Certification hébergement données de santé : un nouveau modèle pour les infogéreurs

Une certification et un audit pour répondre aux limites de l’agrément

Le modèle actuel d'agrément est en fin de vie. Pour encore quelques mois, sur les bases d'une déclaration, l'hébergeur candidat exprime toute sa bonne foi dans un énorme dossier remis à l’ASIP. Le candidat ne fait l’objet d’aucun audit de la part des autorités.

L'exercice consiste donc à être cohérent et crédible face aux règles énoncées par le Ministère de la santé. Et pour certains, parfois ne pas réaliser complétement ce qui a été écrit… Nous comprenons très vite les limites d'un tel système, notamment en termes de sécurité numérique.

Le modèle de certification désormais proposé par la DSSIS (Délégation à la Stratégie des Systèmes d’Information de Santé) et l'ASIP Santé cherche à accroître la confiance envers les hébergeurs, en instaurant un audit sur site réalisé par un tiers indépendant. Et ceci aux frais de l'hébergeur.

De ce fait, le ticket d'entrée de la certification sera bien plus élevé que ne l’était celui de l'agrément, avec pour conséquence une redistribution des cartes chez les actuels hébergeurs déjà agréés.

Le paradigme du contrôle de l’application

La réalisation d’un audit n'est pas le seul changement notable. Un autre paradigme change avec la certification : le contrôle de l'application.

Dans le modèle actuel, les hébergeurs se sont attribués le contrôle de l'applicatif de leur client, remplissant un vide juridique laissé par le décret instaurant l'agrément en 2010. Cette philosophie, portée par les hébergeurs historiques, a permis de protéger ces derniers des grands cloud providers, en construisant un modèle franco-français d'hébergement de données de santé. L'intention était louable - protéger la donnée de santé du citoyen français - mais a eu d’autres conséquences.

Ce modèle n’a pas démontré sa capacité à porter l’investissement massif permettant l’éclosion de plateformes d’IoT, de deep learning ou encore de big data. En ralentissant l'accès à l'agrément aux très grands fournisseurs IaaS et Cloud, le modèle a peut-être freiné l'innovation nécessaire dans la santé.

La certification change-t-elle la donne ?

En analysant la dernière version de travail, nous pouvons penser que oui. En retirant le contrôle de l'applicatif aux hébergeurs et en proposant un système à deux étages, un certificat hébergeur d'infrastructure physique et un certificat d'infogéreur, les autorités publiques obligent ou autorisent, selon les points de vue, les hébergeurs à une transformation de leur métier.

Ce schéma de l’ASIP Santé présente les composantes des deux certifications à venir : 

Rien n'empêche l’infogéreur d'opérer ses propres infrastructures. Dans ce cas de figure, il est titulaire des deux certificats. Cela peut être un bon modèle pour l'univers hospitalier par exemple.

Mais la certification l’autorise aussi à opérer des plateformes fournies par les grands fournisseurs de cloud et de IaaS. A sa charge dans ce cas-là de :

• Assurer le maintien en condition opérationnelle, la sécurité et la conformité.
• Proposer une couche de service innovante et complémentaire en adéquation avec le besoin terrain.
• Trouver le ou les bons partenaires respectueux de la législation en vigueur mais capable d'apporter cette force de frappe manquant cruellement à la santé française.

L'innovation cumulée entre les infogéreurs et les fournisseurs IaaS et Cloud Public pourraient permettre le développement de grands projets de santé et de recherche.

Des incertitudes demeurent

Toutefois, si les autorités publiques françaises ont retiré aux hébergeurs ce rôle de radar automatique de l'applicatif de leur client (ce qui règle quelques douloureux problèmes d'éthique, avouons-le), il est à regretter que rien ne fut pensé pour le remplacer. Et pourtant, la règle qui veut que 80% des attaques aient lieu sur l'applicatif (et non sur l'infrastructure) est toujours une réalité.

Il est donc important que les autorités publiques montent le troisième étage du dispositif, qui voudrait qu'un organisme tiers de confiance et indépendant contrôle l'application traitant de la donnée de santé.

De même, le positionnement des autorités publiques sur l'obligation des GHT à se certifier HDS doit être confirmé. En effet le décloisonnement ville-hôpital devient désormais une stratégie nationale avec pour conséquence, une ouverture croissante des SI hospitaliers. Des établissements support sont désignés pour porter le projet informatique pour tous leurs voisins. Il est donc plus que temps de se questionner sur l’encadrement des données de santé des GHT, dans le même format et avec les mêmes règles que chez un hébergeur de données certifié.

Infogéreur santé : un métier d’avenir

Pour conclure, l’infogéreur en santé n’exerce plus de contrôle sur l'application de ses clients. Il garde un devoir d’information et d’alerte et s’il en est capable, les accompagne dans une démarche vertueuse de sécurisation. Et désormais, il autorise, facilite et contrôle l'accès à des services de IaaS et de cloud innovants, en phase avec le besoin de la santé en France.

L'auteur 

Christophe Jodry, Directeur de l’Offre e-Santé, Claranet e-Santé