En matière de sécurité des systèmes d'information, les approches varient. Pendant des années, nous avons préconisé le modèle de l'analyse de risque visant à aboutir systématiquement à un choix technique figé. D'autres approches plus « souples » consistent à effectuer une analyse de risque tout en s'interrogeant sur l'objet et la méthode de la protection. La cybersécurité et la sécurité des systèmes d'information présentent la difficulté d'être toujours considérées comme des sources de coûts par les dirigeants et comme des sources de blocage par les professionnels ; elles ne sont jamais présentées comme un facteur de création de valeur. Autrefois, il fallait démontrer la qualité en l'opposant à la non-qualité ; aujourd'hui, le maintien en condition opérationnelle d'un système ne suffit pas à le sécuriser. Permettez-moi cette analogie : pour les passionnés de voitures, la 2CV est un très beau véhicule ; sur le plan opérationnel, elle roule, mais en termes de sécurité elle est une catastrophe. Aujourd'hui, elle ne passerait plus aucun test technique et serait interdite à la vente. La mise en place d'un système de sécurité et l'application d'abaques ne supprime pas la nécessité de procéder à des vérifications régulières. La Cour des comptes, se prononçant sur la fonction d'occultation des informations nominatives – l'algorithme FOIN –, avait ainsi relevé la fragilité de l'une des briques du système ; la CNAMTS, qui en était consciente, l'a fait évoluer. Cette évolution, cependant, a un coût qu'il faut anticiper dès l'origine. Il est toujours plus difficile de récupérer ce coût et, de ce fait, de devoir conduire de nouvelles études pour envisager l'avenir.