Dans un contexte où la transformation numérique du secteur de la santé s’accélère, la protection des données de santé est un enjeu toujours plus critique. En 2021, notre article « Certification Hébergeur de Données de Santé : deux ans déjà ! », par Laurent Guille et Alexandra Cuillerdier, dressait un premier bilan prometteur du référentiel HDS. Face à la croissance des enjeux liés à la souveraineté des données et à la cybersécurité, une refonte s’imposait. Cette évolution vers HDS v2, entrée en vigueur en 2024, marque un tournant dans l’approche de l’hébergement des données de santé en France, en renforçant la protection et la souveraineté des données de santé dans un contexte numérique en constante évolution. 

HDS v1 : un premier cadre structurant mais perfectible 

Depuis son introduction en 2018, le référentiel HDS a contribué à structurer et professionnaliser le secteur de l’hébergement des données de santé. Cependant, cette première version du référentiel présentait certaines limitations. En particulier, le cadre initial présentait des zones d’ombre concernant la souveraineté des données, notamment sur la localisation et le contrôle des données de santé. En outre, l’évolution rapide des menaces cyber et des technologies imposait une mise à jour substantielle des exigences de sécurité pour maintenir un niveau de protection adapté aux risques actuels. 

Refonte du cadre technique et sécuritaire 

Sur le plan technique, les nouvelles exigences de la norme ISO 27001:2023 sont adoptées au sein de la nouvelle version de HDS. Cette mise à jour intègre une gestion des risques de sécurité adaptée aux nouveaux contextes numériques, ainsi que de nouveaux contrôles liés à la cybersécurité. 

Les autres références normatives sont quant à elles rationnalisées. Les références aux normes ISO 20000-1, ISO27017 et ISO27018 disparaissent dans le cadre d’HDS v2 tandis que 31 exigences spécifiques sont directement intégrées dans le référentiel, qui s’appuie également sur la norme ISO/IEC-17021-1:2015 pour encadrer l’évaluation de la conformité. Cette nouvelle version vient également préciser l’articulation avec les exigences du référentiel SecNumCloud afin de faciliter l’obtention de la certification HDS pour les hébergeurs déjà qualifiés SecNumCloud. 

Un renforcement majeur de la souveraineté numérique 

L’une des évolutions les plus marquantes d’HDS v2 concerne le renforcement de la souveraineté numérique. Le nouveau référentiel impose désormais que l’hébergement physique des données de santé soit réalisé exclusivement sur le territoire de l’Espace Économique Européen (EEE). Cette exigence vient renforcer les garanties en termes de protection des données et contribue à l’émergence d’un écosystème d’acteurs européens dans le domaine de la santé numérique. 

Elle est complétée par le renforcement de la transparence, qui devient également un enjeu central du dispositif, avec deux obligations majeures : 

• Les hébergeurs doivent désormais publier sur leur site internet une cartographie des éventuels transferts de données vers des pays hors EEE, permettant ainsi aux personnes concernées et aux acteurs de santé d’avoir une visibilité claire sur le parcours de leurs données ;
• En cas d’accès distant aux données depuis un pays tiers ou de soumission à une législation extra-européenne n’assurant pas un niveau de protection adéquat au sens de l’article 45 du RGPD, l’hébergeur doit en informer ses clients dans le contrat. Il doit notamment préciser les risques associés et détailler les mesures technique et juridiques mises en œuvre pour les limiter.

Renforcement des exigences contractuelles 

L’encadrement de la sous-traitance fait l’objet d’une attention particulière dans HDS v2. Les mesures associées sont renforcées et les hébergeurs doivent désormais notamment : 

• Détailler précisément les activités d’hébergement certifiées dans leurs contrats ;
• Maintenir une transparence totale sur leur chaîne de sous-traitance ;
• S’assurer que leurs sous-traitants respectent les mêmes exigences de sécurité et de localisation des données ;
• Mettre en place des mécanismes de contrôle et d’audit de leurs sous-traitants.

Ces nouvelles obligations contractuelles visent à garantir une meilleure maîtrise de la chaîne de valeur et une plus grande transparence pour les responsables de traitement. 

