Sécurité SI : les éditeurs devraient-ils dévoiler leurs faiblesses à leurs futurs clients ?

Cette présentation de la DNS à destination des DSI et RSSI a été pour Vincent Croisile, expert de l’Agence du numérique en santé, l’occasion de présenter les résultats du questionnaire « Maturité SSI » présent dans la vague 1 du Ségur, prérequis à la candidature au référencement pour tous les couloirs du programme. Ce découpage en deux vagues a été décidé car « nous avons préféré dans un premier temps élaborer un questionnaire pour savoir où en étaient les éditeurs et, sur la base de ce questionnaire, formuler des exigences en SSI à la fois fermes et atteignables », a-t-il noté.

Le questionnaire est structuré en 33 questions applicables à tous les produits et 26 questions additionnelles applicables dans certains cas de figure. Pour chaque question, la réponse doit être choisie parmi deux à quatre choix possibles correspondant à autant de niveaux de maturité SSI, avec un niveau de maturité cible fixé pour chaque question.

48 industriels ont renseigné le questionnaire pour 71 produits. Les résultats sont globalement mauvais : seulement 10 produits atteignent le niveau cible pour 80 % ou plus des critères ; 16 pour 60 à 80 % des critères. Les autres sont au-dessous, avec même 11 produits qui n’atteignent pas les 20 % de critères atteints. Le questionnaire montre de grandes variations selon les critères de sécurité considérés.

Les clients des solutions référencées peuvent exiger de leur éditeur un export de ce questionnaire pour connaître le niveau de maturité de leur solution, a précisé la DNS. Une remarque qui a créé le débat lors de la présentation. « Il est un peu dommage d’apprendre la présence de failles une fois que le contrat est signé », a réagi Philippe Tourron, RSSI à l’Assistance publique-Hôpitaux de Marseille. Pour lui, les éditeurs devraient « avoir une obligation d’alerter » leurs futurs clients. « Vendre un process qui a potentiellement des failles sans en informer le futur client est un défaut qui pourrait être attaqué », a-t-il insisté avant d’estimer que les juristes devraient se pencher sur le sujet.

Vincent Croisile a répondu que ce point avait été discuté, mais qu’une telle demande serait « compliquée juridiquement » à mettre en place « car il s’agit d’informations confidentielles ». Une précision qui n’a pas convaincu l’assistance, puisqu’il a été rappelé que les RSSI sont habilités à recevoir des informations de ce type. Pour Philippe Tourron, « si nous finançons les éditeurs dans le cadre du Ségur, la moindre des choses est la transparence ».

Mise à jour du 5 mai 2022 : Suite à notre l'article, l'Agence du numérique en santé (ANS) nous précise qu'à court terme, "les prospects des éditeurs peuvent requérir ces éléments". Elle ajoute qu'au second semestre 2022, "pour la vague 2 du Ségur numérique, ce questionnaire SSI intégrera de nouvelles exigences plus contraignantes. Celles-ci, les exigences SSI, permettront une amélioration progressive de l’écosystème avec notamment une démarche d’accompagnement."