Quelles sont les principaux enjeux relatifs au stockage des données de santé ?
Marie Lethiec : Ils s’articulent autour de quatre notions au cœur de la norme ISO 27001 relative au management de la sécurité du système d’information, sur laquelle s’appuie principalement la certification HDS : la confidentialité, la disponibilité, l’intégrité, et enfin et surtout, la traçabilité qui s’applique à toutes les actions effectuées autour des données de santé. Ces mots-clés sont les garants d’un stockage et d’un hébergement sécurisés.
Cédric Le Guen : Il convient donc de mettre en place des processus spécifiques en termes d’authentification, de chiffrement des flux, de redondances, etc. Il faut, pour cela, avoir identifié en amont le périmètre du projet, pour cibler avec précision les moyens à déployer et dimensionner correctement les infrastructures. Cette réflexion peut s’appuyer sur l’hébergeur retenu, puisque c’est là son cœur de métier.
Justement, pourquoi faire appel à un hébergeur certifié HDS ?
Marie Lethiec : Parce que c’est une obligation réglementaire dès lors qu’il s’agit de données personnelles de santé. Cette certification, qui est spécifique à la France, participe activement à la construction d’un système renforçant la confiance sur le traitement de ces informations extrêmement sensibles.
Cédric Le Guen : À savoir toutefois : le référentiel HDS est certes exigeant, mais plusieurs éléments n’ont pas de caractère obligatoire. Par exemple, il est recommandé de stocker les sauvegardes sur un site différent, mais cela n’est aucunement imposé. Chez GPLExpert, nous proposons à la fois un hébergement sur site unique et un double hébergement, ce qui nous donne une grande souplesse pour co-construire, avec chaque établissement, la solution qui lui conviendra le mieux.
Marie Lethiec : Ils s’articulent autour de quatre notions au cœur de la norme ISO 27001 relative au management de la sécurité du système d’information, sur laquelle s’appuie principalement la certification HDS : la confidentialité, la disponibilité, l’intégrité, et enfin et surtout, la traçabilité qui s’applique à toutes les actions effectuées autour des données de santé. Ces mots-clés sont les garants d’un stockage et d’un hébergement sécurisés.
Cédric Le Guen : Il convient donc de mettre en place des processus spécifiques en termes d’authentification, de chiffrement des flux, de redondances, etc. Il faut, pour cela, avoir identifié en amont le périmètre du projet, pour cibler avec précision les moyens à déployer et dimensionner correctement les infrastructures. Cette réflexion peut s’appuyer sur l’hébergeur retenu, puisque c’est là son cœur de métier.
Justement, pourquoi faire appel à un hébergeur certifié HDS ?
Marie Lethiec : Parce que c’est une obligation réglementaire dès lors qu’il s’agit de données personnelles de santé. Cette certification, qui est spécifique à la France, participe activement à la construction d’un système renforçant la confiance sur le traitement de ces informations extrêmement sensibles.
Cédric Le Guen : À savoir toutefois : le référentiel HDS est certes exigeant, mais plusieurs éléments n’ont pas de caractère obligatoire. Par exemple, il est recommandé de stocker les sauvegardes sur un site différent, mais cela n’est aucunement imposé. Chez GPLExpert, nous proposons à la fois un hébergement sur site unique et un double hébergement, ce qui nous donne une grande souplesse pour co-construire, avec chaque établissement, la solution qui lui conviendra le mieux.
Comment procédez-vous ici ?
Marie Lethiec : À chaque fois qu’un établissement de santé nous sollicite, nous commençons toujours par qualifier ses besoins ensemble afin de lui proposer un scenario sur-mesure. Il peut dès lors rapidement disposer d’une visibilité globale sur l’architecture du projet mais aussi sur nos propres engagements, pris en toute transparence. Nous sommes néanmoins conscients que les besoins d’un établissement de santé sont évolutifs. C’est pourquoi notre offre de service reste flexible et adaptable au fil du temps.
Cédric Le Guen : Chaque projet est donc accompagné sur le long terme et bénéficie de nos conseils experts. Par exemple, si un établissement souhaite mettre en place une modification technique pouvant avoir un impact potentiel sur la sécurité des processus, nous lui proposons des adaptations à la fois conformes aux exigences du référentiel HDS et en adéquation avec notre propre qualité de service. Les documents contractuels sont alors mis à jour, en particulier le plan d’assurance qualité, qui permet de tracer les lignes directrices du projet.
Quels enseignements tirer aujourd’hui de vos interventions sur le terrain ?
Cédric Le Guen : En tant qu’hébergeur certifié HDS, GPLExpert a un devoir de conseil et effectue une analyse des risques poussée pour guider les choix de l’établissement. Mais celui-ci reste le décideur final. Il doit donc être sensibilisé aux bonnes pratiques de sécurité informatique et soutenir leur application. C’est ce travail conjoint, collaboratif et solidaire qui permettra de véritablement protéger les données personnelles de santé.
