Conclusion et présentation du projet MP6

Outre les travaux énoncés ci-dessus, plusieurs projets européens (ISHTAR, TrustHealth, DIABCARD, MedSec, Harp, EUROMED-ETS, HANSA, PRIDEH et DRIVE) se sont penchés sur les problèmes de sécurité des SICSS. Certaines études ont porté en particulier sur les cartes à puces, les mécanismes biométriques et les infrastructures de gestion de clés.

En matière de politiques et modèles de sécurité, l’analyse présentée montre que les résultats ne sont pas encore complètement satisfaisants. Des mécanismes classiques (authentification [Blobel & Pharow 2001], autorisation, contrôle d’accès, chiffrement) existent tant au niveau des réseaux pour fournir la sécurité nécessaire des communications, qu’au niveau des systèmes informatiques pour apporter la sécurité des systèmes manipulant des informations sensibles.

Pour mettre en œuvre efficacement ces mécanismes, il est indispensable de définir précisément

les besoins ainsi que les règles de sécurité à appliquer, ceci implique la définition et la spécification d’une politique de sécurité appropriée aux SICSS.

Le travail jusque là effectué s’attache à prendre en compte les concepts sectoriels particuliers, tels que l’auditabilité juridico-technique [Trouessin, 2002] issue des responsabilités juridiques spécifiques (légales, éthiques, déontologiques) pour les politiques de sécurité à respecter ainsi que des modèles de sécurité adaptés et adaptables aux SICSS. Notre objectif est d’améliorer la pertinence et l’efficacité des systèmes des secteurs ciblés ainsi que la confiance à accorder à de tels systèmes. Plusieurs problématiques de recherche seront étudiées, telles les politiques de sécurité et modèles de politiques de sécurité, politiques d’autorisation et d’anonymisation, et ce dans les rouages des deux secteurs : médical et social.

Nos travaux sont partiellement soutenus par le Réseau National de Recherche en Télécommunication, dans le cadre du projet MP6 (Modèles et Politiques de Sécurité pour les Systèmes d’Information et de Communication en Santé et Social) dont les partenaires sont : Ernst & Young Audit (coordinateur), ENST-Bretagne, ETIAM, France Telecom R&D, LAAS-CNRS, MasterSecuritY, ONERA-DTIM, Supélec-Rennes, et UPS-IRIT.

Le projet MP6 est organisé en 9 sous projets :

- SP1 : Administration, gestion et coordination du projet ;

- SP2 : État des lieux sectoriel/conceptuel/terminologique en sécurité pour les SICSS ; - SP3 : Politiques de sécurité pour les SICSS ;

- SP4 : Modélisations formelles de politiques de sécurité des SICSS ; - SP5 : Explorations-A “politiques d’autorisation et gestion des droits” ;

- SP6 : Explorations-B “politiques d’anonymisation et gestion des pseudonymes” ; - SP7 : Explorations-C “détection de risques d’intrusions, déviances et inférences” ; - SP8 : Intégrations sectorielles pour la sécurité des SICSS ;

- SP9 : Normes et standards, promotion et valorisation.

Nous contribuons aux sous projets 2, 3, 4, 5, 6, 7 et 9.

Chapitre 3. Bâtir une politique de sécurité pour les SICSS

Préambule

L’ensemble des concepts, de la sûreté de fonctionnement en général et de la sécurité en particulier, nécessaires à la compréhension de ce mémoire ont été définis. Un état des lieux des types et des complexités des modèles et politiques de sécurité qui existent, notamment ceux mis en œuvre réellement dans les SICSS a été présenté. On a donc constaté que ces politiques de sécurité ne couvrent pas toute la richesse des SICSS. Il convient ainsi de développer d’autres politiques plus adaptées.

Il semble évident que la conception et la réalisation de systèmes sûrs nécessite, tout d’abord, le développement de méthodes pour définir précisément des politiques de sécurité. Ce chapitre commence ainsi par proposer une méthodologie de travail dont les principales étapes sont les suivantes : description du système, identification des informations à protéger et la caractérisation des menaces, et définition de la politique de sécurité en exprimant les besoins de sécurité ainsi que les règles qui déterminent comment l’information sensible et les autres ressources sont gérées, protégées, et distribuées dans le système.

Il s’agit également d’appliquer cette démarche pour dériver une politique de sécurité pour un exemple de système d’information médicale, et une autre pour un exemple du domaine social.

Une troisième étude de cas consiste à définir la base terminologique nécessaire à l’étude du problème de l’anonymisation des données médicales, où il est question des différents travaux existant, d’une étude des solutions implémentées dans les pays européens, et d’un ensemble de scénarios servant un objectif global de respect de la vie privée. Une démarche progressive d’analyse des besoins d’anonymisation est proposée. Celle-ci commence par poser des questions pertinentes afin de définir les attentes, passe par l’identification des risques encourus, des objectifs et des exigences d’anonymisation, et aboutit à des solutions-types adaptées aux besoins. Par la suite, il s’agira d’une procédure d’anonymisation en cascade à différents niveaux (hôpitaux, centres de traitements et utilisateurs finaux) et de montrer comment cette procédure innovante permet de dégager plusieurs avantages, notamment : la résistance aux attaques par dictionnaire, les anonymisations sectorielles, la possibilité de fusions flexibles et sécurisées des données de plusieurs établissements, etc.

Pour son efficacité, l’anonymisation pose des problèmes particuliers (pour les SICSS) qui méritent d’être étudiés séparément. Néanmoins, une fois anonymisées, les données sont considérées comme objets sensibles auxquels s’applique la politique de sécurité.

Ainsi ce chapitre a une double vocation,

- d’ordre sectoriel, puisque la méthodologie de construction de notre politique de sécurité est illustrée par des exemples issus des secteurs santé et social ;

- d’ordre plus général, car notre démarche et nos solutions ne sont pas restreintes aux seuls secteurs de la santé et du social, mais peuvent être appliquées à différents types de systèmes.