La législation sur l’hébergement des données de santé a remplacé l'ancien agrément par la certification HDS par le décret n° 2018-137 du 26 février 2018 qui pose les fondements de la nouvelle procédure. Cette certification est obtenue auprès d’un organisme accrédité par le COFRAC (ou équivalent européen). Après un processus d’audit documentaire et sur site, la certification est délivrée pour 3 ans, avec une surveillance annuelle. Des certificats sont délivrés pour deux métiers d’hébergement distincts :

• Un certificat « hébergeur d’infrastructure physique » pour les activités de mise à disposition de locaux d’hébergement physique et infrastructure matérielle.
• Un certificat « hébergeur infogéreur » pour les activités de mise à disposition d’infrastructure virtuelle, de de plateforme logicielle, d’infogérance et de sauvegarde externalisée.

 Certification ISO 27001

Le décret impose à l’hébergeur de détenir la certification ISO 27001 sur le périmètre d’hébergement des données de santé. Une série de points de conformité obligatoires ont été ajoutés et en particulier :

• La nécessité d’intégrer à la DdA (déclaration d’applicabilité) les exigences spécifiques santé requises par le référentiel HDS.
• La prise en compte de la sécurité des sauvegardes en cas d’externalisation.
• La possibilité pour les clients de l’hébergeur de réaliser des audits sur ses applications en production.

Les points fondamentaux nécessaires à la mise en œuvre d’un SMSI ISO 27001 restent valables : analyse et traitement des risques, gestion rigoureuse de la documentation, engagement de la direction, objectifs de sécurité, traitement des non conformités, amélioration continue.

Conformité à certaines exigences ISO 20000

Certaines exigences du référentiel ISO 20000  doivent être mises en œuvre pour obtenir la certification HDS :

• Planification, conception et implémentation des services nouveaux ou modifiés (paragraphe 5.2 et 5.3 de l’ISO 20000).
• Critères d’acceptation du service pour les nouveaux services ou services modifiés.
• Exigences de continuité et de disponibilité de services (paragraphe 6.3 de l’ISO 20000).
• Gestion de la capacité (paragraphe 6.5 de l’ISO 20000).

La nécessité d’un plan de continuité des activités pour l’hébergeur est renforcée.

Les exigences ISO 27017 et ISO 27018

Le référentiel HDS reprend plusieurs exigences des normes ISO 27017 (protection des données à caractère personnel) et ISO 27018 (sécurité de l’information dans le Cloud). Ces points doivent être suivis avec rigueur pour obtenir la certification et intégrés à la déclaration d’applicabilité. Ils recoupent plusieurs exigences imposées par le RGPD / GDPR (règlement européen pour la protection des données personnelles). Rappelons à ce titre qu’une donnée de santé fait explicitement partie de la catégorie des données sensibles. Quelques exemples de points importants sont : l’interdiction d’utiliser les données de santé à d’autres fins que l’exécution de la prestation d’hébergement, la notification au(x) client(s) en cas d’atteinte à la sécurité des données, l’obligation d’information en cas de sous-traitance, la gestion des traces(logs) et des habilitations, la localisation des données, la communication des rapports d'audit de certification aux clients qui en font la demande ou encore l’ Information des clients qu’ils sont tenus de respecter la PGSSI-S (Politique de sécurité des systèmes d’information Santé).

Quel processus de certification ?

Deux choix sont possibles pour l’hébergeur :

• Soit démarrer par la mise en place d’un SMSI sur le périmètre HDS pour obtenir la certification ISO 27001 puis demander un complément HDS pour prendre en compte les exigences ISO 20000, 27017 et ISO 27018.
• Soit demander un audit complet HDS en prenant en compte dès le départ tout le périmètre.

Dans tous les cas, l’hébergeur détiendra en fin de processus les deux certificats ISO 27001 et HDS.

Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :