Deux ans après, quel bilan ?

L’un des principaux changements induit par la certification est la délivrance des certificats HDS par un organisme indépendant accrédité par le Comité Français d’Accréditation (COFRAC), et non plus par l’Agence des Systèmes d’Information Partagés de Santé (ASIP Santé), devenue l’Agence du Numérique en Santé (ANS) fin 2019. Sept organismes ont franchi le pas et sont désormais accrédités. Ces organismes avaient tout intérêt à se mobiliser rapidement pour anticiper les nouvelles demandes de certification ISO 27001 et HDS et ainsi augmenter leur part de marché.

Et la demande est importante ! Au 21/02/2020, 89 organisations ont déjà obtenu la certification HDS, soit près de 4 certifiés par mois. Parmi elles, certaines disposaient déjà d’un agrément Hébergeur de Données de Santé.

Figure 1. Répartition des organisations certifiées Hébergeur de Données de Santé (HDS)

Sans surprise, la majorité des acteurs ayant obtenu la certification HDS sont des entreprises proposant des services d’hébergement et d’infogérance, incluant des fournisseurs cloud internationaux, et des éditeurs de logiciels. Ils représentent à eux seuls 83% des certifiés. Poussés principalement par des motivations économiques, ces acteurs mettent tous les arguments de leur côté pour conserver leurs clients et élargir leur portefeuille aux organisations ne souhaitant pas se lancer dans l’aventure de la certification HDS.

D’autres sociétés telles que des fournisseurs d’équipements biomédicaux ou de biotechnologies, des groupements de santé (Groupement d’Intérêt Public, Groupement de Coopération Sanitaire) ainsi qu’une mutuelle ont également franchi le cap, mais restent précurseurs dans leur domaine d’activité.

Et les établissements de santé ?

À date, seuls 3 groupements d’établissements de santé privés sont certifiés HDS, mais ce chiffre pourrait augmenter très prochainement. En effet, les Groupements Hospitaliers de Territoire (GHT) sont en cours de mise en œuvre de leur Système d’Information convergent, projet qui devrait s’étendre sur une durée plus longue qu’initialement anticipée dans de nombreux GHT. Ainsi qu’évoqué dans notre précédent article, ces travaux peuvent ainsi amener l’établissement support d’un GHT à héberger des données de santé pour le compte des autres établissements. Deux choix s’offrent alors à lui :

• Obtenir la certification HDS. C’est l’option vers laquelle devraient se tourner la plupart des établissements de taille importante. En effet, la taille de leur DSI leur permet généralement de réaliser le projet et d’offrir le service à long terme au GHT. Afin de se laisser le temps d’obtenir la certification HDS, certains d’entre eux optent pour un hébergement temporaire des applications mutualisées chez un acteur déjà certifié ou encore agréé HDS ;
• Externaliser l’hébergement des données de santé chez un acteur certifié. Cette option sera notamment plébiscitée par les établissements de taille limitée, pour qui l’investissement associé à une certification parait disproportionné. Ces établissements pourront par exemple privilégier un hébergement auprès d’acteurs certifiés HDS de taille comparable, qui seront plus à même de s’adapter à leurs besoins, et qui auront l’habitude de travailler avec des établissements de la santé.

Quels sont les principaux chantiers d’une mise en conformité HDS ?

La certification HDS reposant en premier lieu sur une certification ISO 27001, les recommandations de mise en œuvre de nos précédents articles restent applicables. Au-delà de la mise en place du Système de Management de la Sécurité de l’Information (SMSI) et d’un fort accompagnement au changement, les chantiers complémentaires reposent sur des exigences de l’ISO 20000-1 et de l’ISO 27018, ainsi que sur quelques exigences spécifiques santé. Ces chantiers de mise en conformité HDS d’un SMSI peuvent être
répartis en trois domaines :

Figure 2. Chantiers de mise en conformité HDS d’un Système de Management de la Sécurité de l’Information (SMSI)

Pour les organisations déjà certifiées ISO 27001 ou se conformant déjà aux normes ISO précitées, l’effort à fournir pour obtenir la certification HDS est moindre, et peut s’apparenter à un « quick win ».

Pour celles possédant un agrément HDS, la marche à franchir peut rester assez haute. En plus de la formalisation d’un référentiel documentaire plus conséquent que pour l’agrément, le contrôle de la conformité de l’ensemble du périmètre (ou « domaine d’application » au sens de l’ISO 27001) et de la démarche d’amélioration continue par un organisme indépendant spécialisé représente une difficulté additionnelle, gage de la valeur de cette certification.

