Le modèle de certification des hébergeurs de données de santé conçu par l’ASIP Santé fait apparaitre de nouveaux concepts et éléments de langage qui amènent une réflexion globale sur le métier d’hébergeur et infogéreur. Pour les futurs certifiés et dans un contexte de mise en œuvre du RGPD, il est important de comprendre en quoi cela change le rapport à leurs clients.
Plus globalement, la certification à venir est-elle adaptée aux nouveaux métiers de l’hébergement et de l’infogérance ?
CHDS, les concepts
La certification HDS a pour piliers deux concepts majeurs :
- Une ISO 27001 surchargée d'exigences issues des ISO20000, 27017, 27018 et quelques mesures spécifiques ;
- Six activités clés réparties en 2 certificats : « Hébergeur infrastructures physiques » et « Hébergeur infogéreur ».
La première question que nous sommes en droit de nous poser est : la norme ISO 27001 est-elle une garantie de sécurité ?
Les experts de la norme vous répondront immédiatement par la négative.
Pourquoi ? Parce que le système de management du système d’information (SMSI) que la norme vous demande de construire a pour fondation votre propre analyse de risque.
Si lors de celle-ci, vous ne voyez pas d’inconvénient à installer votre centrale nucléaire sur un littoral japonais près d’une zone sismique, vous avez de forts risques de voir assez vite votre uranium tremper dans l’eau de mer. De même, ne pas identifier et comprendre que votre système de climatisation est connecté à votre réseau informatique va vous amener à de sévères déconvenues. Certains hôpitaux anglais pourraient en témoigner. Et dans les cas présentés, ce n’est pas un beau SMSI, bien documenté et certifié ISO 27001 qui vous sauvera du désastre.
L’ISO 27001 n’est donc qu’une garantie de moyens, basée sur votre analyse de risque. Néanmoins, un SMSI bien construit, qui « tourne », utile et utilisé par les équipes reste un des meilleurs outils de gestion de la sécurisation d’un système d’information; et la norme qui le définit est un langage universel compris de tous les acteurs de la sécurité, de la conformité et de l’IT.
Le second concept porteur de la certification est la répartition de 6 activités en 2 certificats.
Essayons de comparer ces certificats à la pile technologique que nous connaissons bien chez les hébergeurs et infogéreurs :
- La première activité est sans ambiguïté liée à la couche datacenter. Nous sommes dans l’immobilier sécurisé.
- La deuxième activité correspond au triptyque réseau-stockage-serveur, éléments de base de l’infrastructure physique.
- La troisième activité correspond parfaitement aux briques systèmes d’exploitation-bases de données - middleware et la quatrième à la virtualisation. L’association des psychorigides anonymes nous ferait remarquer qu’il faudrait inverser les activités 3 et 4, mais ce n’est qu’un point de détail.
- L’activité 6, sauvegarde externalisée, peut paraître surprenante car nous pouvons considérer que le maintien en condition opérationnelle mentionné en activité 3 embarque la sauvegarde. Cela correspond certainement à un cas d’usage rencontré plusieurs fois lors des analyses des agréments et se rapporte au métier de banque informatique par exemple.
… Mais alors, à quoi correspond l’activité 5, infogérance d’exploitation de SI de santé ?
En fait, cette activité ne correspond pas à un élément de la pile technologique. C’est la seule activité liée à une gestion de processus, notamment issus d’ITIL. Avec cette interprétation, la surcharge ISO20000 (normalisation d’ITIL pour rappel) prend alors tout son sens.
Mais alors, si nous devons conclure sur cette comparaison, force est de constater qu’il existe un décalage entre les modèles IAAS-PAAS-SAAS et les 2 certificats proposés dans la certification :
Un offreur de service IAAS se voit dans l’obligation, non seulement d’aller chercher le certificat hébergeur d’infrastructure physique, mais aussi celui d’hébergeur-infogéreur car il réalise l’activité n°4.
Cet acteur IAAS aura donc en sa possession un certificat portant l’intitulé « infogéreur », sans pour autant être infogéreur !
Afin d’éviter toute confusion des clients, il est donc indispensable de rendre publiques les périmètres des certificats et les activités associées.
De même, il est absolument nécessaire de demander aux futurs certifiés leur périmètre ISO27001, leur Déclaration d’Applicabilité (DDA ou SOA – Statement of Applicability) ainsi que les activités réellement embarquées dans leurs certificats.
Cette analyse nous rappelle l’importance de la maîtrise de ses sous-traitants, activité pilier de l’ISO 27001 et du RGPD.
