Comment stocker et envoyer des données de santé en toute sécurité ?

Alors que les cyberattaques sont de plus en plus fréquentes et sophistiquées, la protection des données de santé devient un véritable enjeu. En effet, ces informations hautement sensibles et personnelles doivent faire l'objet de mesures de sécurité strictes pour garantir leur confidentialité, toute faille dans la protection de ces données pouvant entraîner de graves conséquences, tant pour les patients que pour les professionnels de santé. Entre certifications réglementaires obligatoires, bonnes pratiques et outils dédiés, découvrez comment stocker et envoyer des données de santé en toute sécurité.

Qu'est-ce que la norme HDS pour les données de santé ?

Les données de santé se distinguent par leur caractère hautement confidentiel et sensible. Elles englobent une large variété d’informations, allant des dossiers médicaux des patients aux historiques de traitements, en passant par les résultats d'analyses médicales. Conformément aux réglementations comme le RGPD et le Code de la santé publique, ces données doivent bénéficier de mesures de protection renforcées, en raison de leur capacité à révéler des aspects intimes de la vie privée des individus.

C’est là qu’intervient la norme HDS¹, une certification indispensable pour les acteurs de la santé qui manipulent des données critiques. 

Normes HDS : définition

L’acronyme HDS, (Hébergeur de Données de Santé), désigne une certification réglementaire obligatoire pour tout prestataire hébergeant des données de santé. Basée sur la norme internationale ISO/IEC 27001, le référentiel HDS garantit que les hébergeurs respectent les exigences de sécurité particulières pour protéger les informations sensibles. Elle atteste également de leur engagement à assurer la protection continue des données de santé, conformément aux réglementations en vigueur.

Adoptée initialement en France pour répondre aux besoins spécifiques du secteur de la santé, la certification HDS s'inscrit dans un cadre légal visant à garantir la protection des données médicales dans les systèmes numériques. Alignée avec les exigences du RGPD², elle a rapidement été reconnue au niveau européen. 

Son objectif principal est de sécuriser les données des patients en limitant les risques de violation et en assurant une protection continue contre les cyberattaques. 

Contrairement à un hébergeur classique, qui peut offrir une certaine sécurité, un hébergeur certifié HDS impose des exigences bien plus strictes. Les principales différences avec un hébergement standard résident dans la mise en place de mesures de sécurité particulièrement robustes, comme le chiffrement systématique des données et le contrôle des accès, ainsi qu'une surveillance régulière via des audits de sécurité pour garantir que les normes de sécurité sont respectées en continu.

Minimiser les temps d'arrêt

La certification HDS s’applique à deux grandes catégories d’hébergeurs, selon les services qu'ils proposent : les hébergeurs d’infrastructures physiques et les hébergeurs infogéreurs.

La certification hébergeur d'infrastructure physique

Cette certification s’adresse aux prestataires responsables de la sécurité des infrastructures matérielles où les données sont stockées. Ces hébergeurs sont donc responsables de la protection physique des centres de données, incluant la gestion des serveurs, la surveillance des accès aux installations, et la protection contre les risques environnementaux (incendies, inondations...). Leur rôle est primordial pour assurer un environnement sécurisé aux systèmes informatiques qui hébergent des données de santé.

La certification hébergeur infogéreurs

Cette certification s’adresse aux prestataires qui gèrent non seulement les infrastructures techniques mais aussi les systèmes d’information pour le compte d'un établissement ou d'une entreprise de santé. Un hébergeur infogéreur intervient sur plusieurs aspects, comme l’administration des serveurs, la maintenance des logiciels et la supervision globale de la sécurité. Cela va donc au-delà de la simple mise à disposition d’un espace de stockage : l’hébergeur infogéreur se charge de l’exploitation et de la gestion continue des services hébergés. En plus de garantir la sécurité physique des données hébergées, ce type d’hébergeur se concentre donc sur la gestion des accès, la mise à jour des logiciels, et la maintenance des environnements numériques.

Référentiel HDS : les principales obligations

Tout comme les établissements et professionnels de santé, les hébergeurs de données de santé doivent respecter un ensemble de mesures strictes visant à garantir la protection des données sensibles pour obtenir et maintenir la certification HDS :

• Gestion des accès et des droits des utilisateurs : les hébergeurs doivent mettre en place des mécanismes de contrôle d’accès stricts, garantissant que seules les personnes autorisées peuvent accéder aux données de santé. La gestion des droits d'accès permet de limiter les actions que chaque utilisateur peut effectuer sur ces données. Côté pratiques, des solutions comme LockPass sont des outils tout trouvés, pour faciliter cette gestion des accès.
  
