Deux ans après, quel bilan ?

L’un des principaux changements induit par la certification est la délivrance des certificats HDS par un organisme indépendant accrédité par le Comité Français d’Accréditation (COFRAC), et non plus par l’Agence des Systèmes d’Information Partagés de Santé (ASIP Santé), devenue l’Agence du Numérique en Santé (ANS) fin 2019. Sept organismes ont franchi le pas et sont désormais accrédités. Ces organismes avaient tout intérêt à se mobiliser rapidement pour anticiper les nouvelles demandes de certification ISO 27001 et HDS et ainsi augmenter leur part de marché.

Et la demande est importante ! Au 21/02/2020, 89 organisations ont déjà obtenu la certification HDS, soit près de 4 certifiés par mois. Parmi elles, certaines disposaient déjà d’un agrément Hébergeur de Données de Santé.

Figure 1. Répartition des organisations certifiées Hébergeur de Données de Santé (HDS)

Sans surprise, la majorité des acteurs ayant obtenu la certification HDS sont des entreprises proposant des services d’hébergement et d’infogérance, incluant des fournisseurs cloud internationaux, et des éditeurs de logiciels. Ils représentent à eux seuls 83% des certifiés. Poussés principalement par des motivations économiques, ces acteurs mettent tous les arguments de leur côté pour conserver leurs clients et élargir leur portefeuille aux organisations ne souhaitant pas se lancer dans l’aventure de la certification HDS.

D’autres sociétés telles que des fournisseurs d’équipements biomédicaux ou de biotechnologies, des groupements de santé (Groupement d’Intérêt Public, Groupement de Coopération Sanitaire) ainsi qu’une mutuelle ont également franchi le cap, mais restent précurseurs dans leur domaine d’activité.

Et les établissements de santé ?

À date, seuls 3 groupements d’établissements de santé privés sont certifiés HDS, mais ce chiffre pourrait augmenter très prochainement. En effet, les Groupements Hospitaliers de Territoire (GHT) sont en cours de mise en œuvre de leur Système d’Information convergent, projet qui devrait s’étendre sur une durée plus longue qu’initialement anticipée dans de nombreux GHT. Ainsi qu’évoqué dans notre précédent article, ces travaux peuvent ainsi amener l’établissement support d’un GHT à héberger des données de santé pour le compte des autres établissements. Deux choix s’offrent alors à lui :

• Obtenir la certification HDS. C’est l’option vers laquelle devraient se tourner la plupart des établissements de taille importante. En effet, la taille de leur DSI leur permet généralement de réaliser le projet et d’offrir le service à long terme au GHT. Afin de se laisser le temps d’obtenir la certification HDS, certains d’entre eux optent pour un hébergement temporaire des applications mutualisées chez un acteur déjà certifié ou encore agréé HDS ;
• Externaliser l’hébergement des données de santé chez un acteur certifié. Cette option sera notamment plébiscitée par les établissements de taille limitée, pour qui l’investissement associé à une certification parait disproportionné. Ces établissements pourront par exemple privilégier un hébergement auprès d’acteurs certifiés HDS de taille comparable, qui seront plus à même de s’adapter à leurs besoins, et qui auront l’habitude de travailler avec des établissements de la santé.

Quels sont les principaux chantiers d’une mise en conformité HDS ?

La certification HDS reposant en premier lieu sur une certification ISO 27001, les recommandations de mise en œuvre de nos précédents articles restent applicables. Au-delà de la mise en place du Système de Management de la Sécurité de l’Information (SMSI) et d’un fort accompagnement au changement, les chantiers complémentaires reposent sur des exigences de l’ISO 20000-1 et de l’ISO 27018, ainsi que sur quelques exigences spécifiques santé. Ces chantiers de mise en conformité HDS d’un SMSI peuvent être
répartis en trois domaines :

Figure 2. Chantiers de mise en conformité HDS d’un Système de Management de la Sécurité de l’Information (SMSI)

Pour les organisations déjà certifiées ISO 27001 ou se conformant déjà aux normes ISO précitées, l’effort à fournir pour obtenir la certification HDS est moindre, et peut s’apparenter à un « quick win ».

Pour celles possédant un agrément HDS, la marche à franchir peut rester assez haute. En plus de la formalisation d’un référentiel documentaire plus conséquent que pour l’agrément, le contrôle de la conformité de l’ensemble du périmètre (ou « domaine d’application » au sens de l’ISO 27001) et de la démarche d’amélioration continue par un organisme indépendant spécialisé représente une difficulté additionnelle, gage de la valeur de cette certification.

Enfin, pour les organisations ne disposant d’aucun des accélérateurs précédents, l’effort à fournir dépendra du niveau de maturité vis-à-vis du référentiel de certification.

Quels financements pour les établissements de santé ?

