T.Rivat, RSSI des CHU de Strasbourg: ‘En 2006, les PDA et Smartphones seront de plus en plus exposés’

Pouvez-vous nous présenter votre parcours ? Après une formation d’ingénieur en gestion des risques liés aux systèmes d’information, j’ai intégré un grand cabinet d’audit anglo-saxon, dans lequel j’ai développé une vision transverse des SI, sur les plans techniques, organisationnels et métiers. Après un passage par l’audit interne SI au sein d’un groupe du CAC 40, j’ai pris en 2002, le poste de RSSI des Hôpitaux Universitaires de Strasbourg, qui est le 6ème CHU de France, employant plus de 10 000 personnes. Après avoir mené un certain nombre de projets opérationnels de sécurité, je m’attache à développer une stratégie de gestion des risques liés aux SI cohérente et en phase avec les enjeux, notamment à travers une organisation sécurité fiable et pérenne, dans un contexte d’informatisation de la production de soins. Chaque domaine d’activité trouve ses propres problématiques sécuritaires, dans le domaine du médical et de la santé, quelles sont-elles ? Outre les problèmes communs à chaque secteur d’activité (vulnérabilités, environnement juridique), nos problématiques sécuritaires sont très vastes, et s’illustrent avec des exigences sur les 4 piliers de la sécurité : outre la confidentialité, obligation incontournable concernant les données médicales au même titre que l’intégrité, les besoins de disponibilité et plus globalement de continuité sont de plus en plus forts. Quant à la traçabilité, elle devient progressivement un standard de fait. En tant que ‘garant du secret médical’, quels sont les risques juridiques qui pèsent sur vous et votre direction en cas d’incident ? La liste des textes concernant la confidentialité des données médicales est longue (Loi du 4 mars 2002, Code de la santé publique, CNIL…). Dans la pratique, c’est évidemment le code pénal qui génère les sanctions juridiques les plus fortes. Elles s’appliquent au responsable de la structure et à la chaîne de délégation, mais également aux professionnels de santé manipulant avec négligence les informations médicales. Existe-t-il des réglementations spécifiques au domaine de la santé/médical ? Malheureusement pour notre secteur et notre niveau de maturité en sécurité, l’environnement réglementaire n’est pas aussi strict et présent que dans les domaines financiers avec SOX ou Bâsle 2. Cela s’explique notamment par le volume beaucoup plus faible d’échanges de patients, dont le flux n’est pas aussi ‘mondialisé’ ! Il existe néanmoins beaucoup de textes français et européens sur les données médicales, portant essentiellement sur la confidentialité. Quelles sont, selon vous, les menaces émergentes pour l’année 2006 ? Je pense que les terminaux mobiles (PDA, Smartphone), souvent considérés comme des outils personnels et donc non gérés par la DSI, seront de plus en plus exposés, et vont donc devenir un vecteur majeur de problèmes de sécurité. La démocratisation de la VoIP devrait elle aussi générer un nombre croissant de menaces, avec un impact très fort, puisqu’un utilisateur moyen ne conçoit pas, contrairement à l’informatique, qu’un téléphone ne soit pas fiable … Full-disclosure contre Full-exposure ? Quel est l’avis du RSSI sur cette question ? Dans cette course en avant du gendarme et du voleur, je suis perplexe sur ce type de polémique en tant que responsable sécurité d’une entreprise utilisatrice. Je reste néanmoins persuadé que la meilleure sécurité est une sécurité transparente, et non opaque. Par exemple, la très grande majorité des algorithmes de chiffrement sur lequel reposent les systèmes de sécurité sont publiques, très bien documentés et étudiés dans l’ensemble des universités de la planète, ce qui ne nuit en rien à leur robustesse. Les codes sources ouverts génèrent-ils plus de vulnérabilités que les codes propriétaires ? Plus globalement, la censure permet-elle le progrès ? L’histoire aurait plutôt tendance à prouver le contraire. Les intérêts économiques des protagonistes sont divergents, d’où la polémique. Le bon sens et l’éthique ne semblent dans tous les cas pas entrer en considération dans ce débat, alors que ce sont des valeurs fondamentales des professionnels de la sécurité. Concrètement, ce qui m’intéresse au final, c’est que l’écart entre le voleur et le gendarme soit le plus faible afin de réduire les risques pesant sur nos systèmes d’information.