Grand Prix : Mylène Jarossay
Egalement DSI adjointe, cette RSSI a mené un chantier complet de sécurité en partant de rien. Face à l'absence de mesures antivirales adaptées à la santé, elle a mobilisé ses confrères afin de constituer un groupe de travail.
- Mylène Jarossay de l'Institut Curie élue RSSI de l'année 2011
- Grand Prix : Mylène Jarossay
- Prix de l'innovation : Jean-Chistophe Monnier
- Prix du jeune RSSI : Nicolas Bunoust
- Coup de cœur : Marc Dovéro
Elle se pose des questions métier et montre vraiment ce qu’est le rôle d’un RSSI en portant haut la sécurité des systèmes d’information ! » Ainsi s’est exclamé un jury unanime après avoir étudié le dossier de Mylène Jarossay, RSSI à l’Institut Curie, mais aussi DSI adjointe de l’établissement. Car sa fonction est double, transverse, avec une couverture très large. Depuis la mise en place des dossiers patients en 2001, sa mission s’est bien étoffée. Il y a eu la politique de sécurité du système d’information (PSSI) à développer, puis celle du schéma directeur sécurité. Sans oublier l’animation d’un comité de sécurité de l’information (Cosi), la constitution de tableaux de bord, la conduite d’audit et d’autoévaluations, puis l’élaboration des référentiels de contrats de la PSSI, ainsi que ses déclinaisons thématiques. En sont ressortis un plan de continuité, une charte de conduite, la classification des applications, l’analyse des risques, les exigences de sécurité et la sensibilisation des personnels. Vaste chantier ! Mylène Jarossay met fortement en avant la nécessité de comprendre les enjeux métier : « Il nous faut appréhender la valeur de l’information pour chacun des métiers, afin de se faire une idée le plus juste possible de ce dont ils ont besoin. »
Sécuriser les dispositifs biomédicaux
Parmi les nombreux projets, on remarque l’élaboration d’un référentiel de sécurité destiné à accompagner l’acquisition de systèmes Scada (Supervisory Control and Data Acquisition) appliqués aux dispositifs biomédicaux. « Nous avons été très fortement touchés par le virus Conficker, qui a pénalisé près d’un tiers de la profession, raconte Mylène Jarossay. Tout un pan de notre système était mal protégé. Les constructeurs d’équipements biomédicaux n’ont fait aucun effort sur la sécurité : pas d’antivirus ni de mises à jour. Et un recours aux droits administrateurs indispensable pour utiliser certains logiciels. »
Une situation inacceptable, qui a surtout fait parler d’elle en environnement industriel. « On oublie que le monde de la santé est aussi concerné par les attaques informatiques », ajoute-t-elle. Elle a donc constitué un groupe de travail santé avec d’autres RSSI du secteur et des ingénieurs biomédicaux. « Nous avons édité des spécifications en vue de l’élaboration d’un document listant toutes les exigences auxquelles doivent répondre ces équipements avant d’être installés », explique la RSSI. Désormais, il n’est plus possible de commander du matériel sans joindre le référentiel au cahier des charges. Un enjeu de taille, que les constructeurs commencent à prendre en compte, surtout depuis l’affaire du ver informatique Stuxnet. « Nous espérons que, d’ici à trois ans, les constructeurs intègrent par défaut de la sécurité dans les dispositifs embarqués », conclut la RSSI.