Deux ans après, quel bilan ?

L’un des principaux changements induit par la certification est la délivrance des certificats HDS par un organisme indépendant accrédité par le Comité Français d’Accréditation (COFRAC), et non plus par l’Agence des Systèmes d’Information Partagés de Santé (ASIP Santé), devenue l’Agence du Numérique en Santé (ANS) fin 2019. Sept organismes ont franchi le pas et sont désormais accrédités. Ces organismes avaient tout intérêt à se mobiliser rapidement pour anticiper les nouvelles demandes de certification ISO 27001 et HDS et ainsi augmenter leur part de marché.

Et la demande est importante ! Au 21/02/2020, 89 organisations ont déjà obtenu la certification HDS, soit près de 4 certifiés par mois. Parmi elles, certaines disposaient déjà d’un agrément Hébergeur de Données de Santé.

Figure 1. Répartition des organisations certifiées Hébergeur de Données de Santé (HDS)

Sans surprise, la majorité des acteurs ayant obtenu la certification HDS sont des entreprises proposant des services d’hébergement et d’infogérance, incluant des fournisseurs cloud internationaux, et des éditeurs de logiciels. Ils représentent à eux seuls 83% des certifiés. Poussés principalement par des motivations économiques, ces acteurs mettent tous les arguments de leur côté pour conserver leurs clients et élargir leur portefeuille aux organisations ne souhaitant pas se lancer dans l’aventure de la certification HDS.

D’autres sociétés telles que des fournisseurs d’équipements biomédicaux ou de biotechnologies, des groupements de santé (Groupement d’Intérêt Public, Groupement de Coopération Sanitaire) ainsi qu’une mutuelle ont également franchi le cap, mais restent précurseurs dans leur domaine d’activité.

Et les établissements de santé ?

À date, seuls 3 groupements d’établissements de santé privés sont certifiés HDS, mais ce chiffre pourrait augmenter très prochainement. En effet, les Groupements Hospitaliers de Territoire (GHT) sont en cours de mise en œuvre de leur Système d’Information convergent, projet qui devrait s’étendre sur une durée plus longue qu’initialement anticipée dans de nombreux GHT. Ainsi qu’évoqué dans notre précédent article, ces travaux peuvent ainsi amener l’établissement support d’un GHT à héberger des données de santé pour le compte des autres établissements. Deux choix s’offrent alors à lui :

• Obtenir la certification HDS. C’est l’option vers laquelle devraient se tourner la plupart des établissements de taille importante. En effet, la taille de leur DSI leur permet généralement de réaliser le projet et d’offrir le service à long terme au GHT. Afin de se laisser le temps d’obtenir la certification HDS, certains d’entre eux optent pour un hébergement temporaire des applications mutualisées chez un acteur déjà certifié ou encore agréé HDS ;
• Externaliser l’hébergement des données de santé chez un acteur certifié. Cette option sera notamment plébiscitée par les établissements de taille limitée, pour qui l’investissement associé à une certification parait disproportionné. Ces établissements pourront par exemple privilégier un hébergement auprès d’acteurs certifiés HDS de taille comparable, qui seront plus à même de s’adapter à leurs besoins, et qui auront l’habitude de travailler avec des établissements de la santé.

Quels sont les principaux chantiers d’une mise en conformité HDS ?

La certification HDS reposant en premier lieu sur une certification ISO 27001, les recommandations de mise en œuvre de nos précédents articles restent applicables. Au-delà de la mise en place du Système de Management de la Sécurité de l’Information (SMSI) et d’un fort accompagnement au changement, les chantiers complémentaires reposent sur des exigences de l’ISO 20000-1 et de l’ISO 27018, ainsi que sur quelques exigences spécifiques santé. Ces chantiers de mise en conformité HDS d’un SMSI peuvent être
répartis en trois domaines :

Figure 2. Chantiers de mise en conformité HDS d’un Système de Management de la Sécurité de l’Information (SMSI)

Pour les organisations déjà certifiées ISO 27001 ou se conformant déjà aux normes ISO précitées, l’effort à fournir pour obtenir la certification HDS est moindre, et peut s’apparenter à un « quick win ».