Enfin, pour les organisations ne disposant d’aucun des accélérateurs précédents, l’effort à fournir dépendra du niveau de maturité vis-à-vis du référentiel de certification.

Quels financements pour les établissements de santé ?

Aujourd’hui, aucun financement direct des projets de certification ou d’externalisation n’est proposé. Cependant, grâce au programme HOP’EN, successeur du programme Hôpital Numérique, 420 millions d’euros sont prévus pour permettre aux GHT de financer la modernisation de leur SI. Ils pourront ainsi se tourner vers ces financements pour la construction de leur SI convergent. Tout comme son prédécesseur, le programme HOP’EN définit des indicateurs permettant aux établissements de mesurer leur maturité vis-à-vis des prérequis et des sept domaines fonctionnels. Une boite à outils a été publiée par l’Agence Nationale d’Appui à la Performance des établissements sanitaires et médico-sociaux (ANAP) pour faciliter l’atteinte des prérequis.

Comment sécuriser l’obtention de la certification ?

En fonction de la maturité de l’organisation, un projet de certification peut représenter une charge et des investissements lourds dans la durée, aussi bien lors du projet qu’à son issue pour assurer le maintien des certifications les années suivantes. Afin de sécuriser l’atteinte de l’objectif, certaines organisations optent pour une stratégie de certification en deux temps : pour commencer, elles se concentrent sur la certification ISO 27001, puis s’attèlent dans un second temps à la certification HDS. Ce choix comporte de nombreux avantages :

• Sécuriser l’obtention de chaque certification en limitant le nombre de nouvelles exigences à respecter et ainsi limiter le risque de non-conformité ;
• Faciliter la conduite du changement et l’appropriation des exigences à atteindre par les équipes : se concentrer sur un référentiel à la fois permet de simplifier la mise en place des nouveaux processus et nouvelles règles de sécurité en réduisant l’ampleur du changement à chaque étape ;
• Se laisser du temps pour mener à bien les chantiers de mise en conformité. Cette option permet de répartir les charges et investissements à réaliser sur une plus longue période. Cela est valable en particulier pour les chantiers techniques de mise en conformité cités précédemment, qui peuvent être particulièrement onéreux et chronophages.

Une seconde bonne pratique pour sécuriser cette certification est de réaliser un audit à blanc, c’est-à-dire un audit préparatoire mais réalisé dans les conditions réelles d’un audit de certification HDS. L’organisation y trouvera deux principaux apports :

• Obtenir l’avis d’un auditeur, indépendant vis-à-vis de l’équipe projet et de l’auditeur de certification, quant à ses chances d’obtenir la certification. L’auditeur aidera également à peaufiner et corriger les derniers détails avant le démarrage de l’audit de certification ;
• Préparer et entrainer les équipes à l’exercice de l’audit, et en particulier les aider à préparer les réponses et preuves à présenter à l’auditeur.

Des évolutions à venir ?

Après moins de 2 ans d’existence, le référentiel s’apprête à subir de grosses modifications. En effet, l’Asip Santé a annoncé en avril dernier la volonté de retirer l’activité 5 du référentiel de certification. Cette activité, concernant l’administration et l’exploitation du système d’information contenant les données de santé, a suscité débat. En effet, les activités d’infogérance pouvant être dissociées des activités d’hébergement, il peut s’avérer difficile voire impossible pour un acteur ne réalisant que les activités d’infogérance d’être consulté sur les choix réalisés en termes de sécurité de l’hébergement, et ainsi de respecter l’intégralité des exigences du référentiel. Les exigences liées à l’activité 5 devraient donc être proposées sous un nouveau format à l’avenir, afin de s’adapter davantage aux activités d’infogérance.

De nombreux établissements de santé, à l’instar des infogérants et les éditeurs de logiciels de santé, espèrent eux aussi un assouplissement du référentiel de certification HDS. Les exigences imposant l’atteinte d’un niveau de sécurité élevé pour la protection des données à caractère personnel, la marche à franchir peut s’avérer très haute pour les établissements. Ainsi, certains d’entre eux ont fait le choix de ne viser que la certification ISO 27001 pour le moment. L’évolution des exigences pour les établissements de santé reste également à surveiller, après l’annonce par la Direction Générale de l’Offre de Soins (DGOS) d’une certification des systèmes d’information hospitaliers en 2020, vouée à centraliser toutes les exigences liées à l’informatisation des établissements de santé.

