Le blog Exodata

HDS, les réformes de lois d'hébergement de données de santé

Rédigé par Gauthier THOMAS | Aug 20, 2020 8:00:00 PM

Temps de lecture estimé : 16 minutes

Avec le développement de la digitalisation du domaine de la santé, le vol, le piratage et la falsification de données numériques représentent de véritables menaces que tous les hébergeurs de données de santé se doivent d'anticiper.

Mais quelle est réellement l'ampleur de telles menaces sur la sécurité de données extrêmement sensibles ? Nous avons rédigé cet article afin de vous en dire un peu plus sur le sujet, tout en vous renseignant sur les différentes réformes de lois relatives à la modernisation de l'hébergement de données de santé en France.

01. Les données des patients : Une proie facile pour les pirates
02. Pourquoi viser le secteur Santé exactement ?
03. Hébergeur de données de santé : qu'est-ce que c'est réellement ?
04. Quels métiers d'hébergement sont concernés ?
05. Qu'en est-il de la Certification ?
06. Quelles peuvent être les éventuelles sanctions ?

01. Les données des patients : Une proie facile pour les pirates

Aujourd'hui, le domaine sanitaire est devenu l'une des cibles privilégiées par les cybercriminels. En 2014, près d'un million de dossiers ont été hackés sur les serveurs d'une entreprise d'assurance maladie américaine. Selon une étude effectuée par Websense, une agence américaine, les piratages de systèmes informatiques des établissements de santé auraient incroyablement haussé de 600% au cours de ces dernières années. La société Vectra a également diffusé un rapport (Spotlight 2019) qui met en avant cette tendance. D'après ce rapport, la finance-assurance (35 %) ainsi que la santé (18 %) sont les domaines les plus touchés par les ransomwares. Une circonstance qui s'explique notamment par un nombre accroissant d'objets connectés dans les centres hospitaliers et un contrôle des accès trop faible.

Cela n'a rien d'étonnant quand on sait que les données de santé sont parmi les plus onéreuses sur le darknet. Il est alors évident que leur hébergement propose des assurances solides en termes de sécurité. De telles menaces planent aussi en France. D'après les rapports de l'Agence des Systèmes d'Information Partagés en Santé ou ASIP Santé, plus de 470 cas de piratages ont été enregistrés dans l'Hexagone entre octobre 2017 et mai 2019.

02. Pourquoi viser le secteur Santé exactement ?

Le 10 août 2019, tout le réseau de Ramsay-Générale de santé, un groupe privé de 120 établissements de santé, a été attaqué par une cyberattaque. Un virus a paralysé tous les serveurs qui gèrent les messageries et les infrastructures. D'après TICsanté, 4 hôpitaux en moyenne subissent un piratage au quotidien en France.

Un rapport a permis de mettre en évidence 9 principales raisons qui pourraient expliquer l'intérêt des cybercriminels pour le domaine sanitaire :

  • Les données personnelles des patients ont une grande valeur pour les pirates
  • Le personnel a un accès à distance aux données, ce qui augmente considérablement la surface d'attaque
  • Les dispositifs médicaux sont des points d'entrée faciles
  • Les employés ne désirent pas perturber des habitudes de travail fonctionnant avec l'entrée de nouvelles technologies
  • Le personnel n'est pas assez sensibilisé aux nombreux risques liés au digital
  • Les renseignements sur les soins de santé doivent être accessibles et divisibles
  • Le nombre d'appareils utilisés dans les centres hospitaliers rend la gestion de la sécurité plus compliquée
  • Une technologie devancée se traduit par une industrie sanitaire n'étant pas en mesure de faire face à d'éventuels piratages
  • Les petites organisations sanitaires présentent aussi des risques

Pour répondre au besoin de Cybersécurité pour ce genre de données, la loi a qualifié ces données sanitaires d'ultrasensibles. Ainsi, en plus de la RGPD, des règles spécifiques aux données sanitaires en ce qui concerne leurs traitements (collecte, usage, conservation et communication) s'appliquent à cette catégorie de données personnelles.

