Rappel du contexte
Fin 2016, OVH a obtenu l’agrément pour l’hébergement de données de santé sur l’offre Private Cloud. Cet agrément est valable jusqu’au 24 octobre 2019. Durant toute la durée de cet agrément, les clients de l’offre OVH Healthcare s’appuyaient sur OVH pour respecter la loi. Après avoir accepté les conditions particulières de l’offre, ils n’avaient pas d’autre démarche à réaliser. Or, tous nos clients doivent respecter la PGSSI-S. Ils réalisent donc l’infogérance de tout ce qu’ils installent sur leurs Private Clouds.
Le changement réglementaire amené par le décret 2018-137 (article 2, sous-section 2) introduit 2 changements majeurs :
- Un schéma d’assurance qui repose sur des organismes de certification privés accrédités au lieu d’un agrément délivré par le ministère de la santé. La certification implique un audit sur site, par des auditeurs qualifiés et compétents. De plus, le référentiel de certification est fondé sur ISO27001, le référentiel mondialement reconnu pour le management de la sécurité de l’information.
- Les entités concernées par la certification sont beaucoup plus nombreuses car l’obligation de certification est partagée par toute la chaine de sous-traitance de l’informatique de santé. Toute entité de cette chaine qui contribue à au moins l’une des activités suivantes est concernée :
# | Décret 2018-137 – CSP article R.1111-9 | Autrement dit |
1 | La mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé. | Le housing |
2 | La mise à disposition et le maintien en condition opérationnelle de l’infrastructure matérielle du système d’information utilisé pour le traitement de données de santé. | Les serveurs, le réseau, le stockage |
3 | La mise à disposition et le maintien en condition opérationnelle de l’infrastructure virtuelle du système d’information utilisé pour le traitement des données de santé. | Le IaaS |
4 | La mise à disposition et le maintien en condition opérationnelle de la plateforme d’hébergement d’applications du système d’information. | Le PaaS |
5 | L’administration et l’exploitation du système d’information contenant les données de santé. | Le SaaS |
6 | La sauvegarde des données de santé. | La sauvegarde |
Nous avons régulièrement communiqué à nos clients et prospects ce changement depuis juillet 2018. Toute entité qui opère un système d’information de santé pour le compte d’un tiers doit être certifiée. C’est le cas de la majorité de nos clients. Pour eux, deux options sont possibles :
- Certifier leurs activités. Dans ce cas, le client peut continuer à opérer en toute autonomie son système d’information de santé hébergé chez OVH.
- Faire appel à un prestataire infogéreur certifié. Le client transfère ses activités à certifier à un tiers certifié.
Évolution de l’ASIP Santé sur l’activité 5
L’ASIP Santé a annoncé en avril 2019 Santé retirer l’activité 5, « administration et l’exploitation du système d’information contenant les données de santé », de la certification. Cette évolution semble limiter le nombre d’acteurs concernés par la certification. Cependant, la prudence s’impose :
- Jusqu’à la date de publication de ce post, la loi n’a pas changé (CSP article R1111-9),
- De plus, les activités de nos clients dépassent le cadre de l’activité 5. Dans le cas d’utilisation de IaaS, la gestion des machines virtuelles, des briques middleware et la mise en place de la politique de sauvegarde sont sous la responsabilité du client. Ces activités sont à priori concernées par l’obligation de certification. Elles ne sont pas obligatoirement opérées par votre opérateur IaaS.
- Enfin, respecter les obligations de la PGSSI-S et du RGPD est essentiel pour les responsables de traitement. Le référentiel de certification HDS est cohérent avec ces 2 règlementations.
Maîtriser le périmètre de la certification HDS
OVH a obtenu en mai 2019 la certification de l’offre Private Cloud OVH Healthcare. Toutes les activités sont certifiées à l’exception de l’activité 5. Par ailleurs, toutes les options du service Private Cloud sont aussi certifiées HDS. Le périmètre finalement certifié est plus large que celui annoncé l’an dernier. Toutefois, nos clients doivent quand même vérifier si leur certification est nécessaire.
