Intervention de Philippe Loudenot

S'agissant de l'algorithme FOIN utilisé par la CNAMTS, il y a eu, selon moi, une confusion : une partie de cet algorithme est obsolète pour consulter les sites internet en toute sécurité, mais cela n'empêche pas d'employer ledit algorithme à des fins de chiffrement. En termes de sécurité pure, il convient de surveiller cet élément, mais il ne s'agit pas d'un point bloquant pour l'utilisation des algorithmes FOIN-1 et FOIN-2. Selon notre analyse, qui est partagée par l'ANSSI, nous avons encore cinq à dix belles années devant nous. Ce qui ne veut pas dire qu'il faut mettre ce problème de côté : la CNAMTS a d'ores et déjà inscrit à son programme de travail la modification et l'évolution de l'algorithme de chiffrement.

Concernant la méthodologie qui a été appliquée, un travail commun a été lancé d'entrée de jeu avec la direction de la recherche, des études, de l'évaluation et des statistiques (DREES), c'est-à-dire avec M. Franck Von Lennep et ses équipes. Nous nous sommes appuyés sur un marché interministériel en matière de sécurité des systèmes d'information, afin de disposer d'une analyse des risques et d'engager nos travaux de manière cohérente. Ces travaux, qui ont été menés tout au long de l'année 2016 et se sont achevés au début de l'année 2017, nous ont permis d'établir un référentiel de sécurité, en prenant en compte tant le point de vue des techniciens que celui des utilisateurs « métiers », qui est le plus important, car il s'agit de déterminer ce que l'on veut protéger et à quel niveau.

Dans la mesure où le SNIIRAM, le SNDS et le PMSI comportent des données nominatives, ces travaux ont été supervisés par la Commission nationale de l'informatique et des libertés (CNIL). Celle-ci nous a aidés dans la phase initiale, puis s'est mise en retrait – ce qui est tout à fait normal, car elle ne peut pas être à la fois juge et partie. Enfin, elle a porté un jugement sur le projet d'arrêté fixant le référentiel de sécurité que j'ai évoqué. Tous les éléments pertinents ont été pris en compte, y compris le règlement européen sur la protection des données personnelles, qui sera appliqué dès 2018. Il n'était pas question de le mettre de côté temporairement ; il reste néanmoins quelques ajustements à faire.

Dans ce référentiel, nous sommes notamment passés du contrôle déclaratif au contrôle a posteriori, ce qui est, selon moi, une excellente chose en matière de sécurité. Cela permet d'aller voir à un moment donné ce qui se passe réellement sur le terrain et, le cas échéant, si quelqu'un se fait prendre « la main dans le pot de confitures », de le sanctionner comme il se doit.