Protection des données de santé : aller plus loin dans la sécurité avec le SecNumCloud par Alain Issarni, Président Exécutif de NumSpot

A lire sur Journal du Net

Pourquoi les données de santé, particulièrement sensibles et stratégiques,
ont besoin de s’aligner sur la qualification SecNumCloud pour être mieux protégées ?

Les données de santé suscitent beaucoup d’intérêt de la part des cyberpirates qui orientent leurs attaques sur elles ; une situation face à laquelle les systèmes d’informations des établissements de santé sont particulièrement sollicités.

Les données de santé, cible de premier choix

Les établissements de santé sont des cibles privilégiées pour les cyberattaques et l’actualité s’en fait régulièrement écho. Outre la violation du secret médical dont peuvent être victimes les patients avec la fuite de leurs données, ces dernières peuvent aussi être altérées ou rendues inaccessibles (par chiffrement) ; par voie de conséquence, le système d’information peut être rendu inaccessible durant quelques jours, forçant les établissements de santé à fermer leurs services, privant ainsi les patients de soins.

Pour cette raison, la cybersécurité est devenue une priorité pour le secteur de la santé. Cette année, le Ministère de la Santé a fixé comme objectif que 100% des établissements de santé les plus prioritaires aient effectué un exercice de cybersécurité avant fin mai 2023 et que 50% de tous les établissements de santé aient fait leur premier exercice d’ici décembre. Le constat, à mi-parcours, faisait état de 500 établissements de santé ayant rempli cet objectif.

Des ressources aux besoins spécifiques

De par leur nature sensible, les données de santé sont donc une cible stratégique ; elles nécessitent d’avoir, plus que pour tout autre type de données, une vigilance particulière sur leur sécurisation et leur protection. Elles ne doivent pas être volées, ni rendues accessibles et inaccessibles – et donc indisponibles –, au risque d’empêcher un hôpital de fonctionner correctement, et elles ne peuvent pas être altérées, au risque d’aboutir à un diagnostic erroné s’il est établi à partir de données qui ne sont pas bonnes. Tous ces constats aboutissent à la même conclusion : il faut impérativement accorder à ces données la plus grande attention possible.

La certification HDS (Hébergeurs de Données de Santé) est l’une des réponses à cet enjeu. Elle est obligatoire pour les organisations qui traitent les données de santé, ce qui englobe les établissements de santé, les pharmacies, les laboratoires, les assureurs, les éditeurs de logiciels et les prestataires informatiques. Elle garantit la sécurité, la confidentialité et le respect du secret médical sur ces données, en venant compléter les exigences du RGPD déjà en place. Par extension, elle sert aussi à protéger la vie privée des patients, à garantir la qualité des services d’hébergement et à fournir un cadre de confiance global pour les acteurs du secteur de la santé.

SecNumCloud, la nouvelle frontière sécurité indispensable

Pourtant, afin d’offrir aux usagers du système de santé le meilleur niveau de protection, il convient d’aller encore plus loin, en ajoutant à ce cadre réglementaire la qualification SecNumCloud. La doctrine « Cloud au centre » va d’ailleurs déjà dans ce sens, en ayant précisé, avec la nouvelle circulaire signée au mois de mai, que les données sous couvert de secret médical qui sont hébergées dans le cloud doivent impérativement l’être dans un cloud qualifié SecNumCloud. Cette récente précision sur le caractère sensible des données de santé, dans le contexte de la doctrine, s’applique à toute la sphère données de santé publiques, imposant clairement le recours à un cloud commercial qualifié SecNumCloud.

Outre le plus haut niveau d’exigence qu’apporte cette qualification, par rapport à la norme HDS, elle introduit également une immunité aux lois étrangères à portée extraterritoriales, gage d’une plus grande exigence en matière de sécurité.

Le constat selon lequel les données de santé sont sans doute les plus sensibles qui puissent exister mais pour la protection desquelles le niveau d’exigence de sécurité retenu n’est pas le plus élevé, avec la seule norme HDS, met en lumière une certaine incongruité réglementaire sur ces données.

La doctrine « Cloud au centre » permet de pallier ce manque pour la sphère publique, en exerçant plus de contraintes, mais cela n’impacte malheureusement pas les établissements de santé privés.

Freins actuels et perspectives futures

A l’heure actuelle, l’adoption de ces normes par les établissements de santé publics est encore faible et leurs ressources pour protéger leurs données demeurent insuffisantes. Comment expliquer cette tendance ? Premièrement par une certaine frilosité, les mentalités n’ayant pas encore évolué dans ce sens. Mais également – et surtout – parce que les acteurs de santé attendent des offres riches et sécurisées dans ce domaine. Jusqu’à présent, les fonctionnalités du cloud qualifié SecNumCloud sont restées limitées et se cantonnent au IaaS (Infrastructure as-a-Service). Enrichir les fonctionnalités avec des services managés et se rapprocher de ce qu’attendent les acteurs de santé qui vont dans le cloud, tout en garantissant un bon niveau de sécurité, devrait progressivement avoir un effet d’encouragement auprès du secteur à aller davantage vers le cloud et les rassurer sur ce point.

