La Journée Sécurité des Systèmes d'Information 2008

JSSI 2008
FIAP Jean Monnet - Paris
Jeudi 22 mai 2008

"Anonymat, vie privée et gestion d'identité..."

Affiche "classique"

Affiche "classique, A4"

Affiche "moderne"

Programme

8h30 : accueil des participants et café
9h00 : ouverture de la journée

9h05 : première session

9h05 - 9h45, 1A, Yves Deswarte (Directeur de Recherche, LAAS-CNRS)

" Principes et technologies de protection de la vie privée sur l'Internet"

9h45 - 10h20, 1B, Florent Guilleux & Mehdi Hached (CRU)

" Simplification et sécurisation de l'accès à des services en ligne via une fédération d'identités"

 

10h20 - 10h50 : pause café

10h50 : deuxième session

10h50 - 11h35 : 2A, Alain Bensoussan (Avocat à la cour d’appel de Paris)

" Identité et désidentité numérique "

11h35 - 12h05 : 2B, Mylène Jarossay (Institut Curie)

"La gestion des identités dans le secteur hospitalier"

12h05 - 12h50 : 2C, Table Ronde, "Gestion des identités et anonymat"

Avec la participation de : Pierre-Yves Baumann (coordinateur au Préposé Fédéral à la Protection des Données, Suisse), Alain Bensoussan (avocat, Alain Bensoussan Avocats), Mylène Jarossay (RSSI et DSI-Adjoint, Institut Curie) et Gwendal Le Grand (chef du service de l'expertise informatique, CNIL) ; animée par Hervé Schauer (HSC).

 

13h00 - 14h00 : déjeuner

14h00 : troisième session

14h00 - 14h40 : 3A, Arnaud Belleil (Directeur Associé de Cecurity.com) & Bruno Rasle (consultant, administrateur AFCDP)

" Anonymisation : en route vers le label ?"

Référentiel AFCDP des dispositifs d'anonymisation (présenté lors de la conférence) ici !

14h40 - 15h20 : 3B, Benoit Chenon (Directeur associé chez Voxaly)

" Vote par Internet : quel avenir ? "

 

15h20 - 15h50 : pause café

15h50 : quatrième session

15h50 - 16h30 : 4A, Patrick Chambet & Alain Verdier (Bouygues Telecom)

" Protection des données personnelles et de la vie privée chez un opérateur de téléphonie mobile: aspects juridiques et techniques. "

16h30 - 17h10 : 4B, Gilles Trouessin (Docteur des Universités (UPS) et Consultant Senior (OPPIDA Sud))

" Anonymat et anonymisation dans la sphère Santé-Social"

 

17h10 - 17h30 : clôture de la journée, discussions

Détail des interventions

Première session

1A - Principes et technologies de protection de la vie privée sur l'Internet

Conférencier : Yves Deswarte, Directeur de Recherche CNRS, chercheur au LAAS-CNRS

Cet exposé présentera deux principes de base qui sous-tendent les technologies permettant de protéger au mieux sa vie privée sur Internet, et donnera quelques exemples de ces technologies (gestion des identités, communications et accès anonymes, autorisation préservant la vie privée, gestion des données personnelles).

 

A propos d'Yves:

Successivement à la CII, la CIMSA, l'INRIA et au LAAS-CNRS, Yves Deswarte a mené des travaux de recherche portant principalement sur la tolérance aux fautes et la sécurité dans les systèmes informatiques répartis. Récemment, il s'est intéressé à la tolérance aux intrusions, à l'évaluation quantitative de la sécurité, aux critères d'évaluation de la sûreté de fonctionnement, aux modèles et politiques de sécurité pour la santé, à la protection des systèmes embarqués critiques à plusieurs niveaux d'intégrité, à la protection des infrastructures critiques, à des schémas d'autorisation pour l'Internet, et à la protection de la vie privée. Il est auteur ou co-auteur de plus de cent publications internationales dans ces domaines.

