Données de santé : Comment sécuriser la prestation de services managés dans le Cloud ?

La décision d’externaliser tout ou partie de son système d’information vers le Cloud est un choix important pour un décideur. Ce choix doit se faire manière réfléchie et surtout ne dois pas être vu comme la solution miracle pour ne plus se préoccuper du maintien en condition opérationnelle et de sécurité de son système (d’autant plus vrai dans des modèles de IaaS ou PaaS).
Le cloud n’est pas un nuage magique, s’opérant de façon autonome. Il est donc indispensable de s’appuyer sur des équipes expertes à même d’assurer le niveau de sécurité attendu pour les systèmes externalisés.

La décision de s’appuyer sur un prestataire de services managés (Managed Service Provider en anglais ou MSP) pour infogérer sa plateforme dans « le nuage » est alors naturelle. Mais, face aux offres toujours plus nombreuses, comment choisir le bon prestataire et le bon type de prestation, quelles sont les compétences attendues, quels sont les risques et comment les réduire pour le commanditaire ?

Les missions attendues du prestataire de services managés

Le prestataire de services managés peut avoir plusieurs missions :

  • Aider à concevoir la plateforme cible dans le cloud ;
  • Construire la nouvelle plateforme en partant des standards de sécurité et en adaptant aux besoins du commanditaire ;
  • Proposer et appliquer le plan de migration ;
  • Assurer le maintien en condition opérationnelle et sécurité, en 24/7 si nécessaire ;
  • Définir et implémenter le PCA ou PRA avec le commanditaire, l’appliquer le cas échéant ;
  • Proposer la transformation du système d’information initial à l’aide des services proposés par le Cloud Provider ;
  • Proposer une méthode de maitrise des coûts et l’appliquer (pratique désignée par le terme de FinOps) ;
  • Etablir le plan de réversibilité et l’appliquer le cas échéant.

Le schéma ci-dessous représente de manière simplifiée les différents sujets qu’amène un projet de migration dans le Cloud :

services manages claranet

Le MSP, par une offre de service flexible, doit démontrer une capacité d’adaptation afin d’atteindre les objectifs de sécurité définis par le commanditaire.

Quels critères pour choisir mon prestataire ?

Les compétences techniques initiales, gage de sécurité

Il est important de valider les compétences du prestataire sur la ou les infrastructures Cloud visées. Les différents fournisseurs de Cloud du marché (Cloud Providers) ont chacun leurs spécificités, leur philosophie. Le prestataire choisi doit être en parfaite adhérence avec le Cloud Provider également sélectionné par le commanditaire.

Certains Cloud provider proposent des programmes de certifications dédiés aux partenaires MSP qui valident la qualification des collaborateurs des prestataires de services managés, les processus mis en œuvre, les connaissances des différents services Cloud et l’expérience dans leur utilisation. Ces éléments de certification sont le gage d’une compétence reconnue au sein du MSP par le Cloud Provider lui-même.

Toutefois, tous les Cloud Providers ne possèdent pas ce type de dispositif. Il est alors important de demander des projets de références au prestataire envisagé.

Le plan d’assurance sécurité du prestataire

Comment s’assurer de la maturité en termes de sécurité du prestataire ?

En challengeant son Plan d’assurance Sécurité. Les méthodes de build (ex : durcissement), de run (ex : patch management), d’accès et de traçabilité à la plateforme cloud, de réversibilité, de sauvegarde doivent y être inscrites. Ces méthodes peuvent nécessiter une adaptation en fonction du Cloud Provider choisi, c’est pourquoi le MSP doit maîtriser l’environnement imposé par le Cloud public et les bonnes pratiques de sécurité.

Les Plan de Continuité d’Activité ou de Reprise d’Activité sont un bon exemple de prestation de services managés. Tous les Cloud Provider fournissent l’outillage et les moyens de construire un plan de secours. Mais il faut le penser, le construire et le tester. Et le jour J, le déclencher. C’est l’un des rôles du prestataire de services managés.