L’application du cadre fixé par la dernière circulaire en date concernant la doctrine « Cloud au centre » va donc permettre d’aller plus loin dans l’adoption d’un cloud souverain et de confiance par les établissements de santé publics. En ce qui concerne les établissements du secteur privé, la réflexion est toujours en cours, pour aboutir au meilleur cadre réglementaire possible d’un point de vue sécurité. La norme HDS devrait prochainement être mise à jour, allant peut-être dans ce sens. L’objectif ultime étant de protéger au maximum les données personnelles de santé des citoyens français.

Les données de santé suscitent beaucoup d’intérêt de la part des cyberpirates qui orientent leurs attaques sur elles ; une situation face à laquelle les systèmes d’informations des établissements de santé sont particulièrement sollicités.

Alain Issarni
Président Exécutif de NumSpot

Ancien directeur des systèmes d’information (DSI) de la Caisse Nationale d’Assurance Maladie (CNAM), et ex-DSI de la Direction générale des finances publiques (DGFiP), a travaillé durant toute sa carrière au service de l’intérêt général. Attaché à la souveraineté comme vecteur de maîtrise technologique, il a été précurseur de l’utilisation de solutions « open source maîtrisé » dès le début des années 2000 dans la sphère publique.

A propos de NumSpot

NumSpot est un acteur du cloud souverain et de confiance. Né de la volonté de 4 entreprises françaises de premier plan des secteurs public et privé (Banque des Territoires, Docaposte, Dassault Systèmes et Bouygues Télécom), NumSpot propose une offre de cloud indépendant, souverain et robuste adossé au IaaS d’OUTSCALE qualifié SecNumCloud. NumSpot est un cloud réversible et transparent, basé principalement sur l’open source et des solutions européennes. L’offre NumSpot s’adresse prioritairement aux secteurs confrontés à une forte sensibilité des données (secteur public, santé, services financiers et assurance, OIV et OSE) en France et en Europe, et à la recherche d’une solution souveraine et de confiance en accord avec les règlementations RGPD et européennes. NumSpot fait ainsi le choix d’œuvrer pour l’intérêt général en proposant un véritable pacte de confiance entre un fournisseur de cloud, ses clients et les citoyens européens. 

Ça pourrait
vous intéresser

En quoi le recours au cloud souverain et de confiance est-il un accélérateur en matière de cybersécurité ?

Résumé La certification ISO/IEC 27001 est la norme internationale fixant les exigences relatives aux SMSI (Systèmes de Management de la Sécurité de l’Information) des entreprises...

4 min de lecture
Établissements de santé et cloud computing : à vos marques, prêts, partez !" par Dominique Pon, Directeur Général La Poste Santé et Autonomie

Téléchargez le guide NumSpot de la protection des données de santé et du cloud Les données de santé sont précieuses et convoitées car éminemment sensibles...

2 min de lecture
Établissements de santé et cloud computing : à vos marques, prêts, partez !" par Dominique Pon, Directeur Général La Poste Santé et Autonomie

Le SIH (Système d’Informations Hospitalier) est un élément fondamental et stratégique de l’établissement hospitalier, et ce à plusieurs titres : la gestion des processus administratifs...

7 min de lecture

Offres packagées

Découvrez les offres que nous avons bâties avec nos partenaires technologiques.

NumSpot partenaire de Sopra Steria
Offre de Sauvegarde des Données de Santé
Offres packagées NumSpot (Allonia)
Assistant IA
NumSpot partenaire d'Alter way
S.I.E.M.

Cas clients

Trouver

Un partenaire

Découvrez la liste des partenaires embarquant les technologies NumSpot (éditeurs,
intégrateurs, distributeurs, revendeurs, sociétés de conseil)

synodis-partenaire-numspot
Synodis
Denodo logo numspot
Denodo
Logo Adobis Group
Adobis Group
Logo CobolCloud
CobolCloud
Logo Allonia
ALLONIA
SCC
Softeam
Eviden
Docaposte
Cleyrop
Sopra Steria
IBM
LightOn
Alter Way
Illuin Technology
Energisme
OGO
OGO Security
Logo-Red_Hat
Red Hat
DEVOTEAM
Keltio
OCTO Technology
DuoKey
CEO-Vision SAS
Produits

Gestion et opérations
Compute
Containers
Network
Storage
Database
Security and identity
Developers

Solutions

Secteur public
Santé
Services financiers et assurance
OSE et OIV

Cas clients

Découvrez la mise en oeuvre de nos technologies au travers de nos cas clients.

Perfecto Group
Secteur public
CNP Assurances
Services financiers et assurance
Docaposte
Santé
Gestion et opérations
Compute
Containers
Network
Storage
Database
Security and identity
Developers

Produits & disponibilités