Conséquences pratiques pour l’écosystème 

Pour les hébergeurs de données de santé, ces évolutions du référentiel impliquent une adaptation de leurs infrastructures pour garantir la localisation des données dans l’EEE. Elles nécessitent également une mise à niveau de leurs mesures de sécurité pour répondre aux exigences de la version 2023 de la norme ISO 27001 et la revue des contrats, tant avec leurs clients qu’avec leurs sous-traitants. 

Perspectives et mise en œuvre 

Cette nouvelle version modernisée du référentiel HDS permet de répondre aux enjeux croissants de sécurité, de souveraineté et de transparence. Sa mise en œuvre s’échelonne sur environ deux ans, avec une application immédiate pour les nouvelles certifications à partir du 16 novembre 2024, et une période de transition jusqu’au 16 mai 2026 pour les hébergeurs déjà certifiés HDS v1. 

À plus long terme, plusieurs questions se posent sur l’évolution du dispositif. À l’heure où la directive NIS 2 intègre déjà les prestataires de soins de santé et l’industrie pharmaceutique parmi ses secteurs d’activité essentiels, tout en classant la fabrication de dispositifs médicaux et de diagnostic in vitro dans ses secteurs importants, l’émergence d’HDS 2 soulève une question : la coopération européenne pourrait-elle aboutir à un cadre encore plus intégré pour la protection des données de santé et harmoniser les pratiques à l’échelle du continent ? 

Cet article Evolution du référentiel HDS – Vers une sécurité et une souveraineté renforcées  est apparu en premier sur RiskInsight.

Le succès de ces normes s’observe largement en France comme à l’international depuis de nombreuses années. Cette tendance a par exemple été à nouveau confirmée fin 2022 dans l’ISO Survey, étude annuelle menée par l’ISO : +19% de certifications ISO 27001 au niveau mondial entre 2020 et 2021, +44% en France.

Après près de 10 ans de bons et loyaux services dans leur précédente version majeure, datant de 2013, les normes ISO 27001 et ISO 27002 ont vu leur troisième édition publiée en 2022. Quels sont les changements apportés et comment les prendre en compte ?

Le premier changement évident traduit l’évolution du domaine de la « Sécurité de l’information » au cours de la décennie : la « cybersécurité » et la « protection de la vie privée » s’inscrivent dorénavant dans le titre des normes :

• ISO/IEC 27001:2022 Sécurité de l’information, cybersécurité et protection de la vie privée — Systèmes de management de la sécurité de l’information – Exigences ;
• ISO/IEC 27002 :2022 Sécurité de l’information, cybersécurité et protection de la vie privée — Mesures de sécurité de l’information.

L’évolution des mesures de sécurité (Annexe A), principal changement de l’ISO 27001

La nouvelle édition de la norme ISO 27001 ne présente que très peu de changements dans son corps : les quelques évolutions viennent principalement clarifier ou expliciter certaines clauses de la norme sans changer le fond.

Quelques évolutions demanderont des évolutions limitées du SMSI, telles que :

• L’obligation dorénavant explicite de documenter les objectifs du SMSI et de surveiller leur atteinte (clauses 6.2 d) et g)) ;
• La nécessité de planifier les changements du SMSI (clause 6.3) : cette clause pourra par exemple être couverte en étendant le processus de gestion des améliorations du SMSI à tout changement du SMSI, ou en s’appuyant directement sur le processus de gestion des changements de l’organisation ;
• Le renforcement de l’obligation de maîtriser les processus externalisés qui concourent à l’application des exigences retenues ou à l’atteinte des objectifs du SMSI, en l’étendant aux produits et services externalisés (clause 8.1) ;
• La possibilité de choisir à quelles attentes des « parties intéressées » (clients, directions métiers, collaborateurs, etc.) le SMSI doit répondre (clause 4.2 c)) : la norme autorise maintenant l’exclusion de certaines attentes. Cette clause peut ainsi permettre de prioriser certaines attentes ou de choisir entre des attentes mutuellement exclusives. Cette évolution nécessitera probablement une transparence accrue vis-à-vis des parties intéressées afin de les informer des décisions prises. A noter que la revue de direction devra dorénavant prendre en compte les évolutions des attentes des parties intéressées (clause 9.3.2 e)), en sus du retour d’information des parties intéressées précédemment exigé.