Une autre évolution majeure possible concerne les GHT et leur obligation réglementaire d’héberger leur SI convergent auprès d’un hébergeur certifié HDS. Cette obligation ne perdure en effet que tant qu’un GHT reste constitué de personnes morales indépendantes. Cette obligation pourrait ainsi devenir caduque en cas constitution d’« établissements publics de santé territoriaux » en lieu et place des GHT, ainsi que proposé dans le récent rapport de l’Inspection Générale des Affaires Sociales (IGAS). Ce changement reste néanmoins peu probable à court et moyen terme.

Ces possibles évolutions ne semblent aujourd’hui pas affecter les demandes de certification ISO 27001, dont le volume continue de croître en France ainsi qu’anticipé dans notre précédent article, avec une croissance de 27% des certificats ISO 27001 entre 2017 et 2018 selon les derniers chiffres publiés par l’ISO. Cette croissance devrait logiquement se poursuivre sur les années à venir.

Cet article Certification Hébergeur de Données de Santé : deux ans déjà ! est apparu en premier sur RiskInsight.

Un nouveau cadre juridique en 2018 pour l’hébergement de données de santé

Le décret Hébergeur de Données de Santé a été publié au Journal Officiel le 28 février 2018. Ce décret vient entériner l’évolution annoncée dans l’ordonnance du 12 janvier 2017 relative à l’hébergement de données de santé à caractère personnel, elle-même permise par la Loi de modernisation de notre système de santé du 26 janvier 2016.

Ce nouveau décret rend obligatoire la certification Hébergeur de Données de Santé pour toute organisation publique ou privée hébergeant des « données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même ».

La certification Hébergeur de Données de Santé sera délivrée par un organisme indépendant, lui-même préalablement accrédité par le Comité Français d’Accréditation (COFRAC) ou l’un de ses équivalents européens. Cette certification viendra sanctionner le caractère conforme du service à l’ensemble des exigences. Comme pour l’agrément, le certificat Hébergeur de Données de Santé restera valable trois ans, mais fera en revanche l’objet d’une surveillance annuelle.

Agrément ou certification, quelles différences ?

Dans le cadre de la procédure d’agrément, le candidat devait constituer un dossier (volumineux !) composé d’un ensemble de formulaires à remplir et de justificatifs à produire, incluant un rapport d’audit de conformité réalisé par une société de son choix.

Plutôt que de définir un énième référentiel, la certification Hébergeur de Données de Santé se base désormais presque exclusivement sur des normes internationales reconnues : la norme ISO 27001 dans son intégralité et des règles issues des normes ISO 27017, ISO 27018 et ISO 20000-1. Quelques exigences spécifiques y sont également ajoutées, portant principalement sur deux aspects :

• La protection des données de santé : protection des sauvegardes externalisées, interdiction d’utiliser les données de santé à d’autres fins que l’exécution de la prestation d’hébergement, traçabilité nominative de l’utilisation des comptes génériques… ;
• La transparence du service : possibilité pour le client de réaliser des audits, rédaction obligatoire d’une procédure de réversibilité incluant les modalités de restitution des données, communication du rapport d’audit de certification à la demande du client…

Passés les gains « habituels » d’une certification ISO 27001, déjà largement évoqués dans nos articles précédents, les exigences ajoutées visent à professionnaliser l’offre de services d’hébergement, à améliorer la transparence de l’hébergeur vis-à-vis de ses clients, à renforcer la sécurité des données de santé et à réaffirmer les droits des personnes concernées par les données traitées, dans la lignée du Règlement Général sur la Protection des Données (RGPD).

Une certification Hébergeur de Données de Santé qui en cache deux

La certification Hébergeur de Données de Santé inclut dorénavant deux certificats distincts, chacun adapté à un type d’activités pouvant être proposées par l’hébergeur :

• Un certificat « Hébergeur infogéreur » ;
• Un certificat « Hébergeur d’Infrastructure physique ».

Le schéma suivant, issu du référentiel d’accréditation Hébergeur de Données de Santé, précise le certificat attendu en fonction des activités d’hébergement de données de santé réalisées.

Activités devant donner lieu à une certification Hébergeur de Données de Santé (schéma issu du référentiel d’accréditation v1.0, consulté le 04/04/2018)

Chaque certificat est requis si au moins une activité du périmètre du certificat est réalisée. Par exemple, un hébergeur proposant la sauvegarde externalisée de données de santé (activité 6) devra disposer du certificat « Hébergeur Infogéreur » : il devra donc respecter les exigences du référentiel de certification Hébergeur de Données de Santé applicables à ce certificat. De manière similaire, un fournisseur assurant la mise à disposition de locaux (activité 1) devra disposer du certificat « Hébergeur d’Infrastructure physique » : il devra de même respecter les exigences applicables à ce certificat.