  Découvrez le retour d’expérience complet du CHU de la Martinique sur la sécurisation et l’étanchéité des accès mises en place au sein de l’établissement.

• Sécurisation physique des infrastructures d’hébergement : les centres de données doivent être protégés contre les risques physiques comme les intrusions, les incendies, et les pannes électriques. Cela inclut des dispositifs de surveillance 24/7, des systèmes de contrôle d'accès physique, et des protocoles de gestion des risques en cas de sinistre.
  
  
• Mise en place d'un système de management de la sécurité de l'information (SMSI) : les hébergeurs doivent développer et maintenir un SMSI conforme à la norme ISO/IEC 27001, afin de gérer de manière systématique les risques liés à la sécurité de l'information. Ce système assure que toutes les données sensibles sont protégées de façon continue et que des mesures préventives sont mises en place pour anticiper les incidents de sécurité.
  
  
• Protection des données personnelles : les exigences de la certification HDS s'alignent sur celles du RGPD. Les hébergeurs doivent garantir la confidentialité des données, s’assurer de la transparence quant aux traitements réalisés, et permettre aux patients d’exercer leurs droits (accès, rectification, et suppression des données).
  
  
• Chiffrement des données en transit et au repos : le chiffrement est un élément clef de la protection des données de santé. Il doit être mis en place aussi bien pour les données stockées sur les serveurs (chiffrement au repos) que lors de leur transmission (chiffrement en transit). Des solutions comme LockFiles et LockTransfer facilitent la mise en œuvre de ces protocoles, garantissant une sécurité accrue des échanges et du stockage.
  
  
• Plan de reprise d’activité et gestion des incidents : en cas de défaillance technique ou de cyberattaque, les hébergeurs doivent être en mesure de rétablir rapidement l’accès aux données. Cela nécessite un plan de reprise d’activité robuste, incluant des sauvegardes régulières, ainsi que des procédures de gestion d’incidents permettant de minimiser l’impact des perturbations sur les services de santé.
  
  
• Mise en place d’audits réguliers : afin de garantir la conformité continue aux exigences du référentiel HDS, des audits de sécurité internes et externes doivent être réalisés de manière périodique. Ces contrôles permettent de s'assurer que les mesures de sécurité sont toujours adaptées à l'évolution des risques.
  
  

• Sensibilisation des collaborateurs : tous les employés ayant accès aux données de santé doivent être formés aux bonnes pratiques cyber. Cette sensibilisation est indispensable pour réduire les risques d’erreurs humaines ou d’ingénierie sociale, comme l'utilisation de mots de passe faibles ou le clic sur un mail phishing.
  
  

Par ailleurs, la révision du référentiel HDS en 2023³ a introduit plusieurs améliorations pour renforcer la sécurité et la transparence des hébergeurs de données de santé. Parmi ces nouveautés : 

• Renforcement de la souveraineté des données : désormais, l’hébergement des données de santé doit se faire uniquement au sein de l'Espace Économique Européen. Si des données sont transférées en dehors de l’UE ou accédées à distance par des prestataires étrangers, l’hébergeur doit en informer explicitement ses clients. Il est également tenu de publier une cartographie des transferts de données hors EEE, avec une évaluation des risques et des mesures de protection mises en place.
  
  
• Clarification des types d'activités certifiées : la révision de 2023 a également précisé les différentes catégories d’hébergement couvertes par la certification HDS, afin de mieux encadrer les activités des prestataires. Cela améliore la transparence vis-à-vis des clients, qui peuvent savoir précisément quelles prestations sont certifiées HDS.
  
  
• Lien avec la certification SecNumCloud : le référentiel HDS a été harmonisé avec celui de SecNumCloud pour offrir une protection renforcée aux prestataires de services cloud. Cela garantit une complémentarité entre les exigences de cybersécurité de ces deux référentiels.
  
  
• Évolution de la norme ISO 27001 : le référentiel HDS intègre aujourd’hui certaines évolutions récentes de la norme ISO/IEC 27001, en particulier en matière de gestion des risques et de protection des informations critiques. Pour les hébergeurs, cela permet de s'aligner sur les meilleures pratiques internationales en matière de sécurité de l'information.