L’évolution principale de la norme ISO 27001 réside néanmoins dans son annexe A. Cette annexe fournit un catalogue de mesures de sécurité, elles-mêmes détaillées dans la nouvelle version de l’ISO 27002, qui fournit pour chacune des informations complémentaires et des recommandations d’implémentation.

Les mises à jour de cette annexe A peuvent ainsi être étudiées à partir de la nouvelle version de l’ISO 27002.

Une version modernisée de l’ISO 27002, plus simple d’utilisation

La mise à jour de l’ISO 27002 permet de la simplifier, la moderniser et de faciliter son utilisation.

La norme bénéficie tout d’abord d’une organisation simplifiée : auparavant réparties dans 14 chapitres (certains au titre quelque peu alambiqué…), les mesures de sécurité sont dorénavant rassemblées en 4 : les mesures organisationnelles, les mesures liées aux personnes, les mesures physiques et les mesures technologiques.

Autre élément de simplification, cette édition donne lieu à une (nouvelle) réduction du nombre de mesures de sécurité, passant de 114 à 93 (pour mémoire 133 dans la version initiale de 2005). Sur le fond, la majorité des mesures restent proches de la précédente version mais sont réorganisées. Les changements sont synthétisés ci-dessous :

A noter que l’annexe B détaille la correspondance entre les exigences de l’ancienne et de cette nouvelle version de la norme : elle constituera un outil très utile aux organisations dans la phase de transition (a minima pour mettre à jour le plan de traitement des risques et la déclaration d’applicabilité).

11 nouvelles mesures viennent par ailleurs enrichir la norme en répondant à certains manques de la précédente version ainsi qu’aux évolutions de ces dernières années :

• Trois mesures viennent notamment renforcer la protection des données : la suppression des informations non essentielles ou à échéance (Information deletion), la prévention des fuites d’information (Data leakage prevention) et le masquage des informations sensibles (Data masking). A noter que la norme n’oblige ni ne limite l’application de ces mesures aux données à caractère personnel : chaque organisation reste libre de retenir ou non ces mesures en fonction de son évaluation des risques et de les appliquer aux catégories d’information adaptées à son contexte.
• Le volet de la résilience opérationnelle se renforce lui aussi de quatre mesures : intégration du renseignement sur les menaces liées à la sécurité de l’information (Threat intelligence), surveillance des comportements anormaux sur les SI afin de permettre la détection des incidents de sécurité (Monitoring activities), surveillance des accès physiques et détection d’intrusion (Physical security monitoring) et intégration de la résilience opérationnelle numérique au service de la continuité d’activité de l’organisation (ICT readiness for business continuity).
• Une mesure, certes unique, mais dédiée à la sécurité du Cloud (Information security for use of cloud services) fait son entrée, invitant les organisations à définir un processus de gestion de ces services depuis leur souscription jusqu’à leur terminaison, intégrant les mesures de sécurité choisies par l’organisation.
• Les trois mesures complémentaires renforcent la protection des SI à différents niveaux :
  • Une mesure liée au durcissement et à la protection des configurations (Configuration management) ;
  • Une mesure liée à la sécurité des développements (Secure coding) ;
  • Une mesure visant à définir une politique de filtrage pour les accès à Internet (Web filtering).

Autre nouveauté majeure (uniquement présente dans l’ISO 27002) pour faciliter l’appropriation et l’utilisation de la norme, la description de chaque mesure présente dorénavant cinq attributs pouvant contenir une ou plusieurs valeur(s) parmi les suivantes :

• Type de mesure de sécurité : #Preventive, #Detective et #Corrective ;
• Propriétés de sécurité de l’information : #Confidentiality, #Integrity, #Availability ;
• Concepts de cybersécurité : #Identify, #Protect, #Detect, #Respond, #Recover ;
• Capacités opérationnelles : #Governance, #Asset_management, #Information_protection, #Human_resource_security, #Physical_security, #System_and_network_security, #Application_security, #Secure_configuration, #Identity_and_access_management, #Threat_and_vulnerability_management, #Continuity, #Supplier_relationships_security, #Legal_and_compliance, #Information_security_event_management, #Information_security_assurance ;
• Domaine de sécurité : #Governance_and_Ecosystem, #Protection, #Defense, #Resilience.