Chaque hébergeur devra ainsi acquérir un seul ou les deux certificats en fonction des services d’hébergement de données de santé qu’il offrira à ses clients.

Une certification à venir des Hébergeurs de Données de Santé agréés…

Tout agrément Hébergeur de Données Santé délivré demeure valide jusqu’à son échéance (hors retrait ou suspension, comme précédemment). Cette durée sera prolongée de 6 mois en cas d’échéance avant le 31 mars 2019. Passée cette date, tout hébergeur de données de santé devra obtenir la certification Hébergeur de Données de Santé.

Le caractère obligatoire de la certification relancera ainsi le marché français des certifications ISO 27001, aujourd’hui en berne d’après la dernière étude publiée par l’International Standard Organisation (ISO) : en 2016, seuls 209 certificats ISO 27001 valides étaient comptabilisés, contre 227 en 2015.

120 hébergeurs sont aujourd’hui agréés et référencés sur le site de l’ASIP Santé. Bien que certains soient déjà certifiés ISO 27001 (et en supposant que le domaine d’application du Système de Management de la Sécurité de l’Information inclue l’hébergement de données de santé), un complément de certification leur sera nécessaire pour devenir certifiés Hébergeur de Données de Santé. Pour les autres, une certification sur l’ensemble des exigences sera nécessaire : cette évolution devrait à elle-seule entrainer une croissance du marché des certifications ISO 27001 sur les années à venir.

… et de certains établissements des Groupements Hospitaliers de Territoire

Autre conséquence de la loi de Modernisation de notre système de santé, les établissements publics de santé se rassemblent actuellement sous la forme de Groupements Hospitaliers de Territoire (GHT) pour travailler sur un projet médical partagé. Chacun des 135 GHT est organisé autour d’un établissement support, qui assure différentes fonctions pour le GHT, incluant « La stratégie, l’optimisation et la gestion commune d’un système d’information hospitalier convergent » (article 107). Cette exigence impose notamment la mise en place d’applications uniques pour l’ensemble des établissements d’un GHT, et ce pour chaque domaine fonctionnel (dossier patient informatisé, circuit du médicament, biologie, imagerie, etc.).

Deux solutions principales (mais non exclusives) s’offrent par conséquent aux GHT :

• Faire héberger leurs données de santé auprès d’un hébergeur tiers certifié Hébergeur de Données de Santé ;
• Héberger leurs données au sein d’un des établissements du GHT (par exemple l’établissement support).

Dans ce second cas, l’établissement hébergeur devra être certifié Hébergeur de Données de Santé. Alors que la majorité des GHT se posent la question d’aller ou non vers une externalisation de tout ou partie de leur Système d’Information convergent, 57% d’entre eux envisageaient encore fin 2017 d’externaliser l’hébergement. Il est néanmoins probable que de très nombreux GHT choisissent à terme de maintenir leur Système d’Information de Santé au sein du GHT et de certifier l’établissement hébergeur, ce afin de conserver la pleine maîtrise du Système d’Information et des données de santé. Cette orientation devrait s’observer majoritairement parmi les GHT organisés autour d’un établissement support de taille importante (CHU par exemple). Elle induira alors, elle-aussi, une forte croissance du nombre de certificats ISO 27001 délivrés en France.

Un appui financier pour accompagner la transformation des SI des GHT

Afin d’accompagner la construction de leur SI convergent, les GHT peuvent bénéficier de divers soutiens financiers. 20 millions d’euros ont d’ores-et-déjà été investis au travers des Agences Régionales de Santé (ARS), et un appel à projets doté d’une enveloppe de 25 millions d’euros a été annoncé fin 2017 par la Direction Générale de l’Offre de Soin (DGOS). Le programme e-Hôp 2.0, successeur du programme Hôpital Numérique 2012-2017, devait disposer de son côté d’une enveloppe de 400 millions d’euros pour accompagner le développement des SI des établissements de santé jusqu’en 2021. Récemment remplacé par le nouveau programme Hop’EN, l’enveloppe qui sera in fine allouée reste inconnue.

Une partie de ces financements pourra être mise à profit par les GHT pour structurer leur SI convergent, par exemple en finançant le programme d’externalisation auprès d’un hébergeur certifié, ou en finançant la certification Hébergeur de Données de Santé d’un des établissements du GHT.

En faisant évoluer la réglementation liée à l’Hébergement de Données de Santé au moment même où les Groupements Hospitaliers de Territoire structurent leur SI convergent, l’État saisit l’opportunité de renforcer la sécurité des données des patients traitées par les établissements de santé publics. Indirectement, il insuffle une double dynamique de croissance au marché de la certification ISO 27001 en France, qui permettra de standardiser et disséminer les bonnes pratiques de gestion de la sécurité de l’information sur l’ensemble du secteur de la Santé.