Qui est concerné par la certification HDS ?

L'article L1111-8 du Code de la santé publique⁴ impose explicitement aux acteurs du secteur de la santé de recourir à des hébergeurs certifiés HDS pour tout traitement de données médicales.

La norme HDS s'applique donc à un large éventail d'acteurs du secteur de la santé, tant publics que privés :

• Organismes publics et privés : tous les établissements qui hébergent ou exploitent un système d'information de santé sont soumis à la certification HDS. Cela inclut non seulement les hôpitaux et cliniques, mais aussi toute entité qui réalise des sauvegardes pour le compte d'établissements de santé ou de professionnels de santé. Les sous-traitants techniques ayant accès aux données de santé sont également concernés.
  
  
• Professionnels de santé : les médecins, infirmiers, et autres professions libérales doivent s'assurer que les données médicales qu'ils traitent sont hébergées par des prestataires certifiés HDS. Les laboratoires d’analyses médicales qui manipulent des données de santé doivent également respecter cette réglementation.
  
  
• Prestataires de santé numériques : les plateformes de télémédecine, les applications de suivi médical (comme celles dédiées à la gestion des maladies chroniques ou au fitness), et d'autres services numériques qui manipulent des données de santé doivent également faire appel à des hébergeurs HDS pour garantir la sécurité des informations personnelles des patients.
  
  
• Fournisseurs de services d’hébergement : les entreprises qui proposent des services d'hébergement de données de santé doivent respecter des normes strictes en matière de sécurité et de gestion des données, et s’assurer que leur partenaire d’hébergement soit certifié HDS.
  
  
• Sous-traitants IT : tout sous-traitant ayant accès aux données de santé, qu'il s'agisse de services de gestion des données ou de maintenance des infrastructures, doit également se conformer aux exigences de la certification HDS. L’objectif est de garantir une chaîne de responsabilité claire et une protection optimale des données.

Le non-respect des exigences de la certification HDS peut entraîner des amendes financières liées au RGPD et nuire à la réputation des établissements, entraînant une perte de confiance des patients et des clients dans la sécurité de leurs données de santé.

Certification HDS : les exceptions

Il convient de souligner certaines exceptions à la certification HDS : les services d'archivage informatique qui ne manipulent pas de données de santé ne sont pas assujettis aux exigences du référentiel HDS. De la même manière, les établissements de santé qui gèrent leur propre système d'information de santé n’ont pas l’obligation d'obtenir la certification HDS, à condition de ne pas recourir à des prestataires externes pour héberger ou traiter des données de santé.

Les avantages de la certification HDS

La certification HDS présente de nombreux avantages tant pour les organismes de santé que pour les patients dont les données sont traitées.

• Une sécurité à toute épreuve : grâce à des infrastructures hautement sécurisées, la certification HDS garantit une protection optimale des données de santé. En effet, des mesures comme le chiffrement des données, un contrôle d’accès strict et des systèmes de détection de vulnérabilités assurent que les données sensibles des patients soient protégées contre toute forme d’intrusion ou d’attaque.
  
  
• Une mise en conformité légale : en optant pour un hébergeur certifié HDS, les professionnels de santé peuvent répondre aux exigences légales imposées par la réglementation tout en évitant d’éventuelles sanctions de la CNIL. La certification HDS atteste que les hébergeurs respectent les réglementations en vigueur, y compris le RGPD et la loi française relative aux données de santé, ce qui réduit les risques juridiques pour les organismes de santé.
  
  
• Un service fiable et disponible : les hébergeurs certifiés HDS s’engagent à offrir une haute disponibilité des services, souvent définie par des contrats de niveau de service, qui précisent les engagements de performance et de disponibilité. Cela permet de minimiser les interruptions de service, critère de taille pour les établissements de santé qui doivent accéder en continu aux données de leurs patients. En outre, les organismes certifiés HDS mettent en place des plans de continuité d’activité et de reprise après sinistre, garantissant que les données restent disponibles même en cas de panne majeure.

Même pour les entreprises n’ayant pas de données de santé à stocker, la certification HDS assure donc que le service est conforme aux exigences du RGPD et de la norme ISO 27001, respectant des obligations strictes en matière de sécurité des données.

Comment envoyer des données de santé en toute sécurité ? 

