On pourrait aussi penser que ce titre est redondant entre la COVID et les virus. Sauf qu’ici, on ne parle pas des mêmes virus. On parle des virus diffusés par ces “brutes” (reste à trouver le “bon” et le « truand ») qui ont profité de cette période de crise pour inonder les hôpitaux d’un autre genre de virus, des rançongiciels2 (et bien le voilà donc le “truand”…), ou bien pour provoquer des attaques par déni de service.
Il y a hacker et hacker.
Il y a celui pour qui j’ai du respect car c’est un génie, et il y a l’autre, innommable, celui que je méprise car il profite d’une période de crise mortelle – sans jeu de mot – pour tenter de tuer les organismes qui nous sauvent.
Envoyer un ransomware ransomware à un hôpital, c’est comme leur lancer une bombe.
Envoyer un ransomware à un hôpital, c’est comme lancer des pierres sur les pompiers.
Provoquer une attaque par déni de service, c’est paralyser toute l’activité.
Comment ne pas être indigné devant l’innommable attaque de l’ AH-HP3 par déni de service en mars dernier. A quoi pense ces cybercriminels au moment d’agir ? L’AP-HP regroupe plus de 30 établissements et se situe en Ile de France, l’une des régions françaises les plus touchées par le virus (… Pardon, par la COVID-19… entre virus et virus, on ne sait plus de quoi on parle). Imaginez : plus de 30 établissements hospitaliers, dans une région extrêmement fragilisée par un virus mortel. Mais à quoi pensent-ils ? Quelle est leur volonté ?
Souvent, la cybersécurité est vue par les entreprises comme un poste de coût. Les RSSI4 comme des empêcheurs de tourner en rond. Les délégués à la protection des données comme des enquiquineurs qui n’ont que le (gros) mot RGPD à la bouche.
Et pourtant ! Sans la cybersécurité, sans la protection des données, ce serait le chaos, avec des morts à la clé. Le RSSI met en place des politiques de sécurité, protège les informations – les actifs, des entreprises. Le délégué à la protection des données conseille le responsable de traitement concernant les données à caractère personnel.
Imaginez une seconde un monde sans protection des données à caractère personnel. C’est un peu comme si on mélangeait les données de santé de tout le monde dans un hôpital, et qu’on ne parvienne plus alors à déterminer qui doit prendre tel traitement, qui doit être amputé de la jambe gauche ou opéré d’un œil. Ce serait se réveiller avec une drôle de surprise…
Dans ce contexte, j’ai un peu de mal à saisir les : “Le RSSI me met toujours des bâtons dans les roues”, “Le DPD est toujours dans mes pattes mais franchement la CNIL ne viendra jamais vérifier”…
Réveillons-nous ! Nous avons tous besoin de sécurité, de cybersécurité, de protection, de protection de nos données – qu’elles soient personnelles ou d’entreprise.
Ce n’est pas quand l’incendie a tout ravagé qu’il faut penser à la prévention et à la sensibilisation.
Fort heureusement, dans l’exemple de l’AP-HP : la « cybercrise » a été bien prise en charge. L’ANSSI5 et le Ministère des solidarités et de la santé ont été mobilisés pour la maitriser. Récemment, le FSSI6 du ministère des solidarités et de la santé a même chaleureusement et publiquement remercié « les bons », ceux qui ont œuvré à la résolution de ce problème d’une extrême gravité et d’une importance cruciale pour notre système de soins.
Les hôpitaux ne sont pas les seuls dans la ligne de mire. Entreprises, particuliers, tout est bon pour ces “brutes”. Les attaques se sont multipliées pendant cette période de pandémie, surfant sur la vague du mot “COVID” ou “CORONAVIRUS”. Il y a eu des campagnes de phishing7, de spearphishing8, grâce à des documents parlant de ce virus. Tout le monde est concerné. Et vous… avez-vous mis en place votre cybersécurité ? Y a-t-il un « bon » autour de vous, quelqu’un de confiance qui vous aide dans ces missions essentielles ?
1Et oui, on dit “LA” et non pas “LE” COVID , a dit l’Académie Française http://www.academie-francaise.fr/le-covid-19-ou-la-covid-19
2Ransomware pour les anglophones
3Assistance publique hôpitaux de Paris [1]
4Responsable de la sécurité des systèmes d’information
5Agence nationale de sécurité des systèmes d’information
6Fonctionnaire de sécurité des système d’information
7Hameçonnage
8Hameçonnage ciblé