Marie Lethiec : Il est donc essentiel qu’hébergeur et hébergé communiquent régulièrement pour identifier rapidement les pratiques potentiellement problématiques. L’accompagnement offert par GPLExpert est ici d’autant plus pertinent qu’il s’appuie sur des compétences complémentaires, pour que chaque établissement bénéficie de la meilleure réponse possible en fonction de ses besoins et de ses contraintes.
Plus d'informations sur le site de GPLExpert.
Article publié dans le numéro de mai d'Hospitalia à consulter ici
Marie Lethiec : À chaque fois qu’un établissement de santé nous sollicite, nous commençons toujours par qualifier ses besoins ensemble afin de lui proposer un scenario sur-mesure. Il peut dès lors rapidement disposer d’une visibilité globale sur l’architecture du projet mais aussi sur nos propres engagements, pris en toute transparence. Nous sommes néanmoins conscients que les besoins d’un établissement de santé sont évolutifs. C’est pourquoi notre offre de service reste flexible et adaptable au fil du temps.
Cédric Le Guen : Chaque projet est donc accompagné sur le long terme et bénéficie de nos conseils experts. Par exemple, si un établissement souhaite mettre en place une modification technique pouvant avoir un impact potentiel sur la sécurité des processus, nous lui proposons des adaptations à la fois conformes aux exigences du référentiel HDS et en adéquation avec notre propre qualité de service. Les documents contractuels sont alors mis à jour, en particulier le plan d’assurance qualité, qui permet de tracer les lignes directrices du projet.
Quels enseignements tirer aujourd’hui de vos interventions sur le terrain ?
Cédric Le Guen : En tant qu’hébergeur certifié HDS, GPLExpert a un devoir de conseil et effectue une analyse des risques poussée pour guider les choix de l’établissement. Mais celui-ci reste le décideur final. Il doit donc être sensibilisé aux bonnes pratiques de sécurité informatique et soutenir leur application. C’est ce travail conjoint, collaboratif et solidaire qui permettra de véritablement protéger les données personnelles de santé.
Marie Lethiec : Il est donc essentiel qu’hébergeur et hébergé communiquent régulièrement pour identifier rapidement les pratiques potentiellement problématiques. L’accompagnement offert par GPLExpert est ici d’autant plus pertinent qu’il s’appuie sur des compétences complémentaires, pour que chaque établissement bénéficie de la meilleure réponse possible en fonction de ses besoins et de ses contraintes.
Plus d'informations sur le site de GPLExpert.
Article publié dans le numéro de mai d'Hospitalia à consulter ici
Focus métier : l’administrateur système et réseau (ASR)
• L’ASR est le garant de l'intégrité et de la sécurité du SI. Durant la phase projet, il est en relation avec l’établissement de santé pour s’assurer que ce qui a été convenu est réalisable et bien réalisé. Il vérifie ensuite, au quotidien, que le maintien en conditions opérationnelles et le maintien en conditions de sécurité sont bien effectifs.
• Ce professionnel polyvalent maîtrise un large périmètre technique, qui va des bases de données aux systèmes d’exploitation en passant par les protocoles réseaux. Il peut également être spécialisé sur un champ particulier, par exemple les infrastructures virtualisées.
• Ses missions : Identifier les besoins d’évolution du SI pour répondre aux besoins du client, Intégrer les équipements au réseau, Anticiper les problématiques en effectuant une veille technologique proactive, Diagnostiquer les dysfonctionnements, Qualifier les incidents et prioriser les solutions, Maîtriser les enjeux de sécurité et veiller à l’application des règles de bonnes pratiques.
• L’ASR est le garant de l'intégrité et de la sécurité du SI. Durant la phase projet, il est en relation avec l’établissement de santé pour s’assurer que ce qui a été convenu est réalisable et bien réalisé. Il vérifie ensuite, au quotidien, que le maintien en conditions opérationnelles et le maintien en conditions de sécurité sont bien effectifs.
• Ce professionnel polyvalent maîtrise un large périmètre technique, qui va des bases de données aux systèmes d’exploitation en passant par les protocoles réseaux. Il peut également être spécialisé sur un champ particulier, par exemple les infrastructures virtualisées.
• Ses missions : Identifier les besoins d’évolution du SI pour répondre aux besoins du client, Intégrer les équipements au réseau, Anticiper les problématiques en effectuant une veille technologique proactive, Diagnostiquer les dysfonctionnements, Qualifier les incidents et prioriser les solutions, Maîtriser les enjeux de sécurité et veiller à l’application des règles de bonnes pratiques.