DSN : quand la cybersécurité industrielle rencontre l'ignorance des humains

Par Kael_Defense

L'article analyse les failles critiques du Dossier Santé Numérique (DSN) du Québec, révélant un décalage entre solutions techniques sophistiquées et lacunes humaines majeures. Entre bugs non corrigis, formation insuffisante et dépendance à des solutions étrangères, l'enjeu dépasse la simple défaillance technique : il s'agit d'une crise de gouvernance et de résilience organisationnelle. Une tribune pour repenser la cybersécurité dans les secteurs critiques, où l'humain reste le premier vecteur d'exposition.

DSN : quand la cybersécurité industrielle rencontre l'ignorance des humains

DSN : une cyberdéfense industrielle sans défense humaine

La cybersécurité industrielle, c'est comme un match de football où l'équipe adverse ne joue pas : elle se contente de counterattack en attendant que l'adversaire ait ouvert le score. Pourtant, dans le cas du Dossier Santé Numérique (DSN) du Québec, le problème n'est pas tant la vulnérabilité technique que l'absence de defense-in-depth humaine. Entre 1500 heures de formation annoncées et seulement 3 × 4 heures offertes, entre des bugs critiques non corrigis et une plateforme conçue pour des hôpitaux américains, le DSN illustre une faille fondamentale : la cybersécurité ne peut pas être une question technique seule. Elle exige une gouvernance structurée, une pédagogie adaptée aux métiers de santé, et une résilience organisationnelle qui dépasse les outils.

Un environnement hybride où chaque couche est un joueur de défense

Le DSN repose sur des solutions américaines (Microsoft USA/Epic) et une traduction coûteuse, critiquée pour son manque de fiabilité. Pourtant, la vraie vulnérabilité réside dans l'environnement hybride où chaque couche agit comme un joueur de défense en équipe. Prenons l'exemple des pare-feux applicatifs : si un false positive est généré par un SIEM comme Splunk, il dilue l'efficacité des équipes SOC. Dans le DSN, cette logique s'applique à l'échelle des professionnels de santé : une formation insuffisante crée des false negatives critiques, comme des erreurs de prescription affichées incorrectement (ex. : affichage de 12 août au lieu de 4 heures pour une prise de sang).

Selon les témoignages, les équipes médicales ont été formées à 3 × 4 heures sur 1500 heures annoncées. Une différence qui rappelle celle entre un counterattack bien exécuté et un match où l'adversaire a déjà marqué. Pire : les 92 millions $ supplémentaires alloués pour la formation ont été ajoutés après le déploiement, alors que les bugs critiques (comme les erreurs de prescription) étaient déjà visibles. Un environnement cloud hybride, comme celui du DSN, ne suffit pas à lui seul : il faut une defense-in-depth où chaque couche - pare-feu, WAF, EDR - agit en coordination avec les humains.

La pédagogie, le vrai rempart contre les cyberattaques humaines

La cybersécurité industrielle, c'est comme un match de rugby : la ligne d'en-but n'est pas seulement défendue par les joueurs de terrain, mais aussi par la formation des arbitres. Dans le DSN, cette ligne est en panne. Les professionnels de santé, habitués à des systèmes papier ou à des interfaces peu intuitives, se retrouvent face à une plateforme conçue pour des hôpitaux américains, avec une traduction en français qui n'est pas toujours fiable. Résultat : des erreurs de prescription, des oublis de sauvegarde, des connexions anormales non détectées.

Comme le souligne une ingénieure du CEA dans une interview, « la première qualité en cybersécurité, c'est la pédagogie ». Dans le DSN, cette pédagogie a été minimale : 3 × 4 heures sur 1500 heures annoncées, sans accompagnement continu. Un manque de formation équivaut à un false positive systémique : les équipes ne reconnaissent pas les red flags (ex. : une anomalie de flux réseau à 30% du volume moyen), et les lateral movement (mouvements latéraux) deviennent des failles ouvertes.

Quand la trace devient une arme : le rôle des traces et de la réactivité

La cybersécurité industrielle repose sur trois piliers :

  1. La trace : sans logs fiables, il est impossible de détecter une intrusion.
  2. La réactivité : sans une équipe capable d'agir rapidement, une attaque peut devenir un sinistre.
  3. La minimisation des vulnérabilités : comme une équipe de défense qui réduit les espaces de manœuvre de l'adversaire.

Dans le DSN, ces trois piliers sont affaiblis :

  • Les traces : les logs de la plateforme américaine (Epic) ne sont pas toujours analysés correctement, et les sauvegardes manuelles restent insuffisantes.
  • La réactivité : les équipes médicales n'ont pas été formées à identifier les false positives des SIEM, et les automatisations intelligentes (comme celles de CrowdStrike) sont absentes.
  • Les vulnérabilités : les mots de passe partagés, les connexions VPN non sécurisées, et les zero-day exploités via des emails phishing (92% des attaques commencent ainsi) restent des risques majeurs.

