Stockage des données et prévention des risques : la certification hébergeur de données de santé

Thomas Flachaire, CISO, et Anthony Ambrogi, Information Security Officer, EBRC
par Hospitalia 14/06/2021
Santé et Sciences de la vie
OSE - Opérateurs de Services Essentiels

European Business Reliance Centre (EBRC) est aujourd’hui certifié Hébergeur de Données de Santé (HDS) sur les six activités. Une reconnaissance supplémentaire de l’expertise et du savoir-faire de cet acteur européen de la gestion des données, comme nous l’expliquent Anthony Ambrogi, Chargé de la Sécurité des Systèmes d’Information, et Thomas Flachaire, Responsable de la Sécurité des Systèmes d’Information. 

EBRC : la fiabilité et le savoir-faire d’un groupe européen

Vous faites, tous deux, partie de l’équipe Risque, Sécurité de l’Information et Continuité (RISC) d’EBRC. Quelles sont ses missions exactes ?

Anthony Ambrogi : Composée de cinq personnes, notre équipe traite toutes les problématiques relatives à la gestion des risques de l’entreprise, la gestion de la sécurité de l’information et la continuité de l’activité, à travers par exemple la mise en place de contrôles de sécurité, d’évaluations, de procédures de suivi… Un de nos objectifs est de prévenir au mieux les incidents cyber afin de protéger et maintenir la continuité de nos activités et celles de nos clients.

Thomas Flachaire : Assurer un service permanent et qualitatif représente en effet un enjeu majeur pour EBRC, qui intervient dans de nombreux domaines stratégiques comme la santé, l’énergie, le secteur bancaire et financier, le Spatial, les Institutions Internationales… La notion de continuité de service fait donc partie intégrante de notre chaîne de valeur, et se matérialise dans nos offres. Depuis 2000, nous avons fait de la protection et la gestion des données sensibles notre stratégie et avons développé toute une gamme de services Conseil, Cybersécurité, Résilience, Cloud, Infogérance et Data Centre. A titre d’exemple nous opérons nos propres data centres, trois sont certifiés Tier IV par l’Uptime Institute. Ce haut niveau de qualité nous permet d’afficher zéro seconde d’interruption de service depuis 2000 : une nécessité pour la plupart des activités critiques de nos clients.

La certification hébergeur de données de santé (HDS) : définition et avantages clés ?

Vous êtes également, certifié Hébergeur de Données de Santé (HDS), désormais des activités 1 à 6, pour la France. Pourriez-vous nous en parler ?

Anthony Ambrogi : La France est l’un des premiers pays à exiger ce type de certification, qui est en parfaite synergie avec notre propre stratégie et notre vision à long terme. Obtenir la certification HDS était donc pour nous une évidence. Cette norme exigeante est en effet gage de qualité et de garanties de bout en bout. Il faut savoir que le standard HDS porte sur six activités, deux applicables aux hébergeurs et quatre aux infogéreurs. En 2018, EBRC a été certifié sur la première activité, relative au maintien des sites physiques. Et depuis mars 2021, nous sommes désormais certifiés HDS pour toutes les activités, depuis les infrastructures Data centre, les plateformes Cloud (IaaS, PaaS, et SaaS), les logiciels jusqu’à la gestion des sauvegardes.

Thomas Flachaire : La norme HDS a un autre atout : elle facilite grandement les échanges lors des appels d'offres et audits effectués par nos clients, en offrant un cadre clair sur lequel s’appuyer. C’est une mise en application de notre stratégie de cyber-résilience, pour délivrer les meilleures garanties en termes de sécurité, continuité et efficacité. La mise en application de ce standard représente donc pour nous une étape supplémentaire, après la conformité RGPD et les certifications, déjà obtenues, selon les normes ISO 27001 pour les systèmes de management de la sécurité de l'information, ISO 22301 pour la continuité des opérations ou encore ISO 20000 pour la gestion de services IT.

Certification HDS et RGPD : les grands principes de sécurité des données du secteur de la santé

Comment cette stratégie répond-elle aux enjeux du monde de la santé ?

Anthony Ambrogi : Les acteurs de santé, notamment en France, ont de fortes contraintes réglementaires pour garantir la sécurité des données. Celles-ci ont d'ailleurs été renforcées avec le RGPD, qui a pris l'ascendant sur d’autres exigences normatives en matière de protection des données à caractère personnel. Tout prestataire retenu par un établissement de santé doit donc être certifié sur les services délivrés, qu’il s’agisse de l’hébergeur des serveurs informatiques que de l’infogéreur chargé de maintenir les systèmes de production en conditions opérationnelles.

Thomas Flachaire : C’est d’autant plus nécessaire en 2021, en pleine crise sanitaire, les établissements de santé ont été la cible de cyber-attaques particulièrement virulentes. Nous sommes convaincus que pour améliorer le niveau de sécurité globale d’une structure, il faut y associer ses équipes, les faire participer autant que possible à l’élaboration des plans et des procédures. Les sessions de formation et de sensibilisation représentent également une activité cruciale pour renforcer l’implication des utilisateurs, mais elles ne rivalisent pas encore avec l’ingéniosité des hackeurs. Il est donc essentiel de travailler sur plusieurs axes, la prévention et l’identification des risques, la réaction à avoir en cas de menace avérée, l’amélioration continue des processus en vigueur… Fort de son expérience opérationnelle, EBRC, dispose d’une équipe de vingt-cinq consultants qui accompagne les organisations jusqu’aux certifications ISO 27001 (Sécurité de l’Information) et ISO 22301 (Continuité des affaires).

Garantir la sécurité des données au-delà de la certification HDS

ERBC propose justement un accompagnement en cybersécurité et résilience…

Anthony Ambrogi : La sécurité est un tout, et elle doit se penser comme tel. La notion de cyber-résilience est donc au cœur de notre métier et sous-tend toutes les activités de nos équipes, qui fonctionnent en groupes restreints donc agiles. Cette approche nous permet d'offrir des services hautement qualitatifs dont bénéficient par exemple, depuis déjà plusieurs années, le dossier de soins partagé luxembourgeois ou l’Integrated Biobank of Luxembourg (IBBL) – preuve, s’il en est, de notre savoir-faire et de notre expérience sur les problématiques de santé.

EBRC s’implique également au niveau européen, avec notamment le projet Gaia-X. Pourquoi ?

Thomas Flachaire : Par des initiatives telles que Gaia-X – qui vise à développer une infrastructure de données efficace, compétitive, sécurisée et fiable pour l’Union Européenne – tout porte à croire qu’un standard européen verra le jour. Cela est d’autant plus envisageable depuis la crise sanitaire : les différents pays souhaitent tous garantir la santé de leur population pour, notamment, limiter les impacts sur leur économie. Pour cela, l’idéal serait de pouvoir partager certaines informations de santé, comme les données de vaccination lors de la saison touristique. Or il faut, pour cela, commencer par garantir la sécurité des données de santé, ce qui semble difficile sans standard applicable à l’échelle européenne. Nous sommes donc convaincus qu’il existera, à terme, une norme communautaire relative à la gestion des données de santé, à l’instar de ce qui a été mis en œuvre avec le RGPD. Et si cette tendance vient à se confirmer, EBRC se doit d'en être un acteur majeur pour rester le partenaire idéal des établissements de santé.

RETOURNER AU BLOG