La COVID1, les hôpitaux et les virus.

Cela pourrait être le titre d’un film, du genre “Le bon, la brute et le truand”.

On pourrait aussi penser que ce titre est redondant entre la COVID et les virus. Sauf qu’ici, on ne parle pas des mêmes virus. On parle des virus diffusés par ces “brutes” (reste à trouver le “bon” et le « truand ») qui ont profité de cette période de crise pour inonder les hôpitaux d’un autre genre de virus, des rançongiciels² (et bien le voilà donc le “truand”…), ou bien pour provoquer des attaques par déni de service.

Il y a hacker et hacker.

Il y a celui pour qui j’ai du respect car c’est un génie, et il y a l’autre, innommable, celui que je méprise car il profite d’une période de crise mortelle – sans jeu de mot – pour tenter de tuer les organismes qui nous sauvent.

Envoyer un ransomware ransomware à un hôpital, c’est comme leur lancer une bombe.

Envoyer un ransomware à un hôpital, c’est comme lancer des pierres sur les pompiers.

Provoquer une attaque par déni de service, c’est paralyser toute l’activité.

Comment ne pas être indigné devant l’innommable attaque de l’ AH-HP³ par déni de service en mars dernier. A quoi pense ces cybercriminels au moment d’agir ? L’AP-HP regroupe plus de 30 établissements et se situe en Ile de France, l’une des régions françaises les plus touchées par le virus (… Pardon, par la COVID-19… entre virus et virus, on ne sait plus de quoi on parle). Imaginez : plus de 30 établissements hospitaliers, dans une région extrêmement fragilisée par un virus mortel. Mais à quoi pensent-ils ? Quelle est leur volonté ? 

Souvent, la cybersécurité est vue par les entreprises comme un poste de coût. Les RSSI⁴ comme des empêcheurs de tourner en rond. Les délégués à la protection des données comme des enquiquineurs qui n’ont que le (gros) mot RGPD à la bouche.

Et pourtant ! Sans la cybersécurité, sans la protection des données, ce serait le chaos, avec des morts à la clé. Le RSSI met en place des politiques de sécurité, protège les informations – les actifs, des entreprises. Le délégué à la protection des données conseille le responsable de traitement concernant les données à caractère personnel.

Imaginez une seconde un monde sans protection des données à caractère personnel. C’est un peu comme si on mélangeait les données de santé de tout le monde dans un hôpital, et qu’on ne parvienne plus alors à déterminer qui doit prendre tel traitement, qui doit être amputé de la jambe gauche ou opéré d’un œil. Ce serait se réveiller avec une drôle de surprise…

Dans ce contexte, j’ai un peu de mal à saisir les : “Le RSSI me met toujours des bâtons dans les roues”, “Le DPD est toujours dans mes pattes mais franchement la CNIL ne viendra jamais vérifier”…

Réveillons-nous ! Nous avons tous besoin de sécurité, de cybersécurité, de protection, de protection de nos données – qu’elles soient personnelles ou d’entreprise.

Ce n’est pas quand l’incendie a tout ravagé qu’il faut penser à la prévention et à la sensibilisation.

Fort heureusement, dans l’exemple de l’AP-HP : la « cybercrise » a été bien prise en charge. L’ANSSI⁵ et le Ministère des solidarités et de la santé ont été mobilisés pour la maitriser. Récemment, le FSSI⁶ du ministère des solidarités et de la santé a même chaleureusement et publiquement remercié « les bons », ceux qui ont œuvré à la résolution de ce problème d’une extrême gravité et d’une importance cruciale pour notre système de soins.

Les hôpitaux ne sont pas les seuls dans la ligne de mire. Entreprises, particuliers, tout est bon pour ces “brutes”. Les attaques se sont multipliées pendant cette période de pandémie, surfant sur la vague du mot “COVID” ou “CORONAVIRUS”. Il y a eu des campagnes de phishing⁷, de spearphishing⁸, grâce à des documents parlant de ce virus. Tout le monde est concerné. Et vous… avez-vous mis en place votre cybersécurité ? Y a-t-il un « bon » autour de vous, quelqu’un de confiance qui vous aide dans ces missions essentielles ?