Voici les principales étapes à suivre pour garantir une transmission des données de santé conforme aux normes HDS :

• Utiliser des outils de transfert sécurisés et conformes aux normes HDS : ces outils sont spécifiquement conçus pour respecter les exigences des certifications HDS, garantissant que toutes les données de santé sont transférées de manière sécurisée et protégée contre les intrusions et les fuites. Par exemple, la suite LockSelf est conforme aux normes HDS, avec des partenaires d'hébergement en cloud public et privé tous deux certifiés HDS.
  
  
• Mettre en place le chiffrement des données en transit et au repos : pour assurer une protection maximale des données, il est indispensable de chiffrer les informations non seulement lors de leur transfert, mais également lorsqu'elles sont stockées. Des outils comme Locktransfer et Lockfiles permettent de mettre en œuvre ce chiffrement, garantissant que seules les personnes autorisées peuvent accéder aux données sensibles, même en cas d'interception.
  
  
• Mettre en place un contrôle des accès et une segmentation des droits : la gestion des accès est un élément clef de la sécurité des données de santé. Il est important de définir des niveaux d'accès stricts et de segmenter les droits en fonction des rôles des utilisateurs. Des plateformes comme LockPass permettent de gérer efficacement ces droits d'accès. En complément, un système de surveillance et d’alerte en temps réel permet de détecter et de réagir rapidement à toute activité suspecte, renforçant ainsi la sécurité globale.
  
  
• Effectuer des audits réguliers : ces audits permettent d'identifier d'éventuelles failles ou non-conformités dans les procédures de transfert et de mettre en œuvre les améliorations nécessaires pour maintenir un niveau de sécurité optimal. Ce suivi est vital pour garantir que les pratiques d'envoi de données restent en phase avec les évolutions des réglementations et des cybermenaces !

Comment est obtenue la certification HDS ?

Étape 1 : identification des besoins

La première étape pour obtenir la certification HDS consiste à réaliser une cartographie complète des données de santé traitées. Cela passe par l’identification des types de données, leur volume, et les flux d’informations au sein de l’organisation. Une analyse de risques est également effectuée pour évaluer les menaces potentielles et les vulnérabilités. Cette étape permet de déterminer les mesures de protection nécessaires et les politiques de sécurité adaptées aux spécificités des données traitées.

Étape 2 : mise en conformité avec les exigences ISO / IEC 27001

Pour obtenir la certification HDS, l'organisation doit mettre en place un Système de Gestion de la Sécurité de l'Information (SMSI) conforme à la norme ISO/IEC 27001. Cela implique la définition de politiques de sécurité, la gestion des accès et des identités, ainsi que le chiffrement des données, tant en transit qu'au repos. Ce cadre permet d’établir des procédures claires pour la gestion des incidents de sécurité et la protection des informations sensibles, renforçant ainsi la résilience de l’organisation face aux cybermenaces.

Étape 3 : audit interne de pré-certification

Une fois les mesures mises en place, un audit de sécurité interne est réalisé pour évaluer la conformité de l'organisation aux standards HDS. Cet audit permet d’identifier les éventuelles non-conformités et de mettre en œuvre les corrections nécessaires avant de solliciter un audit officiel. Ce processus d’auto-évaluation est indispensable, pour garantir que l’organisation est prête à répondre aux exigences lors de l'audit de certification.

Étape 4 : certification par un organise agréé

L'étape suivante consiste à passer un audit de certification officiel, mené par un organisme de certification reconnu comme l’AFNOR. Cet audit comprend une évaluation approfondie des pratiques de sécurité mises en place et de la conformité aux exigences HDS. Si l'audit est concluant et que toutes les conditions sont remplies, l'organisation reçoit la certification HDS, attestant de son engagement à protéger les données de santé.

Étape 5 : surveillance et renouvellement

Une fois la certification obtenue, l’organisation est soumise à des audits de surveillance réguliers pour s’assurer qu’elle maintient les standards de sécurité requis.
De plus, la certification doit être renouvelée tous les trois ans, impliquant une réévaluation complète des pratiques de sécurité pour garantir que l'entreprise s’adapte aux évolutions réglementaires et aux nouvelles menaces en matière de cybersécurité.

Sources : 

1 https://esante.gouv.fr/produits-services/hds
2 https://entreprendre.service-public.fr/vosdroits/F24270
3 https://esante.gouv.fr/espace-presse/publication-au-journal-officiel-du-referentiel-de-certification-hds-souverainete-des-donnees-et-ameliorations-du-referentiel
4 https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000049571347