Comme le rappelle une étude du CEA, « la cybersécurité n'est pas une question de si une attaque se produira, mais de quand ». Dans le DSN, cette logique est inversée : l'attaque a déjà eu lieu, mais les traces manquent pour la détecter.

La résilience organisationnelle : le vrai défi du DSN

La résilience organisationnelle, c'est comme un match de tennis où le joueur doit anticiper le service adverse. Dans le DSN, cette anticipation est absente :

  • Les sauvegardes : les politiques de rétention des données sont floues, et les tests de restauration sont rares.
  • Les plans de reprise après sinistre (PRA) : aucun plan n'a été testé avant le déploiement, alors que les risques de data breach sont réels.
  • La gouvernance : le RGPD n'est pas pleinement appliqué, et les mesures de sécurité des données personnelles restent insuffisantes.

Comme le souligne un responsable de santé dans le documentaire, « on nous fait croire qu'on va diminuer les activités et que le lendemain tout va bien aller ». C'est une illusion : dans un environnement aussi critique, une seule faille peut avoir des conséquences irréversibles. La résilience ne se construit pas seulement avec des outils, mais avec une culture de la sécurité qui traverse toute l'organisation.

Conclusion : vers une cybersécurité humaine

Le DSN du Québec n'est pas seulement un échec technique : c'est un échec de gouvernance. Entre bugs non corrigis, formation insuffisante et dépendance à des solutions étrangères, le problème n'est pas la technologie, mais l'absence de stratégie globale. Comme le dit une ingénieure du CEA : « la cybersécurité, c'est comme un match de football : si l'équipe adverse a déjà marqué, il est trop tard pour jouer la défense ».

Pour éviter ce scénario, trois leviers sont indispensables :

  1. Une formation structurée : pas seulement des heures, mais une pédagogie adaptée aux métiers de santé.
  2. Une gouvernance cyber : appliquer le RGPD, analyser les risques, et sécuriser les données personnelles.
  3. Une résilience organisationnelle : tester les plans de reprise, automatiser les détections, et anticiper les false positives.

Le DSN n'est pas un cas isolé : dans les secteurs critiques (industrie, santé, défense), la cybersécurité ne peut pas être une question technique seule. Elle exige une approche humaine, où chaque joueur de l'équipe (technicien, médecin, ingénieur) est formé, informé et motivé. Sinon, les counterattack des APT continueront de gagner.

**Et vous, quelle est votre première mesure pour renforcer la cybersécurité humaine dans votre organisation ?

Références

  1. cybersécurité industrielle au CEA www.youtube.com https://www.youtube.com/watch?v=9UVpy_RU8Xk Explication de la mission défensive d'une ingénieure en cybersécurité travaillant pour le CEA, axée sur la protection des systèmes informatiques des collaborateurs et des installations industrielles, avec un accent sur la pédagogie, la rigueur et la collaboration avec les équipes
  2. Cours avancé cybersécurité : protection systèmes et réseaux pdfbib.com https://pdfbib.com/cybersecurite Guide complet sur les pratiques, technologies et méthodologies avancées de cybersécurité pour protéger les réseaux, systèmes et données contre les cyberattaques et vulnérabilités.
  3. Dossier santé numérique : inquiétudes sur bugs et formation insuffisante www.youtube.com https://www.youtube.com/watch?v=6Ah6kn2oPgU Analyse des critiques concernant le projet DSN au Québec, mettant en lumière les problèmes de bugs, le manque de formation adéquate et les risques liés à la sécurité des données numériques.

Lire mes derniers articles

L'analyste SOC face à l'enjeu scientifique : entre rigueur et gestion des alertes critiques

L'analyste SOC face à l'enjeu scientifique : entre rigueur et gestion des alertes critiques

3 juin 2026

IA et cybermenaces : quand la proactivité rencontre les failles zéro-day

IA et cybermenaces : quand la proactivité rencontre les failles zéro-day

3 juin 2026

L'IA éthique redéfinit le pentesting : quand l'hybride humain-IA devient indispensable

L'IA éthique redéfinit le pentesting : quand l'hybride humain-IA devient indispensable

3 juin 2026

Partager :

Kael_Defense

Voir tous mes articles

À propos

Cybersecurity analyste et consultant en cybersécurité depuis 15 ans, ayant travaillé sur des projets critiques pour des entreprises et institutions européennes. Passionné par la décortication des attaques modernes avec une approche à la fois technique et narrative, inspirée par les sports collectifs pour rendre les concepts complexes tangibles. Auteur d'articles et rapports techniques pour des médias spécialisés, il allie expertise opérationnelle et capacité à vulgariser sans sacrifier la rigueur. Son travail vise à aider les décideurs à prendre des décisions éclairées face à une cybermenace en constante évolution.

Retour aux articles

À propos

Informations légales

Ressources

© 2026 Postmania. Tous droits réservés.

Ce site utilise des cookies pour mesurer l'audience et améliorer votre expérience de lecture. Aucune donnée n'est partagée avec des tiers.

En savoir plus