Par exemple, la nouvelle mesure « Threat Intelligence » couvre les trois critères de sécurité #Confidentiality, #Integrity et #Availability.

Ces attributs permettent une exploitation de la norme autrement que par le simple chapitrage et apportent une valeur réelle : par exemple, les concepts de cybersécurité correspondent aux dimensions du NIST (National Institute of Standards and Technology) Cybersecurity Framework (CSF), standard reconnu au niveau international, largement utilisé par les organisations. Le rapprochement des mesures de l’ISO 27002 et du NIST CSF sera ainsi possible pour répondre aux contraintes de nombreuses organisations (réglementaires, audits, reporting, etc.).

Les capacités opérationnelles sont les plus proches des 14 chapitres de l’ancienne version de la norme : ces capacités opérationnelles peuvent ainsi permettre d’organiser la Politique de Sécurité du SI et le référentiel associé en limitant les impacts sur un référentiel aligné sur la précédente version.

Globalement, ces attributs offrent dorénavant une meilleure flexibilité aux organisations qui peuvent désormais construire plus librement leur référentiel de sécurité en fonction de leur contexte.

Quelle transition pour passer à la version 2022 ?

Pour les organisations déjà certifiées ISO 27001, l’effort de transition sera lié à l’évolution des mesures de sécurité, les évolutions du corps de l’ISO 27001 ne nécessitant qu’un investissement limité. Les actions suivantes devront néanmoins être entreprises :

1. Mettre à jour le Manuel du SMSI :
   • Préciser les attentes des parties intéressées et celles qui sont prises en compte par le SMSI,
   • Mettre à jour le processus de gestion des améliorations du SMSI pour y inclure la gestion des changements du SMSI,
   • Insérer un schéma de synthèse des processus permettant de représenter les interactions entre eux ;
2. Documenter les objectifs de sécurité et mettre en place des indicateurs permettant de suivre leur atteinte ;
3. S’assurer que des critères de performance et d’efficacité sont définis pour chaque processus ;
4. S’assurer que les produits et services externalisés sont pris en compte dans le SMSI (ou les y intégrer le cas échéant) ;
5. Intégrer à la revue de direction l’évolution des attentes des parties intéressées, en identifiant celles qui sont couvertes par le SMSI.

Pour s’atteler à l’évolution des mesures, la prochaine mise à jour de l’évaluation des risques de sécurité de l’information et du plan de traitement des risques devra permettre de mesurer la conformité du SMSI aux nouvelles mesures, et d’organiser et planifier la mise en œuvre des éventuelles nouvelles mesures retenues. La déclaration d’applicabilité devra à l’issue être réorganisée et mise à jour pour intégrer les nouvelles mesures.

La Politique de Sécurité du SI (incluant le référentiel associé : chartes, directives, processus, procédures, standards…) devra par ailleurs évoluer pour prendre en compte l’évolution de l’annexe A de l’ISO 27001. L’utilisation des attributs et de l’annexe B de l’ISO 27002 facilitera cette évolution pour l’ensemble des organisations.

En termes de planning, l’ISO 27001:2022 ayant été publiée en octobre 2022, les organisations peuvent désormais exiger une certification ISO 27001:2022. Il reste néanmoins possible de demander une certification ISO 27001:2013 jusqu’en octobre 2023. A compter de novembre 2023, toute nouvelle certification s’effectuera sur la version 2022 de la norme.

Pour les SMSI déjà certifiés ISO 27001, la période de transition est de 3 ans maximum pour basculer sur la version 2022.

