Intervention de Philippe Burnel

La réflexion de la Cour portait sur la question suivante : le SNIIRAM, compte tenu de son coût – dont l'évaluation est difficile –, est-il suffisamment utilisé ? En d'autres termes, est-il efficient ? Cette question rejoint celle que vous m'avez posée sur le caractère assez récent du développement des usages du SNIIRAM dans la sphère administrative à des fins de régulation.

Par la même occasion, la Cour s'est intéressée aux aspects de sécurité. Nous en avons débattu avec elle et le Gouvernement a apporté plusieurs éléments de réponse dont certains sont directement pris en considération dans le rapport tandis que d'autres figurent dans les observations.

Il y avait, entre nous et la Cour, deux divergences. L'une concernait la gestion du risque par la Caisse nationale de l'assurance maladie des travailleurs salariés (CNAMTS) qui est chargée de gérer le SNIIRAM. Nous rangeant à l'avis du responsable de la sécurité des systèmes d'information (SSI) du ministère, nous considérions cette gestion comme sérieuse, avec un plan d'action fondé sur une analyse du risque. Mise à disposition, celle-ci a permis de mettre en évidence les risques résiduels inévitables dans toute politique de sécurité, de les calibrer et de chercher à composer avec eux plutôt qu'à tenter de les supprimer, ce qui paraît plus raisonnable. Il s'agit souvent de risques humains, comme des malversations de la part d'une personne travaillant dans les services.

L'autre divergence portait sur l'obsolescence de l'algorithme de hachage, qui aurait pour conséquence de lever l'anonymat. Si le premier risque est celui d'une infraction, d'une entrée illicite dans le système, le second serait qu'à l'occasion d'une entrée tout à fait légitime, cette fois, l'on puisse obtenir la clé de hachage permettant d'identifier les individus. La Cour a donc pointé l'ancienneté de la version utilisée et préconisé le passage à l'algorithme de la génération suivante. Selon la CNAMTS et le responsable SSI du ministère, le problème ne se posera pas au cours des quatre ou cinq ans à venir, même s'il faudra bien planifier ce changement, dont les informaticiens nous annoncent d'ailleurs qu'il sera lourd de conséquences, notamment financières.