1B - Simplification et sécurisation de l'accès à des services en ligne via une fédération d'identités

Conférenciers : Florent Guilleux & Mehdi Hached, ingénieurs au Comité Réseau des Universités (CRU)

Les universités françaises offrent à leurs étudiants, personnels et chercheurs de plus en plus de services en ligne, qu'elles partagent entre elles ou qu'elles souscrivent à des éditeurs. Le contrôle de l'accès à ces services est délicat, car ces populations d'utilisateurs sont importantes, hétérogènes et mouvantes. Nous présenterons la mise en place et le fonctionnement de la fédération d'identités pour l'enseignement supérieur qui permet de répondre à cette problématique du
contrôle de l'accès à des services en ligne. Outre les aspects techniques et organisationnels de cette fédération d'identités, nous verrons comment une telle solution s'intègre dans un système d'information et dans une politique de gestion d'identités locale. La gestion des identifiants, des attributs, de l'anonymat et du pseudonymat sera également abordée.

 

A propos de Florent :

Ingénieur au Comité Réseau des Universités, il travaille pour le compte du ministère de l'enseignement supérieur et de la recherche au service des services informatiques/DSI des universités françaises sur la PKI, la gestion d'identités en général et la fédération d'identités en particulier depuis trois ans. Son activité dans ce domaine inclue notamment la veille technologique, la formation et l'opération du service de fédération d'identités de l'enseignement supérieur français dont il est co-responsable.

Deuxième session

2A - Identité et désidentité numérique

Conférencier : Alain Bensoussan (Avocat à la cour d’appel de Paris)

E-commerce, déclaration des impôts en ligne, blog… le web archive notre présence en ligne et constitue le récit de nos parcours et de nos identités numériques. Si dans le "monde réel", l’identité d’une personne se résume à l’état civil et protégée en tant que telle par la loi, dans le "monde virtuel", l’identité d’une personne est bien plus vaste. Il est ainsi possible de se faire passer pour quelqu’un d’autre en usurpant les mots de passe, les codes d’identification, les pseudonymes virtuels, etc. Les affaires d'usurpation d'identité sont de plus en plus nombreuses alors comment protéger son identité numérique, quels droits détenons nous sur cette identité ou ces identités numériques.

 

A propos d'Alain :

Spécialisé dès 1978 dans le droit de l'informatique, Alain Bensoussan intervient tant en conseil qu'en contentieux sur tous les aspects concernant le domaine du droit relatif à la sécurité et à la fraude
informatique, sa double compétence technique et juridique lui permettant une approche pragmatique. Alain Bensoussan a notamment publié aux éditions Des Parques l'ouvrage "Risques informatiques : parades techniques et juridiques". Il est également l'auteur du "Tableau de bord juridique du DSI" publié aux éditions publi-news. Il intervient de façon régulière dans des colloques et séminaires organisés sur le thème de la sécurité informatique, notamment par l'IDHEN, le Forum EUROSEC.

2B - La gestion des identités dans le secteur hospitalier

Conférencier : Mylène Jarossay (DSI Adjointe & RSSI, Institut Curie)

Les hôpitaux sont confrontés à une gestion des identités des patients qui doit répondre à une double exigence : la protection de la vie privée qui se traduit par le respect du secret médical et le controle des accès aux informations médicales, mais aussi la sécurité des soins. L'institut Curie se propose d'identifier les problématiques de gestion de l'identité hospitalière, en distinguant les identités des patients et les identités des professionnels de santé. En présentant les outils de gestion qu'il a déployé ou qu'il est en cours d'implémentation, il propose plusieurs pistes de réflexion autour de ces données sensibles.

 

A propos de Mylène :

Mylène Jarossay est entrée à l'Institut Curie en 1998. Depuis 10 ans, elle contribue au développement du Système d'Information de l'hôpital de l'Institut Curie, en tant que Directrice Adjointe des Systèmes d'Information et RSSI. Ce système d'information a permis à l'hôpital de disposer d'une architecture à forte disponibilité, dans laquelle les dossiers des patients sont dématérialisés, et ouverts, via Internet, à d'autres établissements de santé ainsi qu'à la médecine de ville. Il a nécessité la mise en place d'une politique de sécurité exigeante, en accord avec les contraintes réglementaires relatives aux données de santé.

