Les conseils pour réussir une mise en conformité HDS (Hébergeurs Données de Santé).

La certification HDS qui a remplacé la procédure d’agrément est obligatoire en France. Son contenu est détaillé dans un précédent article. La mise en conformité peut faire peur au premier abord car son périmètre couvre plusieurs normes et bonnes pratiques en termes de sécurité, de gestion des services informatiques et de protection des données à caractère personnel. Cet article propose quelques conseils pour aborder sereinement un projet de certification.

Faire une première analyse d’écart

L’hébergeur doit très vite mesurer, dès le début du projet l’écart entre son existant et la cible de certification. Les exigences du référentiel sont issues de trois catégories principales : le système de management de la sécurité de l’information (SMSI) ISO 27001, les bonnes pratiques ITIL sur la gestion des services (ISO 20000) et le traitement des données à caractère personnel (ISO 27018). La certification ISO 27001 étant obligatoire, plusieurs cas peuvent se présenter pour un hébergeur. Il a déjà la certification, il devra essentiellement s’assurer de la prise en compte des exigences complémentaires HDS. Par exemple, la déclaration d’applicabilité (DdA ou Statement of Applicability – SoA) doit inclure les exigences de certification HDS. Deuxième cas, il suit les bonnes pratiques issues des normes ISO 2700x (exigences 27001 et bonnes pratiques ISO 27002) mais il n’a pas été jusqu’à la certification. Un travail de documentation et de formalisation est à prévoir. Troisième cas, l’hébergeur n’a pas une forte maturité en gestion de la sécurité. Un effort conséquent devra être consenti pour mettre en place les procédures et les processus du SMSI.

Définir une équipe projet

Une certification HDS ne peut être mise en œuvre par une seule personne. Si une coordination doit être assurée, plusieurs expertises sont nécessaires. Ainsi, le DPO (Data Protection Officer) de l’hébergeur devra être largement impliqué. Certaines clauses liées à l’ISO 27018 peuvent être compliquées pour l’hébergeur et nécessiter une analyse fine de la situation. Par exemple, la clause définissant la période d'effacement des données temporaires. L’hébergeur doit documenter et mettre en place les moyens permettant de s’assurer que les données temporaires sont effacées à expiration d’un délai de rétention qu’il doit préalablement définir.

Préciser le périmètre

Le référentiel met en place un certificat « hébergeur d’infrastructure physique » pour les activités de mise à disposition de locaux d’hébergement physique et infrastructure matérielle et un deuxième pour les activités d’infogérance (mise à disposition d’infrastructure virtuelle, de plateforme logicielle, d’infogérance et de sauvegarde externalisée). L’hébergeur devra préciser son domaine d’intervention vis-à-vis de ses clients. Comme pour toute certification, le périmètre est fondamental et a des conséquences importantes en particulier pour l’analyse des risques. Ce point est aussi important pour formaliser la répartition des responsabilités en termes de sécurité de l’information entre l’hébergeur et son client (clause 4.5.1 du référentiel HDS).

Mettre en place un système de gestion de la documentation

La rédaction des procédures doit être simplifiée au maximum. Il ne s’agit pas de viser la quantité mais la qualité en n’oubliant pas que l’hébergeur doit pouvoir prouver à l’auditeur que ce qui figure dans ses procédures est appliqué. Il est recommandé de définir les éléments de preuve disponibles dès la rédaction et la mise en œuvre de la procédure. Par exemple, le référentiel de certification impose à l’hébergeur une procédure pour établir les modalités de notification du client en cas de saisie judiciaire. Les juristes chargés de rédiger les contrats d’hébergement devront bien entendu être impliqués. Autre exemple, quels sont les types d’audits que l’hébergeur autorise ses clients à mener. Un document doit décrire les modalités de réalisation des audits de sécurité de ses clients (test d’intrusion par exemple) et a contrario les audits exclus du périmètre (éléments mutualisés en particulier).

PROSICA propose des missions de conseil et des formations pour assister les hébergeurs de données de santé à la mise en œuvre de ces certifications. Demandez un rendez-vous avec un de nos consultants spécialisés pour définir la meilleure démarche à suivre (contact at prosica.fr) ou identifier la meilleure formation (formation at prosica.fr).

  Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :

RGPD, GDPR, Certification HDS, DPO, ISO27001, ISO7018