Données santé : Comment les géants du web s’assurent que leurs data centers sont inviolables

Données santé : Comment s'assurer que les data centers sont inviolables

6 déc. 2019 - 2 min

La numérisation croissante des données de santé des citoyens français représente un défi sécuritaire pour les géants du web chargés de les héberger. Leur protocole de sécurité est bien huilé.

Le marché français de l’e-santé explose. Estimé à 2,7 milliards d’euros en 2014, il pourrait atteindre 4 milliards d’euros en 2020, selon une étude de Xerfi. Les données de santé représentent une véritable opportunité pour les géants du numérique, souvent chargés de les héberger. Sous l’impulsion des pouvoirs publics, leur collecte augmente rapidement. Ainsi, le 18 septembre 2018, Emmanuel Macron annonçait le développement massif des nouveaux outils numériques dans le domaine de la santé grâce à un investissement de près de cinq milliards d’euros.

Cette numérisation des données de santé constitue un outil prometteur pour améliorer les services rendus aux citoyens : développement de la télémédecine dans les déserts médicaux, suivi régulier de certaines pathologies grâce aux objets connectés, ou encore mutualisation des données individuelles de santé afin de coordonner le parcours de soins entre les différents professionnels du secteur. Un sondage Odoxa réalisé en 2018 indique que 63% des Français se montrent favorables au développement de l’e-santé. Néanmoins, 36% d’entre eux expriment leur crainte des dérives du système, notamment pour la sécurité de ces données ultra-sensibles.

Garantir une protection maximale

Pour répondre à ces inquiétudes, le législateur français a créé en 2018 la certification HDS, obligatoire pour les data centers des hébergeurs des données de santé. Anne-Aurore Ruget, Chef de service de la BU Manager Information Security de Bureau Veritas, précise que le processus de mise aux normes HDS pour les hébergeurs de données de santé « prend environ une année, à l’issue de laquelle un audit externe est réalisé par le certificateur ». Ce délai s’explique par le haut niveau d’exigences que requiert la norme HDS. En effet, cette certification, qui s’inscrit dans le cadre légal européen du règlement général sur la protection des données (RGPD), impose aux hébergeurs le respect de la norme internationale ISO 27001 sur les systèmes de management et de la sécurité de l’information, à laquelle s’ajoutent notamment certaines parties des normes ISO 20000 et 27018.

Lire aussi:

Parallèlement, le comité français d’accréditation (COFRAC) encadre les organismes chargés de délivrer et de vérifier le bon respect de la certification HDS, dont fait partie Bureau Veritas Certification, qui a notamment accompagné Google, Amazon Web Service ou encore Salesforce dans ce processus de certification. La norme HDS liste un grand nombre d’exigences, allant du respect des lois en vigueur à la formation des collaborateurs, en passant par de nombreux contrôles de sécurité soit physiques, sur les sites des data centers hébergeant les données, soit numériques pour les données de santé elle-même. Les vérifications réalisées par le certificateur peuvent impliquer le contrôle des habilitations des personnes présentes sur le site, la vérification des accès aux outils ainsi que les mesures de protection mises en place contre les attaques informatiques et les réponses qui leur sont opposées. Une fois la certification HDS accordée, celle-ci est valable trois ans ; et le certificateur réalise un contrôle annuel pour vérifier que les normes sont toujours respectées sur les sites.

Les garanties pour les entreprises et pour les usagers

La certification de tous ses data centers permet à l’entreprise d’empêcher d’éventuels hackers, d’identifier le seul site certifié HDS qui abriterait ces données, tout en offrant un avantage réel sur ses concurrents en garantissant à l’ensemble de ses clients que leurs sites sont sécurisés. L’obtention de la certification HDS, sous contrôle des pouvoirs publics, garantit aussi aux clients et aux citoyens que leurs données de santé ne sont pas utilisées sans leur consentement car protégées par le RGPD, ni égarées dans une chaîne de sous-traitance opaque.

Besoin d'une information ?

Cliquez-ici