L’une des deux exigences perdues concernait le maintien de la conformité des applications après leur mise en production.

C’est un cas de figure récurrent. Suite à la publication d’une vulnérabilité, nous mettons à jour les sous-systèmes de protection des applications de nos clients, et certains utilisateurs perdent l’accès au service. Ce sont presque toujours des postes de travail en établissement, et lorsque l’on creuse on voit qu’ils sont sur des versions de Windows ou de Java qui n’ont pas été mises à jour depuis 5, voire 10 ans, et ne supportent que des chiffrements dont l’obsolescence est annoncée de longue date. Autant dire des portes béantes pour toutes les attaques.

La raison ? Pour en reprendre une des formulations les plus exemplaires : « une fois que ça marche, on ne touche plus à rien ! »

C’est sans doute pour la même raison que la célèbre faille Poodle, découverte en octobre 2014 , était encore présente sur l’accès au DMP en septembre 2015. Après qu’un tweet l’ait révélé, il aura encore fallu un mois pour que le problème soit corrigé.

Il n’y a pas que les référentiels qui évoluent, mais également les menaces. Suivre et réagir aux vulnérabilités demande du temps et de la compétence. Si ce ne sont pas les HDS qui le font dans un processus organisé, qui s’en chargera ?