Les temps forts du CNSSIS 2021 – Partie 2
La deuxième journée a commencé avec une vision très intéressante de la sécurité, à laquelle je m’intéresse depuis longtemps, celle du biomédicale ! L’AFIB était représentée par Valérie MORENO (CHU de Bordeaux) et Sandrine ROUSSEL (CHU de Besançon), deux alliées de choix des RSSI santé, bien plus préoccupées par la sécurité numérique que certains DSI et professionnels du numérique.
Leur culture du risque et leur rigueur dans la traçabilité réglementaire n’y sont sûrement pas pour rien ! Nous avons des choses à apprendre sur ces sujets dans le domaine de l’IT !
Philippe LOUDENOT et Cédric CARTAU s’accordent à dire « NON » à la question que tout le monde se pose, le biomédical ne doit pas être intégré à la DSI, les enjeux et les processus métiers ne sont tout simplement pas les mêmes.
Réveil en fanfare pour nos méninges jeudi matin avec l’excellente conférence de Cédric CARTAU sur la sécurité quantique ! L’ordre de grandeur a de quoi nous donner le vertige, avec Sycamore, l’ordinateur quantique dévoilé par Google fin 2019, un calcul nécessitant 10 000 ans pour l’ordinateur le plus puissant du moment serait réalisé en seulement 200 secondes ! Si l’impact sur le chiffrement symétrique semble assez faible, il serait dramatique pour le chiffrement asymétrique ! Perte de confidentialité, ré-authentification grandement facilité grâce à la corrélation des données, en particulier sur les bases de données « mal anonymisées », nécessité de signer numériquement une nouvelle fois tout ce qui a été signé dans la passé, sous peine de perdre l’authenticité des données… Quid de la confiance que nous pouvons avoir dans les solutions sécurisées que nous connaissons aujourd’hui : chiffrement des données, cartes CPS, cartes vitales, Mssanté… Cédric nous conseille de revendre nos Bitcoins et retirer nos mots de passes des gestionnaires en ligne avant que le quantique ne débarque… Même si d’après la courbe d’évolution du nombre de Qbits, il faudrait attendre 2058 pour atteindre la suprématie quantique, nous ne sommes pas à l’abri d’une surprise.
Béatrice BERARD (Officier de sécurité des SI aux HCL) et Philippe TOURON (RSSI de l’AP-HM) ont partagé leur expérience sur l’analyse de risques et la nécessité de faire les liens entre les mêmes mesures imposées par les différentes réglementations, ainsi que de partager nos bases de risques pour gagner en efficacité.
Philippe TOURON nous a ensuite présenté l’ambitieux projet européen Safecare, dont il est le coordinateur. Collecter un maximum d’évènements du monde physique et du monde numérique pour permettre une vision globale de la sécurité, analyser les risques, décider, agir, alerter et communiquer sont les maîtres mots du projet. Le but serait de détecter la source de l’incident et les problèmes qui pourraient en découler pour émettre automatiquement des alertes. J’avoue être impatient de voir les premiers retours sur des cas réels.
La guest-star de ce congrès n’était autre que l’économiste libéral, essayiste et chroniqueur de télévision, Nicolas BOUZOU, venu nous plonger dans l’univers de son dernier livre (le seizième !), Homo Sanitas, après une sympathique séance de dédicaces. Fascinant de voir à quel point notre savoir historique a évolué récemment grâce à la technologie, en particulier dans le domaine de la santé. Étonnant de voir que la volonté de soigner chez l’homme était déjà là il y a 5000 ans, avec ces précurseurs de l’odontologie par exemple, qui traitaient déjà les caries avec des instruments en silex, et anesthésiaient grâce au chanvre. Il s’est ensuite attaqué au sujet à controverse du moment : le vaccin ! Après avoir rappelé que les évènements les plus graves que pouvaient subir une civilisation étaient une guerre ou une épidémie, il a salué la rapidité des laboratoires dans le développement du vaccin. Selon lui, il n’y a pas d’investissement plus rentable que le vaccin pour une société :
« Les vaccins coûtent 1 % de ce qu’aura coûté la crise sanitaire dans sa globalité. C’est assez similaire à la cybersécurité. »
« Les dépenses de santé doivent être vues comme un investissement et non comme une charge ! »
Là encore, nous pouvons facilement faire le lien avec la sécurité numérique. Comme le disaient nos grands-parents, mieux vaut prévenir que guérir…
Le congrès s’est terminé par sa traditionnelle séance juridique où Maîtres Omar YAHIA et Marguerite BRAC DE LA PERRIÈRE, un peu pressés par le temps, sont venus aborder des sujets qui leur tenaient à cœur.
Maître YAHIA a tout d’abord présenté les avantages de la Blockchain en santé :
- Pas d’intermédiaires
- Automatisation des processus
- Limite les erreurs
- Traçabilité des interventions
- Lutte contre la fraude
Tout en restant pragmatique :
« La blockchain n’est pas un remède miracle à tous les maux, c’est une solution technique pour un problème technique. »
Sur le sujet de la santé connectée, il a rappelé à juste titre que nous étions peut-être un peu trop énergivores et nous serions obligés de réduire notre consommation d’énergie d’ici 2030.
Maître BRAC DE LA PERRIÈRE est venue nous prodiguer ses bons conseils dans le domaine des contrats IT. Effectivement, les contrats Cloud et hébergement manquent parfois de clarté, et pourtant les contrats SAAS représentent 80 % des contrats informatiques.
Voici donc une petite liste des documents à demander à nos prestataires :
- PSSSI
- Analyses d’impacts
- Certification HDS
- Les éventuels sous traitants et flux transfrontaliers
- Quelles garanties (voir annexes SLA et pénalités)
- Annexe RGPD avec clauses obligatoires (pour rappel, c’est au client de s’assurer que le prestataire présente les garanties suffisantes de protection des données)
- Définition de l’utilisateur : Qui a le droit d’accès à l’outil ? Un prestataire peut-il y accéder ?
Il est également important de réaliser une appréciation du prix vis à vis du service, de négocier dès l’origine tout ce qui est réversibilité des données et prendre les mesures nécessaires à la protection des données, telle que le chiffrement lorsque l’on travaille avec des prestataires américains, soumis au Cloud Act.
Ce fut une fois encore, un congrès riche en partages et enseignements qui nous aura donné hâte de nous retrouver l’année prochaine !