables mais ne s’adressent pas aux mêmes personnes et ne traitent pas les mêmes thèmes.
##sécurité#hit#dsi#logiciel#rssi#ssi#formation
Les plus lus
Special Partner
84 Avenue de la République
75011 Paris
+33 (0) 299 462 443
Publicité
[email protected]
Rédaction
[email protected]

source

Nous vous proposons de l'information

Xtremwebsite réalisation de site web avec ou sans engagement.

Articles récents

Suivez-nous

Vous voulez plus d'infos

Indiquer votre email 

google partner xtremwebsite
google adsence xtremwebsite
google analytics xtremwebsite
google-mybusiness xtremwebsite

Tout d’abord la page est mise en ligne à des fins d’information du public et en vue d’informer les clients. Par ailleurs elle est régulièrement mise à jour, dans la mesure du possible.
Néanmoins en raison de l’évolution permanente de la législation en vigueur, nous ne pouvons toutefois pas garantir son application actuelle. Nous vous invitons toutefois à nous interroger pour toute question ou problème concernant le thème évoqué au 07 81 19 33 22. Cependant en aucun cas Xtremwebsite ne pourra être tenu responsable de l’inexactitude et de l’obsolescence des articles du site.  xtremwebsite cout site internet création site internet  site internet pour avocat  création site vitrine {service} à {ville(Ville)}< /span>