Bien qu’issue d’une évolution attendue de longue date, cette croissance risque d’engendrer une explosion des demandes de certification ISO 27001 et Hébergeur de Données de Santé dans les années à venir : le COFRAC et les sociétés qui seront accréditées pour délivrer les certifications Hébergeur de Données de Santé pourront-elles suivre ? Un engorgement pourrait se profiler à l’horizon.

Cet article « Hébergeur de Données de Santé » : la Santé dynamise le marché français des certifications ISO 27001 est apparu en premier sur RiskInsight.

Le Cloud impose-t-il une évolution forcée ?

Le Cloud simplifie l’accès à l’outil informatique en focalisant l’énergie de l’utilisateur sur le choix du service plutôt que sur la démarche de mise en œuvre. Cette facilité d’accès à des services « clé en main » peut inciter les Métiers de l’entreprise à traiter directement avec les offreurs Cloud sans impliquer la DSI. Pour contrôler l’adoption des services Cloud, la DSI doit devenir un acteur incontournable de ses Métiers : non pas en s’imposant mais bien devenant un partenaire légitime du Métier, apporteur de valeur ajoutée aux services Cloud.

Une priorisation des chantiers nécessaire

Le Cloud n’est pas qu’un outil technique à destination de la DSI seule. Il est essentiel de mettre en place sa stratégie Cloud en impliquant la Direction de l’entreprise pour prendre en compte l’existant et les besoins à venir, en déduire le périmètre éligible et enfin choisir ses modèles de sourcing (Public et/ou privé) et le type de Cloud (IAAS, PAAS et/ou SAAS) adapté aux cas d’usage. Deuxième étape pour la DSI : promouvoir cette stratégie auprès des Métiers avec ses sponsors en valorisant les apports de la démarche et en éclairant les contraintes liées à son utilisation.

A ce stade la DSI devra choisir entre 2 positionnements :

1) Un accès direct des métiers aux fournisseurs Cloud

La DSI ne porte pas la responsabilité du choix des fournisseurs mais apporte son expertise sur les dimensions :
•    Contractuelles, en mettant à profit l’expérience de la DSI pour définir les engagements en matière de niveau de service, de traçabilité, de pilotage des coûts…
•    Techniques, en accompagnant les projets sur l’intégration des services Cloud dans le SI de l’entreprise tout en respectant les contraintes internes de sécurité et d’échanges de données
•    Légales, en apportant sa connaissance des contraintes liées à l’hébergement des données (données personnelles, données sensibles d’entreprise, législation française, contraintes sectorielles…)
•    De réversibilité technique et opérationnelle, pour préparer en amont le désengagement d’un fournisseur.

2) Une DSI « broker de Cloud »

La DSI se positionne comme l’interlocuteur unique à la fois du Métier et des fournisseurs Cloud.  Le rôle d’expertise reste d’actualité et voit son périmètre étendu par une fonction de gestion des  relations clients et fournisseurs. La DSI est alors en responsabilité :
•    D’intégrer des services Cloud technique ou métier au catalogue de la DSI
•    De piloter et de garantir la qualité des services exposés par la DSI
•    De définir et de mettre en place les outils permettant une intégration au SI des services Cloud (IAM, échanges, service management…)
•    De faire évoluer ses processus internes pour fournir un service utilisateur unifié indépendamment des modes de sourcing
•    Et bien sûr, de fournir ces services Cloud au meilleur coût du marché à ses utilisateurs !

Bien que la stratégie de positionnement soit à définir suivant le contexte particulier de chaque entreprise, une majorité aura intérêt à adopter un positionnement « broker de Cloud ». Ce positionnement permettra de définir une stratégie IT globale cohérente entre les besoins internes et les possibilités offertes par les fournisseurs. Elle permettra ainsi de tirer toute la valeur économique et qualitative d’une approche Cloud par le biais d’achats massifiés et intégrables de manière standardisée au SI.

Les « temps métiers » et les « temps IT traditionnels» n’ont plus la même échelle, le Cloud est un des vecteurs de transformation qui permet de contribuer à la performance globale de l’entreprise. Néanmoins, pour combler ce décalage, la DSI doit être en perpétuelle transformation pour fournir les moyens nécessaires aux ambitions de l’entreprise.

Cet article Le Cloud computing : vers une DSI orientée service ? est apparu en premier sur RiskInsight.