5ème Congrès APSSIS : retour sur 3 journées d’exception (Partie 2)

Sébastien Herniote (Orange Cyberdéfense) a présenté lors d’une brillante conférence, les exigences de la certification hébergeur de données de santé qui viendra remplacer l’actuel agrément (voir ordonnance du 12 janvier 2017) d’ici 2018 ou 2019 au plus tard. Nous attendons le décret qui indiquera la date d’entrée en vigueur, d’ici à la fin de l’année a-t-il souligné.
La certification reprend le socle du référentiel ISO 27001 auquel vient s’ajouter des critères piochés dans les normes ISO 27002, 20000, 27018, ainsi que des exigences spécifiques au secteur de la santé.
Sur le plan économique, cet « ancien de l’ANSSI » a présenté une comparaison entre le coût de l’agrément et celui de la certification sur un cycle de trois ans :

Pour l’agrément : 80 jours / homme – 20 000€
Pour la certification : 250 jours / homme – 100 000€

Il a également rappelé que la certification n’attestait en aucun cas d’un niveau de sécurité mais bien de la mise en place d’un système de management de la sécurité et de bonnes pratiques. « Ce n’est pas de la sécurité opérationnelle ».
Les applications hébergées en mode SAAS ne pourront être certifiées HDS car l’hébergeur ne doit pas accéder aux données. Jean-François Parguet (ASIP Santé) a rajouté : « Vérifier le périmètre en cas d’infogérance est primordiale ».

Philippe Tourron, RSSI de l’AP-HM, seul établissement de santé public à disposer de la certification ISO 27001 à l’heure actuelle, a exposé son travail et nous a fait part de son excellent retour d’expérience. Selon lui, le risque numérique doit être géré au même niveau que le risque sanitaire.
Il a insisté sur l’importance de commencer avec un petit périmètre.
À l’AP-HM, le processus de certification s’est fait par étape, DPI en 2012, imagerie en 2014 pour atteindre l’ensemble de l’hébergement en 2017.
C’est avant tout un travail sur les hommes et l’organisation :
« Il a fallu passer de la paillote sur la plage à l’étoilé au Michelin avec les mêmes cuisiniers et les mêmes serveurs ». « Il faut avoir des relais, « référents sécurité » dans chaque service ».
La construction de l’ISO 27001 : après détermination du périmètre repose sur trois forces, les hommes, les processus et les techniques pour atteindre la cible.
La gestion des risques a été séparée en deux grandes parties :

•  l’amélioration suite à incidents à l’aide d’une fiche d’incident majeur
• l’analyse de risques en amont de chaque projet. Pour cela, des créneaux de « consultation » de 30 minutes avec le RSSI ont été mis en place. Les chefs de projets doivent remplir au préalable une fiche d’analyse de la sécurité du SI, qui permettra d’avancer rapidement sur l’analyse de risque avec le RSSI

On retiendra l’attaque par déni de service (DDOS) pendant cinq minutes sur les accès Internet des établissements de tous les participants du congrès, mise en place pendant cette conférence dans le but de faire travailler la salle à une analyse de risque EBIOS.

Toujours sur le plan technique, les très pertinentes démonstrations du Commandant Michel Dubois (Service de santé des Armées) resteront sûrement dans les mémoires, notamment l’infection par un cryptovirus sur une machine Windows ou encore la possibilité de géo-localiser un bus américain en temps réel, grâce aux faiblesses de l’informatique embarquée et connectée dont il est équipé.
On se souviendra également des élèves du master Cryptis de l’Université de Limoges, vainqueurs du récent Hackathon organisé par 3il et le SILPC, qui ont présenté leur projet d’authentification forte « sans fil » sur smartphone et tablette avec une carte CPx (CPS / CPE / CPA), qu’ils ont réussi à développer avec l’aide de l’ASIP Santé en seulement 48 heures ! Belle prouesse technique !

Et pour finir, la vision du corps médical, avec le Docteur Jacques Lucas (Vice-Président du CNOM) et le Docteur Valérie Serra-Maudet (Chef de Service en Chirurgie - Chef de projet numérique au CH du Mans) qui ont « remis les pendules à l’heure » !

Quelques citations « chocs » à méditer :

Docteur Valérie Serra-Maudet :

« Le RSSI doit être plus présent sur le terrain »
« Il faut plus de sensibilisation »
« Je suis d’accord sur le fait qu’il vaut mieux faire de la sécurité plutôt que d’avoir un RSSI, pour dire j’ai un RSSI »
« Les jeunes médecins veulent trop d’outils numériques pour lesquels ils n’ont pas conscience des dangers »
« La sécurité se joue sur le terrain »
« La sécurité doit rimer avec exhaustivité »
« Certains médecins oublient que leur jugement est plus utile que ce qui est écrit sur un écran »

Docteur Jacques Lucas :

 « Des machines dotées d’une intelligence algorithmique pourraient-elles se substituer au médecin ? »
« Quels sont les bénéfices des objets connectés ? Sur le plan médical, le CNOM ne constate pas d’amélioration »
« Comment se protéger des menaces ? Comment préserver le secret médical ? »
« Le termes médical porte à confusion car le secret n’est pas porté que par le médecin. C’est d’ailleurs le secret du patient et non celui du médecin »
« Quand on télécharge une appli, personne ne lit les conditions d’usage avant de cliquer sur j’accepte »
« Contrairement au médicament, il n’y a pas de demande d’autorisation de mise sur le marché pour les applis »
« Le numérique doit être intégré très vite dans le cursus d’apprentissage des médecins »
« Il faut mettre de l’humanité dans le traitements des données »
« Il faut établir des règles de bonne pratiques au lieu d’attendre les contentieux pour faire avancer le numérique »
« La question se posera sur le plan politique d’adapter les primes d’assurance par rapports aux données personnelles »

Pour conclure sur ce superbe congrès. Tous ces partages et retours d’expériences m’ont conforté dans ma vision de ce que devrait être le RSSI santé parfait : un hybride entre qualiticien et informaticien, avec un peu d’appétence pour le droit, ouvert aux métiers, faisant preuve d’un bon relationnel, allant vers les autres tout en sachant être ferme quand il y a besoin.

Je n’ai plus qu’une chose à ajouter : vivement l’année prochaine !

(1) /article/2439/5eme-congres-national-de-la-securite-des-systemes-d-informations-de-sante-retour-sur-3-journees-d-exception-partie-1.html