Cas particulier des organisations certifiées Hébergeur de Données de Santé (HDS)

Depuis le 1^er avril 2018, les organisations basées en France et hébergeant des données de santé à caractère personnel selon les conditions détaillées dans l’article L1111-8 du Code de la Santé Publique doivent disposer d’une certification Hébergeur de Données de Santé (HDS), nécessitant comme prérequis une certification ISO 27001.

Le référentiel n’ayant pas évolué depuis son entrée en vigueur, les exigences de certification HDS s’appuient toujours sur la version 2013 de la norme ISO 27001. L’appel à commentaires réalisé fin 2022 sur le projet de nouveau référentiel HDS intègre néanmoins la nouvelle version de l’ISO 27001 (bien que le tableau des documents de référence pointe toujours sur l’ISO 27001:2013). Le futur référentiel de certification HDS, dont l’entrée en vigueur est attendue en avril 2023, s’appuiera donc bien sur la nouvelle version de la norme ISO 27001.

A noter que l’évolution du référentiel HDS viendra par ailleurs préciser certains points durs de la certification HDS évoqués dans nos précédents articles, tels que le cadre d’application de l’activité 5 « Administration et exploitation du système d’information contenant les données de santé ».

Conclusion

Ces nouvelles versions des normes de références ISO 27001 et ISO 27002 permettent ainsi d’adapter les mesures de sécurité de l’information aux évolutions récentes du domaine afin de permettre aux organisations de bénéficier des armes les plus à jour pour traiter leurs risques de sécurité de l’information.

Alors qu’un nombre croissant de réglementations s’appuient sur ces normes, à l’instar de l’obligation de la certification ISO 27001 pour les Hébergeurs de Données de Santé en France ou pour les Opérateurs de Services Essentiels en Belgique, cette nouvelle version permet de renforcer le niveau de maturité des organisations sans pour autant les contraindre à des investissements à perte sur la phase de transition. Ces investissements seront majoritairement concentrés sur la prise en compte des nouvelles mesures de sécurité pertinentes pour le traitement des risques de sécurité de l’organisation.

Cet article Evolution des normes ISO 27001 et ISO 27002 : quels impacts pour les organisations concernées ? est apparu en premier sur RiskInsight.

Deux ans après, quel bilan ?

L’un des principaux changements induit par la certification est la délivrance des certificats HDS par un organisme indépendant accrédité par le Comité Français d’Accréditation (COFRAC), et non plus par l’Agence des Systèmes d’Information Partagés de Santé (ASIP Santé), devenue l’Agence du Numérique en Santé (ANS) fin 2019. Sept organismes ont franchi le pas et sont désormais accrédités. Ces organismes avaient tout intérêt à se mobiliser rapidement pour anticiper les nouvelles demandes de certification ISO 27001 et HDS et ainsi augmenter leur part de marché.

Et la demande est importante ! Au 21/02/2020, 89 organisations ont déjà obtenu la certification HDS, soit près de 4 certifiés par mois. Parmi elles, certaines disposaient déjà d’un agrément Hébergeur de Données de Santé.

Figure 1. Répartition des organisations certifiées Hébergeur de Données de Santé (HDS)

Sans surprise, la majorité des acteurs ayant obtenu la certification HDS sont des entreprises proposant des services d’hébergement et d’infogérance, incluant des fournisseurs cloud internationaux, et des éditeurs de logiciels. Ils représentent à eux seuls 83% des certifiés. Poussés principalement par des motivations économiques, ces acteurs mettent tous les arguments de leur côté pour conserver leurs clients et élargir leur portefeuille aux organisations ne souhaitant pas se lancer dans l’aventure de la certification HDS.

D’autres sociétés telles que des fournisseurs d’équipements biomédicaux ou de biotechnologies, des groupements de santé (Groupement d’Intérêt Public, Groupement de Coopération Sanitaire) ainsi qu’une mutuelle ont également franchi le cap, mais restent précurseurs dans leur domaine d’activité.

Et les établissements de santé ?