Auparavant, après un diplôme d'ingénieur à l'EPF, puis un Mastère à Telecom Paris, Mylène Jarossay a développé des produits de communication chez Prologue Software. Puis elle a été consultante chez SEEE - Groupe Ineo, où elle a travaillé sur des architectures réseaux & télécoms principalement destinées à des sites militaires.

2C - Table Ronde : "Gestion des identités et anonymat"

Avec la participation de : Pierre-Yves Baumann (coordinateur au Préposé Fédéral à la Protection des Données, Suisse), Alain Bensoussan (avocat, Alain Bensoussan Avocats), Mylène Jarossay (RSSI et DSI-Adjoint, Institut Curie) et Gwendal Le Grand (chef du service de l'expertise informatique, CNIL).

Animateur : Hervé Schauer (HSC).

 

Troisième session

3A - Anonymisation : en route vers le label ?

Conférenciers : Arnaud Belleil (Directeur Associé de Cecurity.com) & Bruno Rasle (consultant, administrateur AFCDP)

Les intervenants aborderont dans un premier temps la place particulière occupée par l'anonymat dans l'univers de la confiance numérique en s'appuyant sur les usages, le cadre règlementaire et la doctrine de la Cnil. Ils traiteront ensuite des retours d'expérience sur les projets d'anonymisation en insistant sur le rôle que pourrait être celui du Correspondant Informatique et Libertés. Enfin, ils présenteront les travaux en cours en matière de référentiel, étape préalable à la mise en place d'une véritable labellisation des technologies d'anonymisation.

 

A propos d'Arnaud :

Arnaud Belleil, Directeur Associé de Cecurity.com et administrateur de l'AFCDP (Association Française des Correspondants à la protection des Données à caractère Personnel). Auteur de "e-Privacy" en 2001, rédacteur d'une lettre d'information en ligne sur la privacy, Arnaud Belleil est chargé d'enseignement au centre de préparation à l'ENA de l'Institut d'Etudes Politiques de Rennes. Il a notamment rédigé en mars 2007 "L'anonymat : nécessité ou obstacle à la confiance".

A propos de Bruno :

Bruno Rasle est responsable du marketing au sein de la société Cortina dont il est également le correspondant informatique et libertés. Administrateur de l'AFCDP, spécialiste reconnu de la lutte contre le spam, il est le co-auteur de "Halte-au Spam" publié en 2003. Chargé d'enseignement à l'ISEP, il a notamment rédigé en 2007 le Livre Blanc "Anonymisation des données" de la société Cortina.

3B - Vote par internet : quel avenir ?

Conférencier : Benoit Chenon, Directeur associé chez Voxaly

Le vote par internet
Du papier à l'électronique
L'évolution législative
Les limites
La relation de confiance
La définition des instances de pilotage et de contrôle
Electionneur: un nouveau métier
Les exigences de sécurité
Intégrité : une exigence valable à tout moment
Anonymat et confidentialité : deux exigences bien différentes
Anonymat et preuve : le paradoxe
Disponibilité et accessibilité : un droit absolu pour l'électeur
Un retour d'expérience
La cinématique globale de l'opération de vote
Les différents acteurs, autour de l'électeur
Le suivi de la participation
La consolidation finale

 

A propos de Benoit :

Ingénieur ENSIMAG, Ancien Architecte senior chez Atos Origin puis Capgemini, sur de grands projets nationaux. Directeur technique et responsable du pôle Recherche et Développement au
sein de Voxaly, tiers-électionneur.

Quatrième session

4A - Protection des données personnelles et de la vie privée chez un opérateur de téléphonie mobile: aspects juridiques et techniques

Conférencier : Patrick Chambet & Alain Verdier (Bouygues Telecom)

En France, la loi du 6 janvier 1978, dite "Informatique et Libertés", encadre strictement les traitements de données à caractère personnel. Or la téléphonie mobile fait maintenant partie de la vie quotidienne des Français. Le téléphone mobile s'est intégré à la vie courante, d'où son importance mais aussi sa sensibilité: il contient des données personnelles et confidentielles. Le système d'information d'un opérateur de téléphonie mobile manipule ces données, les stocke, et se doit de les protéger. Cette présentation se propose d'aborder les contraintes juridiques particulières dans le monde de la téléphonie mobile et des FAI, puis de montrer comment ces contraintes se déclinent au niveau technique sur le SI d'un opérateur.