CHDS & RGPD, vers la même direction
Une des missions de l’hébergeur est de protéger les données confiées par ses clients. Pour un hébergeur de donnés de santé (HDS), cette donnée est « personnelle », elle est même « sensible » au sens de la loi : c’est une donnée de santé. Avoir des compétences internes en protection des données personnelles et une sensibilisation des équipes est indispensable : pour que l’hébergeur/infogéreur puisse assurer son devoir de conseil auprès des clients qui se posent de nombreuses questions de conformité HDS et RGPD.
Entre CHDS et le RGPD, les points d’accroche sont nombreux, créant ainsi une opportunité pour les hébergeurs / infogéreurs comme Claranet de structurer leurs efforts de conformité autour d’un socle commun : le SMSI, Système de Management de la Sécurité de l’Information. La norme ISO27001 a été intégralement reprise dans le référentiel CHDS, la sécurité étant également un pilier de la protection des données personnelles. Nous retrouvons dans la 20000-1 et la 27001 des notions de résilience, de disponibilité et de continuité qui sont des mesures également citées dans le RGPD. Quant aux thématiques de répartitions des responsabilités, d’engagement et de transparence, la notion est abordée dans toutes les normes sélectionnées par l’ASIP-Santé et c’est également une notion phare du RGPD.
La mission des CHDS apparaît donc clairement : protéger les données de santé et être un sous-traitant de confiance. Et l’infogéreur est un maillon au cœur de la chaîne de sous-traitance, son client en amont et ses propres sous-traitants en aval. Pour que cette chaîne de sous-traitance soit une chaine forte de sécurité et de conformité, le RGPD introduit des devoirs :
- Le devoir de conseil, en matière de sécurité notamment,
- Le devoir de coopération, par exemple en cas d’audit ou de contrôle par les autorités,
- Le devoir d’assistance, afin de relayer les demandes de personnes concernées par exemple.
Une question se pose alors, jusqu’où aller dans l’opération de ces devoirs ?
L’infogéreur ne pourra pas se substituer au responsable de traitement pour réaliser l’analyse d’impact (PIA), ce dernier détenant la connaissance des personnes concernées, du traitement de données et étant seul capable d’apprécier les impacts potentiels sur les patients. Par contre, si des éléments issus de l’analyse d’impact sont échangées avec l’infogéreur, alors celui-ci pourra réaliser son devoir de conseil avec efficacité et il pourra proposer des mesures de sécurité adaptée aux attentes de son client.
Concernant la notification des violations de sécurité, il s’agira pour l’infogéreur d’être efficace dans la remontée des incidents de sécurité à son client. Il permettra alors au client de réagir rapidement, qualifier l’incident en violation de données personnelles le cas échéant et de s’acquitter si nécessaire, des notifications aux autorités et aux personnes concernées.
Enfin en matière de sécurité, tous les maillons de la chaîne de sous-traitance doivent mettre en place des mesures de sécurité. La sécurité de l’application du client ne sera pas sous la responsabilité de l’infogéreur mais ce dernier saura proposer des services permettant de l’améliorer : tests d’intrusion, audits ou encore la mise en œuvre et l’opération d’un WAF (Web Application Firewall).
Dès lors il est nécessaire de bien s’entourer et maîtriser ses sous-traitants, thème cher aux systèmes de management (ISO 27001 et ISO 20000-1) et également au RGPD (Article 28). Comment maîtriser ?
- en établissant des contrats clairs, formalisant les rôles et responsabilités et attestant des engagements,
- en gardant des possibilité d’audit, de consultation de rapport d’audit tiers ou encore en récupérant les labels / certificats ou autre qualification des sous-traitants,
- en réalisant des suivis réguliers, via des indicateurs, des comités ou encore de bon contacts avec son responsable de compte.
Avec son rôle central, au sein de la chaine, l’infogéreur, plus qu’un sous-traitant, devient un partenaire stratégique sur lequel il faut pouvoir compter.
Conclusion
L’année 2018 est une année charnière pour les hébergeurs/infogéreurs de données de santé. Entre CHDS et RGPD, les exigences sont nombreuses. Mais elles sont aussi cohérentes et peuvent s’appuyer sur un même socle de conformité, le SMSI défini par la norme ISO27001.
Un effort de conformité à consentir, mais également une évolution du métier. Si l’agrément HDS pouvait donner l’impression que l’hébergeur devait maitriser ses clients, le rapport s’inverse complétement. C’est un retour à une relation client-fournisseur plus naturelle, dans laquelle l’hébergeur-infogéreur devra adapter son offre à son marché et non l’inverse et être un partenaire incontournable et fiable pour son client.
Par Adèle Adam, Data Protection Officer et Christophe Jodry, Directeur de l’offre eSanté chez Claranet France