À date, seuls 3 groupements d’établissements de santé privés sont certifiés HDS, mais ce chiffre pourrait augmenter très prochainement. En effet, les Groupements Hospitaliers de Territoire (GHT) sont en cours de mise en œuvre de leur Système d’Information convergent, projet qui devrait s’étendre sur une durée plus longue qu’initialement anticipée dans de nombreux GHT. Ainsi qu’évoqué dans notre précédent article, ces travaux peuvent ainsi amener l’établissement support d’un GHT à héberger des données de santé pour le compte des autres établissements. Deux choix s’offrent alors à lui :

• Obtenir la certification HDS. C’est l’option vers laquelle devraient se tourner la plupart des établissements de taille importante. En effet, la taille de leur DSI leur permet généralement de réaliser le projet et d’offrir le service à long terme au GHT. Afin de se laisser le temps d’obtenir la certification HDS, certains d’entre eux optent pour un hébergement temporaire des applications mutualisées chez un acteur déjà certifié ou encore agréé HDS ;
• Externaliser l’hébergement des données de santé chez un acteur certifié. Cette option sera notamment plébiscitée par les établissements de taille limitée, pour qui l’investissement associé à une certification parait disproportionné. Ces établissements pourront par exemple privilégier un hébergement auprès d’acteurs certifiés HDS de taille comparable, qui seront plus à même de s’adapter à leurs besoins, et qui auront l’habitude de travailler avec des établissements de la santé.

Quels sont les principaux chantiers d’une mise en conformité HDS ?

La certification HDS reposant en premier lieu sur une certification ISO 27001, les recommandations de mise en œuvre de nos précédents articles restent applicables. Au-delà de la mise en place du Système de Management de la Sécurité de l’Information (SMSI) et d’un fort accompagnement au changement, les chantiers complémentaires reposent sur des exigences de l’ISO 20000-1 et de l’ISO 27018, ainsi que sur quelques exigences spécifiques santé. Ces chantiers de mise en conformité HDS d’un SMSI peuvent être
répartis en trois domaines :

Figure 2. Chantiers de mise en conformité HDS d’un Système de Management de la Sécurité de l’Information (SMSI)

Pour les organisations déjà certifiées ISO 27001 ou se conformant déjà aux normes ISO précitées, l’effort à fournir pour obtenir la certification HDS est moindre, et peut s’apparenter à un « quick win ».

Pour celles possédant un agrément HDS, la marche à franchir peut rester assez haute. En plus de la formalisation d’un référentiel documentaire plus conséquent que pour l’agrément, le contrôle de la conformité de l’ensemble du périmètre (ou « domaine d’application » au sens de l’ISO 27001) et de la démarche d’amélioration continue par un organisme indépendant spécialisé représente une difficulté additionnelle, gage de la valeur de cette certification.

Enfin, pour les organisations ne disposant d’aucun des accélérateurs précédents, l’effort à fournir dépendra du niveau de maturité vis-à-vis du référentiel de certification.

Quels financements pour les établissements de santé ?

Aujourd’hui, aucun financement direct des projets de certification ou d’externalisation n’est proposé. Cependant, grâce au programme HOP’EN, successeur du programme Hôpital Numérique, 420 millions d’euros sont prévus pour permettre aux GHT de financer la modernisation de leur SI. Ils pourront ainsi se tourner vers ces financements pour la construction de leur SI convergent. Tout comme son prédécesseur, le programme HOP’EN définit des indicateurs permettant aux établissements de mesurer leur maturité vis-à-vis des prérequis et des sept domaines fonctionnels. Une boite à outils a été publiée par l’Agence Nationale d’Appui à la Performance des établissements sanitaires et médico-sociaux (ANAP) pour faciliter l’atteinte des prérequis.

Comment sécuriser l’obtention de la certification ?