Les processus et méthodes d’interconnexion proposés par le MSP pour accéder à la plateforme Cloud doivent être sécurisés et documentés également selon le niveau d’exigence du commanditaire. Authentification multi facteur ou non, utilisation directe de l’interface fournie par le Cloud provider ou usage d’un écosystème intermédiaire installé par le prestataire (bastion, puit de log pour la gestion des traces…). Ces questions ont leur réponse dans le plan d’assurance sécurité du prestataire de services managés.

Attention, le niveau d’exigence du commanditaire peut varier en fonction de ses propres obligations légales, normatives, etc.

Les obligations légales et réglementaires

En qualité de sous-traitant, le prestataire de services managés doit permettre au commanditaire de respecter les obligations légales et réglementaires applicables à la prestation ; tout comme le Cloud Provider.

Il n’y a évidemment pas de débat possible sur le RGPD. Le MSP devra pouvoir fournir à son prospect sa politique RGPD, les actions mises en œuvre dans le cadre de sa mise en conformité à ce texte ainsi que le modèle contractuel établissant la répartition des rôles et responsabilités en termes de protection des données personnelles. Ainsi le Client peut conforter son choix de s’appuyer sur un MSP présentant les garanties suffisantes en matière de respect du RGPD.

Si la plateforme Cloud héberge des données de santé, le prestataire de services managés doit être à minima certifié Hébergeur de Données de Santé sur l’activité 5 « infogérance d’exploitation du système d’information de santé », voire l’activité 3 s’il opère des gestes de maintien en condition opérationnel qui y sont décrit. Dans tous les cas de figure, le commanditaire doit s’assurer que le Cloud Provider et le prestataire de services managés couvrent à eux deux les 6 activités HDS (avec des recoupements tout à fait possibles entre les 2 sous-traitants). La certification HDS s’appuie sur un prérequis fort qui est la certification ISO27001, gage d’une maturité dans la gestion de la sécurité.

Référence : site de l’ANS

La répartition de responsabilités et le dispositif contractuel

Tous les Cloud provider fournissent des documents et schémas expliquant la limite de leur responsabilité. Pour s’assurer que votre prestataire complète correctement ces responsabilités sur tout le périmètre du service, une matrice de responsabilité (type RACI* par exemple) est indispensable. Il ne doit pas y avoir de doute dans le « qui fait quoi » et « qui est responsable de quoi » entre le commanditaire, le prestataire de services managés et le Cloud Provider.

Les responsabilités du Cloud Provider étant rarement négociables, la flexibilité du prestataire de service est indispensable afin de s’adapter aux besoins du commanditaire.

Une nouvelle fois, le PCA/PRA est un bon challenge pour l’implémentation de la matrice RACI*. Qui est garant de la bonne exécution des sauvegardes? Qui opère le test de restauration ou les tests unitaires de bascule des bases de données ? Certainement pas le Cloud Provider... Cela relève donc du périmètre du prestataire de services managés ou du commanditaire. Dans les tous les cas, Il faut un R et un A.

  • La sécurisation de la prestation et la répartition des responsabilités doivent être formalisées dans des documents contractuels.
  • Contrat, Plan d’assurance sécurité et plan d’assurance qualité doivent être adaptés et spécifiques à la prestation de service Cloud fournie.

(*)RACI = L'acronyme RACI (responsible, accountable, consulted et informed) ou RAM (responsibility assignment matrix) désigne dans le domaine du management une matrice des responsabilités. (définition wikipedia)

Conclusion

Les clés de succès de sécurisation de la prestation d’un MSP sont liées à sa capacité à répondre aux exigences du commanditaire, dans une parfaite maîtrise technique de la plateforme Cloud et du contexte du projet. En outre, pour garantir une exécution efficace et sereine des prestations, les responsabilités des différents acteurs de la chaîne doivent être clairement définies dans le corpus contractuel.

L’ANS a pris en compte ce métier de prestation d’infogérance en inscrivant dans la certification HDS (hébergeur données de santé) l’activité 5 « infogérance d’exploitation du système d’information de santé ». Du côté de l’ANSSI, le référentiel SECNUMCLOUD y fait référence également, alors que le futur référentiel PAMS (Prestataires d’administration et de maintenance sécurisées) y est complétement dédié.

Nos offres cloud HDS

Conseil, design et infogérance multi-cloud pour votre SIH

En savoir plus sur les étapes de migration