Pour celles possédant un agrément HDS, la marche à franchir peut rester assez haute. En plus de la formalisation d’un référentiel documentaire plus conséquent que pour l’agrément, le contrôle de la conformité de l’ensemble du périmètre (ou « domaine d’application » au sens de l’ISO 27001) et de la démarche d’amélioration continue par un organisme indépendant spécialisé représente une difficulté additionnelle, gage de la valeur de cette certification.

Enfin, pour les organisations ne disposant d’aucun des accélérateurs précédents, l’effort à fournir dépendra du niveau de maturité vis-à-vis du référentiel de certification.

Quels financements pour les établissements de santé ?

Aujourd’hui, aucun financement direct des projets de certification ou d’externalisation n’est proposé. Cependant, grâce au programme HOP’EN, successeur du programme Hôpital Numérique, 420 millions d’euros sont prévus pour permettre aux GHT de financer la modernisation de leur SI. Ils pourront ainsi se tourner vers ces financements pour la construction de leur SI convergent. Tout comme son prédécesseur, le programme HOP’EN définit des indicateurs permettant aux établissements de mesurer leur maturité vis-à-vis des prérequis et des sept domaines fonctionnels. Une boite à outils a été publiée par l’Agence Nationale d’Appui à la Performance des établissements sanitaires et médico-sociaux (ANAP) pour faciliter l’atteinte des prérequis.

Comment sécuriser l’obtention de la certification ?

En fonction de la maturité de l’organisation, un projet de certification peut représenter une charge et des investissements lourds dans la durée, aussi bien lors du projet qu’à son issue pour assurer le maintien des certifications les années suivantes. Afin de sécuriser l’atteinte de l’objectif, certaines organisations optent pour une stratégie de certification en deux temps : pour commencer, elles se concentrent sur la certification ISO 27001, puis s’attèlent dans un second temps à la certification HDS. Ce choix comporte de nombreux avantages :

• Sécuriser l’obtention de chaque certification en limitant le nombre de nouvelles exigences à respecter et ainsi limiter le risque de non-conformité ;
• Faciliter la conduite du changement et l’appropriation des exigences à atteindre par les équipes : se concentrer sur un référentiel à la fois permet de simplifier la mise en place des nouveaux processus et nouvelles règles de sécurité en réduisant l’ampleur du changement à chaque étape ;
• Se laisser du temps pour mener à bien les chantiers de mise en conformité. Cette option permet de répartir les charges et investissements à réaliser sur une plus longue période. Cela est valable en particulier pour les chantiers techniques de mise en conformité cités précédemment, qui peuvent être particulièrement onéreux et chronophages.

Une seconde bonne pratique pour sécuriser cette certification est de réaliser un audit à blanc, c’est-à-dire un audit préparatoire mais réalisé dans les conditions réelles d’un audit de certification HDS. L’organisation y trouvera deux principaux apports :

• Obtenir l’avis d’un auditeur, indépendant vis-à-vis de l’équipe projet et de l’auditeur de certification, quant à ses chances d’obtenir la certification. L’auditeur aidera également à peaufiner et corriger les derniers détails avant le démarrage de l’audit de certification ;
• Préparer et entrainer les équipes à l’exercice de l’audit, et en particulier les aider à préparer les réponses et preuves à présenter à l’auditeur.

Des évolutions à venir ?

Après moins de 2 ans d’existence, le référentiel s’apprête à subir de grosses modifications. En effet, l’Asip Santé a annoncé en avril dernier la volonté de retirer l’activité 5 du référentiel de certification. Cette activité, concernant l’administration et l’exploitation du système d’information contenant les données de santé, a suscité débat. En effet, les activités d’infogérance pouvant être dissociées des activités d’hébergement, il peut s’avérer difficile voire impossible pour un acteur ne réalisant que les activités d’infogérance d’être consulté sur les choix réalisés en termes de sécurité de l’hébergement, et ainsi de respecter l’intégralité des exigences du référentiel. Les exigences liées à l’activité 5 devraient donc être proposées sous un nouveau format à l’avenir, afin de s’adapter davantage aux activités d’infogérance.

