Pourquoi la nouvelle certification HDS est-elle basée sur l’ISO 27001

… et non sur un autre référentiel ?

Pourquoi la nouvelle certification Hébergement de Données de Santé est-elle basée sur le standard ISO 27001 et non sur un autre référentiel type PCI DSS ? Nous avons fait l’exercice de comparer ces deux référentiels et ce qu’ils imposent, pour les confronter aux réalités du monde de la eSanté.

La nouvelle certification hébergement données de santé est basée sur l’ISO 27001. Le choix apparaît presque naturel. Nous pouvons nous demander toutefois s’il n’y avait pas d’autres alternatives. Les autorités publiques avaient-elles d’autres choix à disposition que cette norme ?
En effet, d’autres référentiels de sécurité auraient pu servir de modèle. Faisons l’exercice et imaginons prendre exemple sur PCI DSS, le standard du monde monétique et bancaire.

Un standard basé sur la confidentialité des données

Conçu par le PCI Council, organisme privé constitué des grands acteurs du paiement, PCI DSS est un référentiel de sécurité conçu pour lutter contre la fraude sur les données carte de paiement, et uniquement cela. Les autres typologies de données ne sont pas concernées. Ce référentiel est focalisé sur la confidentialité des données car c’est bien le vol qui est vu comme le risque majeur pour le PCI Council. Si nous poussons la logique PCI DSS a son maximum, une donnée de carte bancaire indisponible est protégée puisqu’elle ne peut plus être dérobée.

Or, ce postulat est discutable dans le monde santé. L’indisponibilité ou la perte d’intégrité d’une donnée de santé peut engendrer une perte de chance pour le patient, ce qui n’est pas le cas pour une perte de confidentialité. Il y aurait donc un premier changement de philosophie à apporter en cas d’adaptation à la santé.

Responsabilité du traitement et sanctions

Autre point de différence majeure, PCI DSS embarque toute la chaîne de traitement dans sa certification. Vous traitez de la donnée CB, vous êtes soumis à PCI DSS, quelques soit votre métier et que vous soyez responsable de traitement ou sous-traitant. Banque, commerçant, agence de voyage, éditeur monétique, hébergeur : tous certifiés ! PCI DSS va donc bien au-delà des hébergeurs. Pour celles et ceux qui suivent les débats sur le périmètre de la certification hébergeur de données de santé depuis quelque mois, soit vous êtes pour un élargissement aux autres métiers en imaginant que certaines applications seront enfin sécurisées, soit vous êtes contre en pensant que cela tuerait le marché de l’édition logicielle française en santé. Libre à vous de choisir votre camp… avec un référentiel type PCI DSS, le débat aurait été tranché dans le vif !

La sanction si vous n’êtes pas certifié PCI DSS? La majoration des tarifs des transactions de paiement et aucun transfert de risque sur une assurance en cas d’incident de sécurité. Radical. Mais inapplicable et sans équivalent dans la santé.

Une approche différente en matière de sécurité

Enfin et surtout, le référentiel PCI DSS a une approche de la sécurité différente de l’ISO 270001. Cette dernière vous fait démarrer votre système de management par une analyse de risque, à partir de laquelle vous définissez les mesures à mettre en œuvre. Il y a également une possibilité d’acceptation de risque vous permettant de ne pas mettre en œuvre certaines mesures. PCI DSS vous impose une liste de plus de 200 mesures réparties en 12 chapitres. Ces mesures sont très orientées « système » et « réseau » (durcissement des configurations, pentest …) mais aussi avec des mesures sur les applications (revue de code, scans applicatifs), ces mesures sont impératives, impossible d’y échapper (ou alors en mettant en place une mesure compensatoire équivalente).

Et c’est bien ce qui a dû faire reculer définitivement les autorités publiques si elles ont songé à s’inspirer d’une telle philosophie. Comment embarquer, dans un référentiel rigide, des cas d’usage d’hébergement aussi divers que l’externalisation d’hôpitaux, les logiciels « SaaS »de DPI ou des applications web ou IOT développées par de jeunes startups ?

L’univers de la santé est bien plus complexe que l’univers monétique et les niveaux de maturité en termes de gestion de la sécurité sont multiples. Une norme de sécurité au langage universel apparaissait nécessaire.

L’ISO 27001, permettant à tous de s’inscrire dans un même cadre indépendamment du niveau de maturité puis de s’améliorer de manière continue, est donc certainement le bon choix pour une certification hébergeur données de santé.

Mais reste toujours à traiter l’étage applicatif. En s’inspirant de quel modèle cette fois ?

Article rédigé par Christophe Jodry, Directeur de l'Offre Claranet eSanté et Adèle Adam, DPO de Claranet