Aujourd’hui, aucun financement direct des projets de certification ou d’externalisation n’est proposé. Cependant, grâce au programme HOP’EN, successeur du programme Hôpital Numérique, 420 millions d’euros sont prévus pour permettre aux GHT de financer la modernisation de leur SI. Ils pourront ainsi se tourner vers ces financements pour la construction de leur SI convergent. Tout comme son prédécesseur, le programme HOP’EN définit des indicateurs permettant aux établissements de mesurer leur maturité vis-à-vis des prérequis et des sept domaines fonctionnels. Une boite à outils a été publiée par l’Agence Nationale d’Appui à la Performance des établissements sanitaires et médico-sociaux (ANAP) pour faciliter l’atteinte des prérequis.

Comment sécuriser l’obtention de la certification ?

En fonction de la maturité de l’organisation, un projet de certification peut représenter une charge et des investissements lourds dans la durée, aussi bien lors du projet qu’à son issue pour assurer le maintien des certifications les années suivantes. Afin de sécuriser l’atteinte de l’objectif, certaines organisations optent pour une stratégie de certification en deux temps : pour commencer, elles se concentrent sur la certification ISO 27001, puis s’attèlent dans un second temps à la certification HDS. Ce choix comporte de nombreux avantages :

• Sécuriser l’obtention de chaque certification en limitant le nombre de nouvelles exigences à respecter et ainsi limiter le risque de non-conformité ;
• Faciliter la conduite du changement et l’appropriation des exigences à atteindre par les équipes : se concentrer sur un référentiel à la fois permet de simplifier la mise en place des nouveaux processus et nouvelles règles de sécurité en réduisant l’ampleur du changement à chaque étape ;
• Se laisser du temps pour mener à bien les chantiers de mise en conformité. Cette option permet de répartir les charges et investissements à réaliser sur une plus longue période. Cela est valable en particulier pour les chantiers techniques de mise en conformité cités précédemment, qui peuvent être particulièrement onéreux et chronophages.

Une seconde bonne pratique pour sécuriser cette certification est de réaliser un audit à blanc, c’est-à-dire un audit préparatoire mais réalisé dans les conditions réelles d’un audit de certification HDS. L’organisation y trouvera deux principaux apports :

• Obtenir l’avis d’un auditeur, indépendant vis-à-vis de l’équipe projet et de l’auditeur de certification, quant à ses chances d’obtenir la certification. L’auditeur aidera également à peaufiner et corriger les derniers détails avant le démarrage de l’audit de certification ;
• Préparer et entrainer les équipes à l’exercice de l’audit, et en particulier les aider à préparer les réponses et preuves à présenter à l’auditeur.

Des évolutions à venir ?

Après moins de 2 ans d’existence, le référentiel s’apprête à subir de grosses modifications. En effet, l’Asip Santé a annoncé en avril dernier la volonté de retirer l’activité 5 du référentiel de certification. Cette activité, concernant l’administration et l’exploitation du système d’information contenant les données de santé, a suscité débat. En effet, les activités d’infogérance pouvant être dissociées des activités d’hébergement, il peut s’avérer difficile voire impossible pour un acteur ne réalisant que les activités d’infogérance d’être consulté sur les choix réalisés en termes de sécurité de l’hébergement, et ainsi de respecter l’intégralité des exigences du référentiel. Les exigences liées à l’activité 5 devraient donc être proposées sous un nouveau format à l’avenir, afin de s’adapter davantage aux activités d’infogérance.

De nombreux établissements de santé, à l’instar des infogérants et les éditeurs de logiciels de santé, espèrent eux aussi un assouplissement du référentiel de certification HDS. Les exigences imposant l’atteinte d’un niveau de sécurité élevé pour la protection des données à caractère personnel, la marche à franchir peut s’avérer très haute pour les établissements. Ainsi, certains d’entre eux ont fait le choix de ne viser que la certification ISO 27001 pour le moment. L’évolution des exigences pour les établissements de santé reste également à surveiller, après l’annonce par la Direction Générale de l’Offre de Soins (DGOS) d’une certification des systèmes d’information hospitaliers en 2020, vouée à centraliser toutes les exigences liées à l’informatisation des établissements de santé.

Une autre évolution majeure possible concerne les GHT et leur obligation réglementaire d’héberger leur SI convergent auprès d’un hébergeur certifié HDS. Cette obligation ne perdure en effet que tant qu’un GHT reste constitué de personnes morales indépendantes. Cette obligation pourrait ainsi devenir caduque en cas constitution d’« établissements publics de santé territoriaux » en lieu et place des GHT, ainsi que proposé dans le récent rapport de l’Inspection Générale des Affaires Sociales (IGAS). Ce changement reste néanmoins peu probable à court et moyen terme.

