Pouvez-vous me présenter le service au sein duquel vous officiez ? Éric Grospeiller : Je vais commencer par vous présenter la chaîne gouvernementale en charge de la sécurité des systèmes d’informations (SSI), puisque ce service en est une composante. Le pilotage au niveau national est impulsé par Secrétariat Général de la Défense et de la Sécurité Nationale (SGDSN) qui, en matière de SSI, s’appuie sur l’Agence Nationale de la sécurité des Systèmes d’Information (ANSSI). Ces actions sont notamment menées dans le cadre du Livre Blanc sur la Défense et la Sécurité Nationale, paru en 2008. Au sein de chaque ministère, la mise en place des directives ou instructions du SGDSN sont coordonnées par le Haut Fonctionnaire de Défense et de Sécurité. Il est assisté, pour la question particulière de la SSI, par un FSSI et son adjoint – en l’occurrence ici Philippe Loudenot et moi-même. Philippe Loudenot : Le Premier Ministre s’appuie donc sur le SGDSN et l’ANSSI pour toutes les réflexions interministérielles, par exemple la création et la refonte des textes qui formalisent les responsabilités et le périmètre d’activité en matière de défense et de sécurité, notamment celle des systèmes d’information. Les ministères s’appuient à leur tour sur leur FSSI pour la mise en application des consignes nationales sur le champ ministériel. É. G. : : Cette mise en application des directives se fait selon deux chaînes, l’une fonctionnelle et l’autre technique, et auprès de trois niveaux d’interlocuteurs, les administrations centrales, les services déconcertés (notamment pour les secteurs du travail, de la jeunesse et des sports) et les opérateurs (qui sont aussi bien, pour la santé, les ARS, l’InVS, l’AFSSAPS, que les CHU, CH et autres hôpitaux). Dans chacun de ces groupes se trouvent, du côté la chaîne fonctionnelle, des Autorités Qualifiées nommées par arrêté ministériel, des Conseillers de Défense de Zone et des Délégués de Défense et de Sécurité, chargés d’organiser la SSI en collaboration avec le FSSI. Mais également de nommer ceux qui s’occuperont plus particulièrement de la chaîne technique, à savoir les Responsables et les Correspondants SSI. L’ensemble de cette organisation est définie par des Instructions Générales Interministérielles (IGI). Elle permet de répondre aux orientations en matière de SSI contenues dans le Livre Blanc sur la Défense et la Sécurité Nationale. En quoi consiste précisément ce dernier ? É. G. : Il donne les grandes orientations en matière de défense et de sécurité nationale, et propose une hiérarchisation des risques et des menaces sur le territoire national. P.L : Les attaques informatiques constituent d’ailleurs, selon ce Livre Blanc, la seconde plus importante menace en France, juste après les attentats terroristes. À titre d’exemple, les pandémies ne viennent qu’en quatrième position, et les catastrophes naturelles ou industrielles en cinquième. Il faut se souvenir qu’à l’époque de la rédaction du Livre Blanc, en 2008, deux évènements ont montré l’importance cruciale de la SSI : en 2007 l’Estonie a été victime de cyber attaques qui ont paralysé ses systèmes informatiques ; et en 2008, lors du conflit russo-géorgien, la Géorgie en a également été victime à la veille des vraies attaques.
Éric Grospeiller
SÉCURITÉ DES SIH : L’IMPLICATION DU FSSI
Chargé de la sécurité des systèmes d’information auprès d’un Haut Fonctionnaire de Défense et de Sécurité, Éric Grospeiller est, depuis juin 2008, le FSSI (Fonctionnaire de Sécurité des Systèmes d’Information) du Ministère de la Santé et des Sports - mais son champ d’action recouvre également les Affaires Sociales (travail, jeunesse). Entretien croisé avec cet ancien Responsable de la Sécurité des Systèmes d’Information (RSSI) de l’ANPE et avec son adjoint, Philippe Loudenot, par ailleurs ex-RSSI du service « santé » des armées.
Philippe Loudenot
Quelle approche a donc été choisie dans le cadre de la SSI sur votre périmètre ? E.G. : Une approche globale, accompagnée surtout d’une volonté d’inverser le paradigme qui prévalait jusque-là. Je m’explique : les efforts ont longtemps été concentrés sur une communication basée sur la lutte contre le cyber terrorisme, mais c’était oublier qu’il ne concernait qu’une infime minorité de la population « malveillante », et qu’il était statistiquement moins fréquent que la cyber criminalité ou la cyber délinquance. Or, pour adresser ces différentes menaces, il fallait d’abord assurer le fonctionnement nominal des SI. Et commencer par appliquer la politique de la SSI à la base de la pyramide des menaces et pas à son sommet. Cette approche est-elle pertinente pour le milieu hospitalier ? E.G. : Oui, d’autant que le risque lié aux SI est méconnu à l’hôpital ! Que ce soit par les médecins ou par les concepteurs de matériel médical – alors que les appareils biomédicaux sont liés au SI de l’établissement, ce qui augmente sa vulnérabilité. C’est aux Autorités Qualifiées que je mentionnais tout à l’heure de définir ces risques et d’y sensibiliser les acteurs hospitaliers. P.L. : Ces Autorités Qualifiées sont chargées de définir des règles locales autour de la SSI, elles-mêmes basées sur des règles génériques définies par les agences comme l’ASIP Santé, et reposant sur une norme transverse, l’ISO 27002 - une norme exclusivement dédiées à la SSI santé n’est en effet pas applicable. Il s’agit, à terme, de mettre en place des solutions techniques adaptées au secteur hospitalier. É. G. : Nous devons donc coordonner les volontés fortes constatées sur le terrain, et mettre en place de bonnes pratiques liées à la SSI. Il n’existe par exemple pas, en France, d’obligation de déclarer un incident sur les systèmes d’informations, que ce soit à l’hôpital ou ailleurs. Il existe pourtant des outils déployés dans le monde de la santé qui permettent de collecter les alertes et de les rediffuser largement. Il faudrait, tout comme l’AFSSAPS est prévenue du moindre incident lié à un produit de santé, que le FSSI soit au courant des défaillances éventuelles de la SSI…
Magazine en ligne Pourquoi Hospitalia ? Accueil Annonceurs Abonnement Références Pro Contact Abonnement Références Pro ContactLe web du magazine Hospitalia
Hospitalia.fr
Copyright Anthrax 2010
Mentions légales - Contacts