 

A propos de Patrick :

Patrick CHAMBET est l'Architecte Sécurité du SI de Bouygues Telecom. Auparavant Consultant Senior en Sécurité des SI, il totalise plus de 14 ans d'expérience dans le domaine de la sécurité. Il participe également à de nombreuses conférences en France et à l'étranger (EUROSEC, JSSI, INFOSEC, SPIRAL au Luxembourg, JIA en Tunisie, BlackHat aux USA et Europe, ph-neutral en Allemagne, CELAR, ...) et a dispensé des formations en écoles d'ingénieurs, en DESS et au sein de différents organismes. Il est l'auteur de nombreuses publications françaises et internationales
sur la sécurité informatique (MISC, Confidentiel Sécurité, Information Security Bulletin, Linux Mag, ...). Plus d'informations sur son site Web: http://www.chambet.com

A propos d'Alain :

Alain VERDIER est en charge chez Bouygues Telecom des relations avec la Cnil. A ce titre, il procède aux déclarations de traitements et possède des années d'expérience sur la protection des données personnelles dans le domaine de la téléphonie mobile, sur un SI de grande taille et de forte complexité.

4B - Anonymat et Anonymisation dans la sphère Santé-Social : des principes et concepts de base aux applications et implémentations opérationnelles

Conférencier : Gilles Trouessin (Docteur des Universités (UPS) & Consultant Senior (OPPIDA Sud))

Le fil conducteur de cette proposition consiste à dérouler un état des lieux des pratiques d'anonymisation pour les Systèmes d'Information et de Communication en Santé et Social (SICSS) depuis ses origines (vers le milieu des années 90's) et les besoins sectoriels spécifiques (respect de l'anonymat tout en favorisant le chaînage spatio-temporels des épisodes de soins et/ou de santé) jusqu'à des applications et des implémentations nationales (telle que le PMSI-privé puis le PMSI public) ou des adaptations locales (telle que l'observatoire parisiens des RMIstes) des différents concepts de base utilisables et des principes de base utiles aux différents cas de figures exposés. L'apport de l'exposé repose sur la volonté de démontrer le continuité entre les aspects plutôt théoriques (concepts et principes pour respecter l'anonymat) et les aspects purement pratiques et opérationnels (modes opératoires et alternatives pour le processus et les procédures d'anonymisation).

 

A propos de Gilles :

Après des études universitaires longues [DEA informatique (option : sécurité) à l'Université Paul Sabatier (Toulouse), Thèse de Doctorat des Universités en sûreté de fonctionnement au LAAS (CNRS), post-doc en sécurité des S.I. au CERT (ONERA)], Gilles TROUESSIN accumule désormais plus de vingt ans d'activités exclusives en continu en "Sécurité Informatique" puis "Sécurité des Systèmes d'Information" avec notamment plus de quinze consacrées quasi-essentiellement à la protection et la sécurisation des données et informations sensibles aux sens de la sphère santé-social. Cela couvre la protection en confidentialité et en intégrité et donc la protection des données personnelles voire des données de santé à caractère personnel et ainsi des années de travaux autour de l'anonymat et des processus d'anonymisation irréversibles. Très actif dans les milieux de la normalisation où il a pu faire passer un certain nombre de ces concepts de base (AFNOR, CEN, ISO) et dans les milieux associatifs (CLUSIR-MP, CLUSIF, ADELI, AFCDP (entre autres)), il a aussi pu échanger avec d'autres perceptions, sensibilités et centre d'intérêts pour enrichir son travail individuel et en faire profiter les nombreux groupes de travail auxquels il a toujours participé : l'intervention d'aujourd'hui au JSSI de l'OSSIR en est une des illustrations-type.