En effet, le périmètre de notre certification ne concerne que les activités d’OVH, pas les activités de nos clients. Par conséquent, si le client :
- N’est pas le responsable des traitements qu’il nous confie et
- Ne bénéficie pas d’une exemption prévue par la loi (CSP L1111-8) ou précisée par l’ASIP Santé,
il doit se faire certifier. Ci-dessous, vous trouverez une liste non exhaustive d’activités opérationnelles qui nécessitent d’être certifié :
# | Activités certifiables (Décret 2018-137 – CSP article R.1111-9) | Activités opérationnelles du client | Activités opérationnelles d’OVH |
1 | La mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé. | Fournir l’énergie, fournir le refroidissement, fournir la connectivité, sécuriser le site, sécuriser les salles, et monitorer ces éléments. | |
2 | La mise à disposition et le maintien en condition opérationnelle de l’infrastructure matérielle du système d’information utilisé pour le traitement de données de santé. | Fournir les machines physiques, fournir le réseau local, réaliser les gestes de proximité, et monitorer ces éléments. Assurer la maîtrise du cycle de vie des supports de stockage et du cycle de vie des données fixées sur le support. Assurer la délivrance de machines fonctionnelles aux clients, et opérer de manière sécurisé leur recyclage. | |
3 | La mise à disposition et le maintien en condition opérationnelle de l’infrastructure virtuelle du système d’information utilisé pour le traitement des données de santé. | Installer et maintenir à jour l’hyperviseur. Assurer la fourniture et le retrait de puissance de calcul et de stockage à la demande. Fournir le vrack. Monitorer tous ces éléments. | |
4 | La mise à disposition et le maintien en condition opérationnelle de la plateforme d’hébergement d’applications du système d’information. | Demander l’attribution ou le retrait de ressources (automatiquement et/ou manuellement), affecter les ressources aux machines virtuelles, définir le plan réseau interne au datacentre virtuel, appliquer les mesures de sécurité définies dans la politique de sécurité, installer et maintenir en conditions opérationnelles et de sécurité les plateformes sur les machines virtuelles, monitorer tous ces éléments. | Interventions d’urgence du run OVH dans les cas de force majeure |
5 | L’administration et l’exploitation du système d’information contenant les données de santé. | ||
6 | La sauvegarde des données de santé. | Appliquer la politique de sauvegarde avec le client de sauvegarde, vérifier la consistance des données sauvegardées, tester périodiquement la procédure de restauration, appliquer la procédure de restauration au moment opportun, monitorer tous ces éléments. | Fourniture et maintien en condition opérationnelle et de sécurité de l’infrastructure de sauvegarde. Fourniture d’espaces de stockage utilisés pour la sauvegarde. |
Communs | Cette partie regroupe les activités opérationnelles qui doivent être faites pour chacune des 6 activités certifiables (activités à faire côté client et côté OVH) | Préparer et maintenir les plans de continuité / de reprise d’activité, rédiger les contrats (CSP R1111-11), préparer et mettre à jour les plans de capacité. |
Le modèle d’assurance de la certification HDS repose sur la certification de chaque entité de la chaîne de sous-traitance. Chacun d’entre eux s’assure que leurs sous-traitants sont certifiés. Nos équipes sont à votre écoute pour vous aider à appréhender ce nouveau contexte.
Retour d’expérience sur ce qu’apporte la certification HDS
Le passage à la certification amène de nombreux bénéfices pour chaque partie intéressée. Chez OVH, cette amélioration s’est traduite par :
- Des conditions particulières pour l’hébergement de données de santé simplifiées. Bénéfice : un contrat plus lisible, et un partage de responsabilités mieux compris par chaque acteur.
- La mise à disposition de documents supplémentaires à nos clients : déclaration d’applicabilité, rapport d’audit. Bénéfice : une approche et un langage commun en matière de sécurité de l’information de santé.
- Un conseil clair auprès de nos clients et prospects : sauf cas particulier, tous nos clients devront à terme être certifiés ou avoir un infogéreur certifié. Bénéfice : une amélioration continue de la sécurité, auditée et certifiée.
Pour tout intermédiaire sous-traitant informatique :
- La loi définit 6 activités certifiables. Bénéfices : un partage de responsabilités clarifié entre les acteurs du système d’information de santé. Ainsi que la possibilité de se spécialiser sur son cœur de métier (qu’il soit orienté informatique – par exemple infogérance d’applications critiques, ou la fourniture de IaaS – ou orienté métier – par exemple infogérance d’applicatifs métiers relatifs à l’épidémiologie, à la santé au travail…).
- La certification démontre une approche sérieuse et auditable de la sécurité de l’information, sur la base de ISO 27001. Bénéfice : une différenciation par rapport aux prestataires non certifiés.
Pour le responsable de traitement :
- La certitude d’audits de sécurité réguliers et focalisés sur l’hébergement de données de santé. Bénéfices : une meilleure sécurité des traitements, une délégation des vérifications à des tiers compétents. Il est aussi possible d’auditer soi-même les fournisseurs sur le référentiel HDS.
- L’assurance qu’aucune des données confiée à un hébergeur certifié HDS sera exploité en-dehors des traitements qu’il met en œuvre. Bénéfice : Les sous-traitants certifiés garantissent leur respect du RGPD.
Une démarche de conformité intégrée à l’environnement OVH
La gestion de la conformité HDS est intégrée au sein des démarches de gestion de la sécurité du produit Private Cloud.
« La Certification HDS est alignée sur la norme ISO 27001. Elle intègre des exigences visant à assurer la sécurité des données à caractère personnel et le respect des droits des patients. Ce dispositif complète de manière naturelle les démarches de sécurité déjà en place, de la même manière que nous intégrons les exigences du secteur bancaire (PCI DSS, DSP2) ou du secteur public (SecNumCloud) pour proposer un vrai cloud de confiance européen » Julien Levrard, Responsable conformité/sécurité.
Nous souhaitons permettre à nos clients de répondre aux cas d’usage les plus exigeants. C’est pourquoi l’offre Healthcare, aujourd’hui limitée à Private Cloud, va s’enrichir dans les prochains mois de services additionnels. A terme, nous saurons proposer toutes les briques d’infrastructure nécessaires à la mise en œuvre d’un système d’information complet dédié à la santé.