De nombreux établissements de santé, à l’instar des infogérants et les éditeurs de logiciels de santé, espèrent eux aussi un assouplissement du référentiel de certification HDS. Les exigences imposant l’atteinte d’un niveau de sécurité élevé pour la protection des données à caractère personnel, la marche à franchir peut s’avérer très haute pour les établissements. Ainsi, certains d’entre eux ont fait le choix de ne viser que la certification ISO 27001 pour le moment. L’évolution des exigences pour les établissements de santé reste également à surveiller, après l’annonce par la Direction Générale de l’Offre de Soins (DGOS) d’une certification des systèmes d’information hospitaliers en 2020, vouée à centraliser toutes les exigences liées à l’informatisation des établissements de santé.

Une autre évolution majeure possible concerne les GHT et leur obligation réglementaire d’héberger leur SI convergent auprès d’un hébergeur certifié HDS. Cette obligation ne perdure en effet que tant qu’un GHT reste constitué de personnes morales indépendantes. Cette obligation pourrait ainsi devenir caduque en cas constitution d’« établissements publics de santé territoriaux » en lieu et place des GHT, ainsi que proposé dans le récent rapport de l’Inspection Générale des Affaires Sociales (IGAS). Ce changement reste néanmoins peu probable à court et moyen terme.

Ces possibles évolutions ne semblent aujourd’hui pas affecter les demandes de certification ISO 27001, dont le volume continue de croître en France ainsi qu’anticipé dans notre précédent article, avec une croissance de 27% des certificats ISO 27001 entre 2017 et 2018 selon les derniers chiffres publiés par l’ISO. Cette croissance devrait logiquement se poursuivre sur les années à venir.

Cet article Certification Hébergeur de Données de Santé : deux ans déjà ! est apparu en premier sur RiskInsight.

A NEW LEGAL FRAMEWORK IN 2018 FOR HEALTH DATA HOSTING

The Health Data Hosting Decree was published in the French Official Journal on February 28, 2018. This decree confirms the developments announced in the Order of January 12, 2017, relating to the hosting of personal health data, which is itself an instrument of the act to modernize the health system of January 26, 2016.

This new decree makes Health Data Host certification mandatory for any public or private organization that hosts “personal health data collected during prevention, diagnosis, care, and social or medical follow-up activities, on behalf of natural or legal persons who are the source of the production or collection of this data, or on behalf of patients themselves”.

Health Data Host certification must be overseen by an independent body, which has been accredited by the French Accreditation Committee (COFRAC) or one of its European equivalents. Achieving certification confirms the conformity of the service with all the relevant requirements. Health Data Host certification remains valid for three years but is subject to annual monitoring.

APPROVAL OR CERTIFICATION: WHAT’S THE DIFFERENCE?

As part of the approval process, the candidate organization had to compile a (large!) application file which included a set of completed forms and supporting documents, as well as a compliance audit report prepared by a company of its choosing.

Rather than starting from scratch every time, Health Data Hosting certification now relies almost exclusively on recognized international standards: ISO 27001 in its entirety—and parts of ISO 27017, ISO 27018, and ISO 20000-1. Some specific requirements are added too; these mainly focus on two aspects:

• The protection of health data: protection of outsourced backups, prohibition of the use of health data for purposes other than the provision of hosting services, the traceability (including names) of the use of generic accounts, and other provisions;
• The transparency of the service: the option for the customer to carry out audits, a mandatory revocation policy, including the methods that will be used to return data, provision of the certification audit report at the client’s request, etc.

Beyond the “usual” gains provided by ISO 27001 certification, which are discussed at length in some of our previous articles, these additional requirements aim to professionalize the hosting of services, improve transparency between the hosting provider and its customers, strengthen health-data security, and reaffirm the rights of those whose personal data is being processed in accordance with the General Data Protection Regulation (GDPR).

HEALTH DATA CERTIFICATION REALLY MEANS TWO CERTIFICATES

Health Data Host certification now includes two separate certificates, each tailored to a specific type of activity that the host may choose to carry out:

• A “Data Management Host” certificate;
• A “Physical Infrastructure Host” certificate

The diagram below, taken from requirements for Health Data Hosting, provides the relevant detail on the certificate required for the type of health data hosting activity to be carried out.