Ces possibles évolutions ne semblent aujourd’hui pas affecter les demandes de certification ISO 27001, dont le volume continue de croître en France ainsi qu’anticipé dans notre précédent article, avec une croissance de 27% des certificats ISO 27001 entre 2017 et 2018 selon les derniers chiffres publiés par l’ISO. Cette croissance devrait logiquement se poursuivre sur les années à venir.

Cet article Certification Hébergeur de Données de Santé : deux ans déjà ! est apparu en premier sur RiskInsight.

Un nouveau cadre juridique en 2018 pour l’hébergement de données de santé

Le décret Hébergeur de Données de Santé a été publié au Journal Officiel le 28 février 2018. Ce décret vient entériner l’évolution annoncée dans l’ordonnance du 12 janvier 2017 relative à l’hébergement de données de santé à caractère personnel, elle-même permise par la Loi de modernisation de notre système de santé du 26 janvier 2016.

Ce nouveau décret rend obligatoire la certification Hébergeur de Données de Santé pour toute organisation publique ou privée hébergeant des « données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même ».

La certification Hébergeur de Données de Santé sera délivrée par un organisme indépendant, lui-même préalablement accrédité par le Comité Français d’Accréditation (COFRAC) ou l’un de ses équivalents européens. Cette certification viendra sanctionner le caractère conforme du service à l’ensemble des exigences. Comme pour l’agrément, le certificat Hébergeur de Données de Santé restera valable trois ans, mais fera en revanche l’objet d’une surveillance annuelle.

Agrément ou certification, quelles différences ?

Dans le cadre de la procédure d’agrément, le candidat devait constituer un dossier (volumineux !) composé d’un ensemble de formulaires à remplir et de justificatifs à produire, incluant un rapport d’audit de conformité réalisé par une société de son choix.

Plutôt que de définir un énième référentiel, la certification Hébergeur de Données de Santé se base désormais presque exclusivement sur des normes internationales reconnues : la norme ISO 27001 dans son intégralité et des règles issues des normes ISO 27017, ISO 27018 et ISO 20000-1. Quelques exigences spécifiques y sont également ajoutées, portant principalement sur deux aspects :

• La protection des données de santé : protection des sauvegardes externalisées, interdiction d’utiliser les données de santé à d’autres fins que l’exécution de la prestation d’hébergement, traçabilité nominative de l’utilisation des comptes génériques… ;
• La transparence du service : possibilité pour le client de réaliser des audits, rédaction obligatoire d’une procédure de réversibilité incluant les modalités de restitution des données, communication du rapport d’audit de certification à la demande du client…

Passés les gains « habituels » d’une certification ISO 27001, déjà largement évoqués dans nos articles précédents, les exigences ajoutées visent à professionnaliser l’offre de services d’hébergement, à améliorer la transparence de l’hébergeur vis-à-vis de ses clients, à renforcer la sécurité des données de santé et à réaffirmer les droits des personnes concernées par les données traitées, dans la lignée du Règlement Général sur la Protection des Données (RGPD).

Une certification Hébergeur de Données de Santé qui en cache deux

La certification Hébergeur de Données de Santé inclut dorénavant deux certificats distincts, chacun adapté à un type d’activités pouvant être proposées par l’hébergeur :

• Un certificat « Hébergeur infogéreur » ;
• Un certificat « Hébergeur d’Infrastructure physique ».

Le schéma suivant, issu du référentiel d’accréditation Hébergeur de Données de Santé, précise le certificat attendu en fonction des activités d’hébergement de données de santé réalisées.

Activités devant donner lieu à une certification Hébergeur de Données de Santé (schéma issu du référentiel d’accréditation v1.0, consulté le 04/04/2018)

Chaque certificat est requis si au moins une activité du périmètre du certificat est réalisée. Par exemple, un hébergeur proposant la sauvegarde externalisée de données de santé (activité 6) devra disposer du certificat « Hébergeur Infogéreur » : il devra donc respecter les exigences du référentiel de certification Hébergeur de Données de Santé applicables à ce certificat. De manière similaire, un fournisseur assurant la mise à disposition de locaux (activité 1) devra disposer du certificat « Hébergeur d’Infrastructure physique » : il devra de même respecter les exigences applicables à ce certificat.

Chaque hébergeur devra ainsi acquérir un seul ou les deux certificats en fonction des services d’hébergement de données de santé qu’il offrira à ses clients.

Une certification à venir des Hébergeurs de Données de Santé agréés…

Tout agrément Hébergeur de Données Santé délivré demeure valide jusqu’à son échéance (hors retrait ou suspension, comme précédemment). Cette durée sera prolongée de 6 mois en cas d’échéance avant le 31 mars 2019. Passée cette date, tout hébergeur de données de santé devra obtenir la certification Hébergeur de Données de Santé.

