HDS, une obligation réglementaire pour les données de santé
Interview de Geoffroy de Lavenne, Directeur Général chez ITS Integra, réalisée par le magazine TIH
Publié le Jeudi 30 Mai 2024
L’hébergement HDS, une obligation réglementaire pour les données de santé
Interview et article réalisés par le magazine TIH
Lire l'article
Toute entreprise qui détient des données de santé se doit de les faire héberger et infogérer par un prestataire certifié HDS. C’est ce que propose la société ITS Integra, spécialisée dans le cloud et les services managés, qui prévaut d’un vertical métier à forte présence dans le secteur de la santé. Les explications de Geoffroy de Lavenne, son Directeur Général.
Certifiée ISO 27001 depuis 2013, cette filiale du groupe franco-français ITS Group, spécialisé dans la gestion des infrastructures, s’est assez naturellement orientée vers l’hébergement de données de santé (HDS), d’abord en obtenant l’agrément en 2017, puis la certification en 2019, tout en rachetant en 2018 Asplenium Hosting Services qui possédait l’agrément depuis 2012.
Traçabilité et intégrité des données de santé
« ITS Integra est certifié sur les 6 couches de la certification HDS, ce qui signifie que nous couvrons l’ensemble des périmètres de cette certification », a déclaré M. de Lavenne, en ajoutant que le prestataire avait évolué vers la dernière version de la certification sortie l’an dernier. Ce dernier précise aussi que, par rapport à la certification ISO 27001 précédente, plus axée sur la sécurité, la certification HDS offre une garantie sur l’intégrité de la donnée de santé elle-même. « La certification HDS apporte une couche très importante de traçabilité, de sorte qu’à n’importe quel moment on peut savoir qui a eu accès à une donnée patient pour s’assurer qu’elle n’a pas été altérée, qu’elle est dans un bon niveau de sécurité ».
Outre les PME et les ETI, ITS Integra compte parmi ses clients de nombreux prestataires du public et du privé, depuis les administrations de santé (Haute Autorité de Santé) et les hôpitaux, jusqu’aux cliniques privées et aux labos pharmaceutiques en passant par les mutuelles. « Cette certification nous permet d’accompagner les clients sur la gestion de leur IT, avec un certain nombre d’obligations de sécurité qui garantit que les opérations qu’on réalise sont conformes aux règles de l’art sur cette partie-là ».
Une offre résolument hybride
Une autre particularité d’ITS Integra tient à sa capacité à faire de l’infogérance quel que soit l’endroit où se trouvent l’IT et les données. « Nous pouvons infogérer les plateformes qui se trouvent chez les clients, dans nos datacenters ou chez des hyperscalers de cloud public ». Dans le cas des hyperscalers Azure et OVHcloud, également certifiés sur la partie hébergement HDS, ITS Integra peut ajouter sa couche de services managés.
Ce travail sur la gestion des infrastructures permet aussi à ITS Integra d’accompagner les clients dans la trans- formation de leur IT, particulièrement dans le monde hospitalier. L’idée est d’apporter de nouvelles couches de sécurité qui permettent de garantir un niveau acceptable pour que les données des patients soient le plus sécurisées possible. « Cela peut déboucher par exemple sur la mise en place d’un plan de reprise d’activité s’il n’y en avait pas, d’un SOC pour sécuriser l’ensemble de l’IT, d’outils EDR ou anti-virus pour sécuriser les infras ».
Le prestataire préconise aussi d’adopter des pratiques qui ne sont pas forcément obligatoires, mais permettent de remonter de façon importante le niveau de sécurité des infrastructures. « Par exemple, dans la certification HDS, les sauvegardes sont obligatoires, mais pas les sauvegardes immuables, alors qu’elles sont très importantes en cas d’attaques de ransomware qui ciblent couramment les établissements de santé ».
HDS versus SecNumCloud
Voilà un certain temps qu’ITS Integra travaille sur les problématiques de sécurité. Aujourd’hui, le prestataire travaille sur la certification SecNumCloud déployée depuis quelques années en France par l’ANSSI qui impose que les données soient hébergées en France. Cette certification, qui n’est pas spécifiquement axée sur la santé, apporte un très haut niveau de sécurité sur des infrastructures qui nécessitent d’être très sécurisées. « La certification se développe pas mal, de plus en plus de prestataires sont en train de la passer et nous nous y préparons, preuve que nous avons l’expertise et les compétences en interne pour accompagner nos clients sur ces problématiques sécuritaires ».
Et si la certification SecNumCloud continue à se développer, la question de l’avenir de la certification HDS pourrait finir par se poser. Aujourd’hui déjà, de plus en plus de clients du public ou du privé dans le domaine de la santé demandent à avoir des prestataires SecNumCloud. « Même s’il n’est pas obligatoire pour le moment, ce très haut niveau de sécurité est une bonne chose pour les données de santé ».
Au passage, Geoffroy de Lavenne regrette que l’hébergement du Health Data Hub, le projet de puits de données de santé pour la recherche, engagé en plein Covid, ait été octroyé par le Gouvernement français à Azure au motif que les prestataires nationaux n’étaient pas au niveau technologique du fournisseur américain. « Certes, Azure est certifié HDS mais il est soumis à l’extraterritorialité et au Cloud Act et ne peut être certifié SecNumCloud ! » L’outil est en production, mais l’affaire n’est pas finie : des prestataires ont porté plainte devant la Cour européenne de justice.
Découvrir le magazine
En savoir plus sur notre offre HDS