Activities requiring Health Data Host certification (diagram from accreditation requirements reference material v1.0, accessed on 04/04/2018)

A certificate is required if at least one activity within the scope of the certification type is to be carried out. For example, a hosting provider offering the outsourced backup of health data (Activity 6) will need to have a “Data Management Host” certificate; it will therefore have to comply with for requirements of the Health Data Host certification for this form of certification. Similarly, a p  rovider supplying premises (Activity 1) must have a “Physical Infrastructure Host” certificate and comply with the requirements applying to that type of certification.

Every hosting provider will have to acquire one or both certificates, depending on the health data hosting services it plans to offer to its clients.

FUTURE CERTIFICATION FOR APPROVED HEALTH DATA HOSTS…

Health Data Hosting approvals remain valid until they expire (withdrawal or suspension notwithstanding, as was the case when this was the regime in force). The period of validity will be extended by six months for approvals due to expire before March 31, 2019. After this date, all Health Data Hosts will have to obtain Health Data Host certification.

The mandatory nature of certification will boost the French market for ISO 27001 certifications, which is currently sluggish, according to ISO’s most recent study: in 2016, only 209 valid ISO 27001 certificates were awarded, compared with 227 in 2015.

120 Health Data Hosts have already been approved and logged on ASIP Santé’s (the French government’s digital health agency) website . Although some are already ISO 27001 certified (and assuming that the scope of the Information Security Management System includes the hosting of health data), additional certification will be required to become a certified Health Data Host. For the rest, certification covering all requirements will be needed, and this development should, in itself, lead to growth in the market for ISO 27001 certifications in future years.

… AND SOME FACILITIES THAT ARE PART OF AREA HOSPITAL GROUPS (GHTs)

Another consequence of the act to modernize the French health system is that public health facilities are currently coming together as Area Hospital Groups (GHTs) to share aspects of their work. Each of the 135 GHTs is organized around a support facility, which provides a range of services to the GHT, including “Strategy, optimization, and joint management of a combined hospital information system” (Article 107 of the act). This provision requires the implementation of unique applications for all GHT facilities and each functional area (computerized patient files, medication circuits, biology, imaging, etc.).

GHTs have two main (though not exclusive) options:

• Contract a certified third-party Health Data Host to host their data; or
• Host their data within one of the GHT’s facilities (for example, the support facility).

In the latter case, the host establishment will need to be a certified Health Data Host. While the majority of GHTs are still considering whether to outsource all, or part, of their combined information system, in late 2017, 57% of them were still planning to outsource hosting. Nevertheless, large numbers of GHTs may well, in the end, choose to maintain their health information system within the GHT and certify the host facility, in order to maintain full control of the information system and health data. This choice is likely to be seen mainly among GHTs that have large support facilities (a large central hospital, for example). This, then, will also drive strong growth in the number of ISO 27001 certificates issued in France.

FINANCIAL HELP TO SUPPORT THE TRANSFORMATION OF GHTs

To support the creation of their combined ISs, GHTs can draw on various forms of financial support. €20m has already been invested through Regional Health Agencies (ARSs), and a call for projects, with a scope of €25m, was announced at the end of 2017 by the French government agency, DGOS. The scope of the e-Hôp 2.0 Program , the successor to the 2012-2017 Digital Hospitals Program, should have seen funding, to a level of €400m, to support the development of health-care facilities to 2021. Given that it has been recently replaced by the Hop’EN Program, the eventual level of funding remains unknown at present.

Part of this funding may be used by GHTs to configure their combined information systems, for example by financing an outsourcing program with a certified hosting provider, or by financing the Health Data Host certification of one of the GHT’s facilities.

By changing the regulations related to the health data hosting at a time when the GHTs are configuring their combined ISs, the government is seizing the opportunity to strengthen the data security of patients treated by the public health service. Indirectly, this provides a dual driver for growth in the French market for ISO 27001 certification, which will result in the standardization, and dissemination of good practice, in information-security management across the healthcare sector.

Although the result of long-awaited developments, this growth is likely to lead to an explosion of applications for ISO 27001 certification and health data hosting in the coming years: will COFRAC, and the companies that will be accredited to deliver Health Data Host certification, be able to meet demand? …There could be a bottleneck on the horizon.

