Sécurité des données de santé, des vies humaines en dépendent
Dans le domaine de la santé, la protection et la sécurité des données s’avèrent d’une importance capitale. EBRC a récemment étendu la couverture de sa certification HDS (Hébergeur de Données de Santé) qui lui permet aujourd’hui non seulement d’intégrer le marché français et ses établissements de santé, mais aussi d’offrir une dimension supplémentaire à ses clients au niveau européen. Thomas Flachaire, CISO, ainsi qu’Anthony Ambrogi, membre de l’équipe RISC chez EBRC, reviennent sur l’obtention de la certification, ses opportunités et ses enjeux dans un domaine aussi sensible que celui de la santé.
Prévention, détection, réaction et amélioration continue
«En 2021, les établissements de santé ont été la cible d’une vague de cyberattaques sans précédent. Ils se sont révélés particulièrement vulnérables ce qui les a obligés, pour certains, à revenir au papier et au crayon, en pleine crise de la pandémie de Covid-19. Plus que jamais ces événements rappellent l’importance pour les entreprises et les établissements de santé de mettre en place une politique de cybersécurité et de continuité des affaires en s’appuyant sur les normes ISO 27001 (sécurité de l’information) et ISO 22301 (continuité des affaires). La prise en considération de l’humain en matière de cyber-résilience ne doit pas être négligée dans cette démarche, faire participer les équipes à l’élaboration des plans et procédures de réaction s’avère déterminant. Les sessions de sensibilisation et la formation permettent souvent d’améliorer l’état d’esprit ainsi que le savoir-faire des équipes, sans toutefois rivaliser avec l’ingéniosité des hackers. Il est donc essentiel de travailler sur plusieurs axes à savoir la prévention, la détection, la réaction et l’amélioration continue», précise Thomas Flachaire, CISO chez EBRC.
Trois risques majeurs
L’informatique est aussi devenue un outil essentiel et critique dans le domaine médical nécessaire au bon fonctionnement de toute la chaine du système de santé: «Dans le cadre de l’IT et des données patients, trois risques majeurs doivent être couverts par les établissements de santé: l’indisponibilité, le vol et l’altération illégitime des données de santé. Pour les hackers, les deux premiers ont majoritairement un intérêt financier, tandis que le dernier est essentiellement lié à l’hacktivisme [1] ou au terrorisme», explique Anthony Ambrogi.
«En contrôlant les personnes autorisées à lire des données, nous pouvons réduire les risques de vol ou de corruption car si un tiers parvient à en prendre possession, il peut tout mettre en péril», précise Thomas Flachaire. Pour pallier ces risques majeurs, des solutions existent: la haute disponibilité en mode actif/passif pour pouvoir basculer sur la même infrastructure, la restauration de backups ou une segmentation forte entre les assets accessibles depuis l’extérieur et les machines de production.
Garantir la sécurité des données de santé, tel est l’enjeu des acteurs du secteur médical. En France, ces derniers sont soumis à de fortes contraintes réglementaires qui ont été renforcées avec le RGPD (Règlement Général sur la Protection des Données). La certification HDS (Hébergeur de Données de Santé) encadre et contrôle les activités d’hébergement et d’infogérance des données de santé tant pour les établissements de santé que pour leurs fournisseurs de services IT. Pour les professionnels de santé, elle simplifie la sélection de leur prestataire lorsqu’elles sous-traitent leurs activités informatiques.
La certification HDS
La norme «Hébergeur de Données de Santé» permet de répondre aux réglementations françaises et donc de proposer des solutions aux établissements de santé en France. Elle offre un gage de qualité pour garantir la sécurité des données. La certification permet d’établir un standard qui se compose de six activités dont deux concernent les hébergeurs et quatre les infogéreurs. «La première s’applique au maintien des sites physiques. Puis, nous montons en gamme pour couvrir les exigences des services de type IaaS, PaaS, et SaaS jusqu’à la dernière activité touchant à la gestion des sauvegardes. L’une des forces d’EBRC est d’être un «one stop shop» IT et de proposer des services qui couvrent les différents niveaux de la norme», indique Anthony Ambrogi.
Pour EBRC, mettre en place une politique de certification ambitieuse permet également d’assurer à ses clients un niveau d’exigence garanti sur la qualité des services délivrés. «La norme HDS complète naturellement notre portefeuille de certifications notamment avec les normes ISO 27001 pour les systèmes de management de la sécurité de l’information, ISO 22301 pour le volet continuité des opérations et ISO 20000 pour la gestion de service», précise Thomas Flachaire.
Pour soutenir son développement, EBRC s’attache à offrir à ses clients des services de qualité alignés sur les plus hauts standards. Aujourd’hui, l’obtention de la certification HDS ajoute une couche supplémentaire aux aspects cybersécurité et cyber-résilience au sein de l’entreprise. Elle permet également de s’inscrire dans une stratégie à vocation européenne et une vision à long terme.
Vers une norme européenne ?
«La France est l’un des premiers pays à exiger ce type de certification. Nous sommes convaincus qu’il existera une norme européenne pour la gestion des données de santé à l’instar du RGPD. Tout porte à croire que ce type de standard pourrait voir le jour, notamment avec le projet de cloud européen GAIA-X et le contexte pandémique », présume Anthony Ambrogi. Si cette tendance se confirme, EBRC se positionne déjà comme un acteur majeur dans la définition de ce standard.
«En s’assurant de la santé de leurs citoyens, les pays s’assurent aussi du bon fonctionnement de leur économie. Il serait idéal qu’elles puissent partager certaines informations de santé, notamment de vaccination lors de la saison touristique. Pour que ce genre de pratique puisse voir le jour, il est nécessaire de garantir la sécurité des données de santé. Or, sans standard européen, cela semble compromis », conclut Thomas Flachaire.
* Le hacktivisme (mot-valise, contraction de hacker et activisme), aussi appelé cyber activisme au Québec, est une forme de militantisme utilisant des compétences du piratage informatique dans le but de favoriser des changements politiques ou sociétaux. (Source Wikipedia)