La législation sur l’hébergement des données de santé a récemment évolué. L’agrément a été remplacé par la certification HDS par le décret n° 2018-137 du 26 février 2018 qui pose les fondements de la nouvelle procédure. Cette certification est obtenue auprès d’un organisme accrédité par le COFRAC (ou équivalent européen). Après un processus d’audit documentaire et sur site, la certification est délivrée pour 3 ans, avec une surveillance annuelle. Des certificats sont délivrés pour deux métiers d’hébergement distincts :

  • Un certificat « hébergeur d’infrastructure physique » pour les activités de mise à disposition de locaux d’hébergement physique et infrastructure matérielle.
  • Un certificat « hébergeur infogéreur » pour les activités de mise à disposition d’infrastructure virtuelle, de de plateforme logicielle, d’infogérance et de sauvegarde externalisée.

Le référentiel 800-53 est un document important produit et mis à jour par la NIST américain depuis sa création en 2005. C’est un catalogue structurant pour les agences publiques américaines dans le cadre de leur mise en conformité FISMA avec le FIPS 199 pour la catégorisation du système et le FIPS 200 pour le choix des niveaux d’impact et de la sécurité associée. C’est aussi un document central pour les certifications de sécurité Cloud de type FedRamp. Au-delà des Etats-Unis, ce référentiel est beaucoup utilisé par les groupes internationaux, y compris européens. Il se révèle très pratique pour sélectionner des mesures de sécurité et des niveaux de protection, dans tous les domaines de la cybersécurité : gouvernance, systèmes, contrôle d’accès, réseaux, systèmes, ressource humaines, cryptographie…C’est un bon complément du NIST Cybersecurity Framework.

La norme ISO 27701 définit un cadre normatif pour la protection des données à caractère personnel. Elle apporte des compléments aux normes ISO 27001, pour les exigences et ISO 27002, pour les lignes directrices. Par ailleurs, la relation est faite en annexe avec d’autres référentiels normatifs ou légaux : ISO 29100 et ISO 29151, règlement général sur la protection des données (RGPD), ISO 27018.