Cet article “HEALTH DATA HOSTS”: HEALTH PROVIDES A SHOT IN THE ARM FOR THE FRENCH ISO 27001 CERTIFICATION MARKET est apparu en premier sur RiskInsight.

Le Cloud impose-t-il une évolution forcée ?

Le Cloud simplifie l’accès à l’outil informatique en focalisant l’énergie de l’utilisateur sur le choix du service plutôt que sur la démarche de mise en œuvre. Cette facilité d’accès à des services « clé en main » peut inciter les Métiers de l’entreprise à traiter directement avec les offreurs Cloud sans impliquer la DSI. Pour contrôler l’adoption des services Cloud, la DSI doit devenir un acteur incontournable de ses Métiers : non pas en s’imposant mais bien devenant un partenaire légitime du Métier, apporteur de valeur ajoutée aux services Cloud.

Une priorisation des chantiers nécessaire

Le Cloud n’est pas qu’un outil technique à destination de la DSI seule. Il est essentiel de mettre en place sa stratégie Cloud en impliquant la Direction de l’entreprise pour prendre en compte l’existant et les besoins à venir, en déduire le périmètre éligible et enfin choisir ses modèles de sourcing (Public et/ou privé) et le type de Cloud (IAAS, PAAS et/ou SAAS) adapté aux cas d’usage. Deuxième étape pour la DSI : promouvoir cette stratégie auprès des Métiers avec ses sponsors en valorisant les apports de la démarche et en éclairant les contraintes liées à son utilisation.

A ce stade la DSI devra choisir entre 2 positionnements :

1) Un accès direct des métiers aux fournisseurs Cloud

La DSI ne porte pas la responsabilité du choix des fournisseurs mais apporte son expertise sur les dimensions :
•    Contractuelles, en mettant à profit l’expérience de la DSI pour définir les engagements en matière de niveau de service, de traçabilité, de pilotage des coûts…
•    Techniques, en accompagnant les projets sur l’intégration des services Cloud dans le SI de l’entreprise tout en respectant les contraintes internes de sécurité et d’échanges de données
•    Légales, en apportant sa connaissance des contraintes liées à l’hébergement des données (données personnelles, données sensibles d’entreprise, législation française, contraintes sectorielles…)
•    De réversibilité technique et opérationnelle, pour préparer en amont le désengagement d’un fournisseur.

2) Une DSI « broker de Cloud »

La DSI se positionne comme l’interlocuteur unique à la fois du Métier et des fournisseurs Cloud.  Le rôle d’expertise reste d’actualité et voit son périmètre étendu par une fonction de gestion des  relations clients et fournisseurs. La DSI est alors en responsabilité :
•    D’intégrer des services Cloud technique ou métier au catalogue de la DSI
•    De piloter et de garantir la qualité des services exposés par la DSI
•    De définir et de mettre en place les outils permettant une intégration au SI des services Cloud (IAM, échanges, service management…)
•    De faire évoluer ses processus internes pour fournir un service utilisateur unifié indépendamment des modes de sourcing
•    Et bien sûr, de fournir ces services Cloud au meilleur coût du marché à ses utilisateurs !

Bien que la stratégie de positionnement soit à définir suivant le contexte particulier de chaque entreprise, une majorité aura intérêt à adopter un positionnement « broker de Cloud ». Ce positionnement permettra de définir une stratégie IT globale cohérente entre les besoins internes et les possibilités offertes par les fournisseurs. Elle permettra ainsi de tirer toute la valeur économique et qualitative d’une approche Cloud par le biais d’achats massifiés et intégrables de manière standardisée au SI.

Les « temps métiers » et les « temps IT traditionnels» n’ont plus la même échelle, le Cloud est un des vecteurs de transformation qui permet de contribuer à la performance globale de l’entreprise. Néanmoins, pour combler ce décalage, la DSI doit être en perpétuelle transformation pour fournir les moyens nécessaires aux ambitions de l’entreprise.

Cet article Le Cloud computing : vers une DSI orientée service ? est apparu en premier sur RiskInsight.