03. Hébergeur de données de santé : qu'est-ce que c'est réellement ?

En vue de la mise en conformité au RGPD des individus hébergeant des données de santé, on se pose souvent la question de l'Agrément de celles-ci prévu à l'article L 1111-8 du Code de la Santé Publique (CSP).

Tout individu hébergeant des données sanitaires personnelles qui ont été recueillies au cours d'activités de soins, de diagnostic, de prévention, de médico-social et suivi social pour le compte de personnes morales ou physiques à l'origine de la production et de recueil de ces données ou encore celui du patient lui-même, doit effectivement être agréé à cet effet. Peu importe le support, électronique ou encore papier, cet hébergement est effectué quand l'individu pris en charge en a été conformément renseigné et sauf opposition pour un motif légitime.

Les traitements de données sanitaires personnelles qu'exige l'hébergement se doivent d'être effectués dans le respect des dispositions de la loi n° 78-17 du 6 janvier 1978 relative aux libertés, aux fichiers et à l'informatique. D'où l'importance de faire appel à un hébergeur certifié HDS.

04. Quels métiers d'hébergement sont concernés ?

Obligatoire en France et acquise auprès d'un organisme accrédité par le COFRAC, la Certification HDS a substitué la procédure d'Agrément qui fonctionnait davantage sur une logique de déclaration de l'hébergeur par le décret n° 2018-137 du 26 février 2018. Après un processus d'audit sur site et documentaire, elle est délivrée pour 3 ans, avec un contrôle annuel. Les certificats sont délivrés pour deux principaux métiers d'hébergement :

  • Un certificat « hébergeur infogéreur » : il concerne les activités de mise à disposition d'infogérance, d'infrastructure virtuelle, de plateforme logicielle et de sauvegarde externalisée.
  • Un certificat « hébergeur d'infrastructure physique » : il concerne les activités de mise à disposition d'infrastructure matérielle et de locaux d'hébergement physique.

05. Qu'en est-il de la Certification ?

Dès le commencement d'un projet, l'hébergeur doit mesurer l'écart entre la cible de Certification et son existant. Les exigences du référentiel sont issues de 3 principales catégories : le SMSI ou Système de Management de la Sécurité de l'Information ISO 27001, la sécurité de l'information dans le Cloud ISO 27018 et les services informatiques résultant des bonnes pratiques ITIL (ISO 20000).

L'ISO 27001

Le décret exige à l'hébergeur de détenir l'ISO 27001 sur le périmètre d'hébergement. Plusieurs points de conformité obligatoires ont été majorés :

  • La prise en considération de la sécurité des sauvegardes en externalisation
  • Le besoin d'intégrer à la Déclaration d'applicabilité (DdA) les différentes exigences santé exigées par le référentiel
  • La possibilité pour les clients de faire des audits sur les applications en production

Les différents points clés indispensables à la mise en œuvre d'un SMSI demeurent valables : traitement et analyse des risques, engagement de la direction, gestion de la documentation, traitement des non-conformités, objectifs de sécurité, optimisation continue…

Les exigences des deux normes ISO 27017 et ISO 27018

Le référentiel HDS reprend des exigences des normes ISO 27017 (protection des données personnelles) et ISO 27018. Ces différents points doivent être respectés avec beaucoup de rigueur, ainsi qu'incorporés à la déclaration d'applicabilité.

La conformité aux exigences ISO 20000

Plusieurs de ses exigences doivent être mises en œuvre afin d'acquérir l'Agrément d'hébergement :

  • Critères d'acceptation de la prestation pour les prestations modifiées et les nouveaux services
  • Conception, planification et implémentation des prestations modifiées et nouvelles (paragraphes 5.2 et 5.3 de l'ISO 20000)
  • Gestion de la capacité (paragraphe 6.5)
  • Exigences de continuité et de disponibilité de prestations (paragraphe 6.3)

Le plan de continuité des activités doit donc être renforcé pour tout hébergeur.

06. Quelles peuvent être les éventuelles sanctions ?

Si l'hébergement est réalisé sans avoir acquis l'accord indispensable, l'hébergeur non certifié risque une peine d'emprisonnement de 3 ans et d'amende allant jusqu'à 45 000 euros.