Le caractère obligatoire de la certification relancera ainsi le marché français des certifications ISO 27001, aujourd’hui en berne d’après la dernière étude publiée par l’International Standard Organisation (ISO) : en 2016, seuls 209 certificats ISO 27001 valides étaient comptabilisés, contre 227 en 2015.

120 hébergeurs sont aujourd’hui agréés et référencés sur le site de l’ASIP Santé. Bien que certains soient déjà certifiés ISO 27001 (et en supposant que le domaine d’application du Système de Management de la Sécurité de l’Information inclue l’hébergement de données de santé), un complément de certification leur sera nécessaire pour devenir certifiés Hébergeur de Données de Santé. Pour les autres, une certification sur l’ensemble des exigences sera nécessaire : cette évolution devrait à elle-seule entrainer une croissance du marché des certifications ISO 27001 sur les années à venir.

… et de certains établissements des Groupements Hospitaliers de Territoire

Autre conséquence de la loi de Modernisation de notre système de santé, les établissements publics de santé se rassemblent actuellement sous la forme de Groupements Hospitaliers de Territoire (GHT) pour travailler sur un projet médical partagé. Chacun des 135 GHT est organisé autour d’un établissement support, qui assure différentes fonctions pour le GHT, incluant « La stratégie, l’optimisation et la gestion commune d’un système d’information hospitalier convergent » (article 107). Cette exigence impose notamment la mise en place d’applications uniques pour l’ensemble des établissements d’un GHT, et ce pour chaque domaine fonctionnel (dossier patient informatisé, circuit du médicament, biologie, imagerie, etc.).

Deux solutions principales (mais non exclusives) s’offrent par conséquent aux GHT :

• Faire héberger leurs données de santé auprès d’un hébergeur tiers certifié Hébergeur de Données de Santé ;
• Héberger leurs données au sein d’un des établissements du GHT (par exemple l’établissement support).

Dans ce second cas, l’établissement hébergeur devra être certifié Hébergeur de Données de Santé. Alors que la majorité des GHT se posent la question d’aller ou non vers une externalisation de tout ou partie de leur Système d’Information convergent, 57% d’entre eux envisageaient encore fin 2017 d’externaliser l’hébergement. Il est néanmoins probable que de très nombreux GHT choisissent à terme de maintenir leur Système d’Information de Santé au sein du GHT et de certifier l’établissement hébergeur, ce afin de conserver la pleine maîtrise du Système d’Information et des données de santé. Cette orientation devrait s’observer majoritairement parmi les GHT organisés autour d’un établissement support de taille importante (CHU par exemple). Elle induira alors, elle-aussi, une forte croissance du nombre de certificats ISO 27001 délivrés en France.

Un appui financier pour accompagner la transformation des SI des GHT

Afin d’accompagner la construction de leur SI convergent, les GHT peuvent bénéficier de divers soutiens financiers. 20 millions d’euros ont d’ores-et-déjà été investis au travers des Agences Régionales de Santé (ARS), et un appel à projets doté d’une enveloppe de 25 millions d’euros a été annoncé fin 2017 par la Direction Générale de l’Offre de Soin (DGOS). Le programme e-Hôp 2.0, successeur du programme Hôpital Numérique 2012-2017, devait disposer de son côté d’une enveloppe de 400 millions d’euros pour accompagner le développement des SI des établissements de santé jusqu’en 2021. Récemment remplacé par le nouveau programme Hop’EN, l’enveloppe qui sera in fine allouée reste inconnue.

Une partie de ces financements pourra être mise à profit par les GHT pour structurer leur SI convergent, par exemple en finançant le programme d’externalisation auprès d’un hébergeur certifié, ou en finançant la certification Hébergeur de Données de Santé d’un des établissements du GHT.

En faisant évoluer la réglementation liée à l’Hébergement de Données de Santé au moment même où les Groupements Hospitaliers de Territoire structurent leur SI convergent, l’État saisit l’opportunité de renforcer la sécurité des données des patients traitées par les établissements de santé publics. Indirectement, il insuffle une double dynamique de croissance au marché de la certification ISO 27001 en France, qui permettra de standardiser et disséminer les bonnes pratiques de gestion de la sécurité de l’information sur l’ensemble du secteur de la Santé.

Bien qu’issue d’une évolution attendue de longue date, cette croissance risque d’engendrer une explosion des demandes de certification ISO 27001 et Hébergeur de Données de Santé dans les années à venir : le COFRAC et les sociétés qui seront accréditées pour délivrer les certifications Hébergeur de Données de Santé pourront-elles suivre ? Un engorgement pourrait se profiler à l’horizon.

Cet article « Hébergeur de Données de Santé » : la Santé dynamise le marché français des certifications ISO 27001 est apparu en premier sur RiskInsight.