En fonction de la maturité de l’organisation, un projet de certification peut représenter une charge et des investissements lourds dans la durée, aussi bien lors du projet qu’à son issue pour assurer le maintien des certifications les années suivantes. Afin de sécuriser l’atteinte de l’objectif, certaines organisations optent pour une stratégie de certification en deux temps : pour commencer, elles se concentrent sur la certification ISO 27001, puis s’attèlent dans un second temps à la certification HDS. Ce choix comporte de nombreux avantages :

• Sécuriser l’obtention de chaque certification en limitant le nombre de nouvelles exigences à respecter et ainsi limiter le risque de non-conformité ;
• Faciliter la conduite du changement et l’appropriation des exigences à atteindre par les équipes : se concentrer sur un référentiel à la fois permet de simplifier la mise en place des nouveaux processus et nouvelles règles de sécurité en réduisant l’ampleur du changement à chaque étape ;
• Se laisser du temps pour mener à bien les chantiers de mise en conformité. Cette option permet de répartir les charges et investissements à réaliser sur une plus longue période. Cela est valable en particulier pour les chantiers techniques de mise en conformité cités précédemment, qui peuvent être particulièrement onéreux et chronophages.

Une seconde bonne pratique pour sécuriser cette certification est de réaliser un audit à blanc, c’est-à-dire un audit préparatoire mais réalisé dans les conditions réelles d’un audit de certification HDS. L’organisation y trouvera deux principaux apports :

• Obtenir l’avis d’un auditeur, indépendant vis-à-vis de l’équipe projet et de l’auditeur de certification, quant à ses chances d’obtenir la certification. L’auditeur aidera également à peaufiner et corriger les derniers détails avant le démarrage de l’audit de certification ;
• Préparer et entrainer les équipes à l’exercice de l’audit, et en particulier les aider à préparer les réponses et preuves à présenter à l’auditeur.

Des évolutions à venir ?

Après moins de 2 ans d’existence, le référentiel s’apprête à subir de grosses modifications. En effet, l’Asip Santé a annoncé en avril dernier la volonté de retirer l’activité 5 du référentiel de certification. Cette activité, concernant l’administration et l’exploitation du système d’information contenant les données de santé, a suscité débat. En effet, les activités d’infogérance pouvant être dissociées des activités d’hébergement, il peut s’avérer difficile voire impossible pour un acteur ne réalisant que les activités d’infogérance d’être consulté sur les choix réalisés en termes de sécurité de l’hébergement, et ainsi de respecter l’intégralité des exigences du référentiel. Les exigences liées à l’activité 5 devraient donc être proposées sous un nouveau format à l’avenir, afin de s’adapter davantage aux activités d’infogérance.

De nombreux établissements de santé, à l’instar des infogérants et les éditeurs de logiciels de santé, espèrent eux aussi un assouplissement du référentiel de certification HDS. Les exigences imposant l’atteinte d’un niveau de sécurité élevé pour la protection des données à caractère personnel, la marche à franchir peut s’avérer très haute pour les établissements. Ainsi, certains d’entre eux ont fait le choix de ne viser que la certification ISO 27001 pour le moment. L’évolution des exigences pour les établissements de santé reste également à surveiller, après l’annonce par la Direction Générale de l’Offre de Soins (DGOS) d’une certification des systèmes d’information hospitaliers en 2020, vouée à centraliser toutes les exigences liées à l’informatisation des établissements de santé.

Une autre évolution majeure possible concerne les GHT et leur obligation réglementaire d’héberger leur SI convergent auprès d’un hébergeur certifié HDS. Cette obligation ne perdure en effet que tant qu’un GHT reste constitué de personnes morales indépendantes. Cette obligation pourrait ainsi devenir caduque en cas constitution d’« établissements publics de santé territoriaux » en lieu et place des GHT, ainsi que proposé dans le récent rapport de l’Inspection Générale des Affaires Sociales (IGAS). Ce changement reste néanmoins peu probable à court et moyen terme.

Ces possibles évolutions ne semblent aujourd’hui pas affecter les demandes de certification ISO 27001, dont le volume continue de croître en France ainsi qu’anticipé dans notre précédent article, avec une croissance de 27% des certificats ISO 27001 entre 2017 et 2018 selon les derniers chiffres publiés par l’ISO. Cette croissance devrait logiquement se poursuivre sur les années à venir.

Cet article Certification Hébergeur de Données de Santé : deux ans déjà ! est apparu en premier sur RiskInsight.