Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Certification HDS : puissance VS souveraineté

13 nov. 2018 - 11:32,
Tribune - Charles Blanc-Rolin
La semaine dernière, Microsoft annonçait avoir enfin obtenu LA certification HDS [1], Saint Graal détenue à ce jour par un seul acteur bien connu du secteur de la santé, le GIP MIPIH. Une question me vient alors à l’esprit, la souveraineté doit-elle être prise en compte dans le choix de son hébergeur ?

En ce qui concerne l’obtention de la certification, force est de constater, que la souveraineté ne fait pas partie des critères retenus, même si à une époque, la « géolocalisation » du data center accueillant les données s’est posée. Ce qui a d’ailleurs fortement incité Microsoft a ouvrir des data centers sur le sol Français.

La « territorialité » des données et le RGPD suffisent-ils à assurer la confidentialité des données ?
Le Cloud Act [2} nous montre que non puisque le gouvernement américain peut ordonner à toute entreprise américaine proposant un service d’hébergement de données de lui fournir les données qu’il demande, et ce, peu importe le territoire sur lequel est situé le data center hébergeant les dites données.

Alors même si nous n’avons peut-être pas grand choses à craindre des juges américains en ce qui concerne la confidentialité des données de santé hébergées dans un data center « américain » situé sur le sol français, n’oublions pas que nous laissons une « porte ouverte ». Il y a d’ailleurs beaucoup plus fort à craindre des services de renseignements, comme l’a souligné Guillaume Poupard, questionné sur le sujet, lors des dernières Assises de la Sécurité à Monaco :

« J’ai plus peur des services de renseignements que des juges. »

À ce propos, les révélations d’Edward Snowden sur le programme PRISM [3] nous ont démontré que les acteurs américains ne faisaient pas obstruction aux sollicitations des services de renseignements de leur pays.

Alors, même si je ne doute absolument pas que Microsoft dispose des moyens techniques pour assurer un taux de disponibilité des données supérieur à des acteurs du secteur de la santé français, quoique… doit-on faire abstraction des risques liés à la confidentialité ?

Car même si l’intégrité et la disponibilité des données se placent bien avant la confidentialité dans la hiérarchie du besoin en matière de sécurité des SI de santé, je pense que la certification HDS devrait permettre d’obtenir un niveau largement suffisant pour ces deux premiers critères, sans avoir besoin d’aller chercher plus de puissance chez les GAFAM.

De leur côté, vu qu’ils refusent l’utilisation d’un antivi-RUSSE, ainsi que des routeurs chinois, je ne suis pas certain que les américains accepteraient de voir leurs données de santé hébergées par une société étrangère, qui, de plus, aurait l’obligation de fournir des données à la demande de son gouvernement.


[1] https://news.microsoft.com/fr-fr/2018/11/06/microsoft-1er-acteur-majeur-du-cloud-public-a-etre-certifie-hebergeur-de-donnees-de-sante-en-france/

[2] https://www.hatch.senate.gov/public/_cache/files/6ba62ebd-52ca-4cf8-9bd0-818a953448f7/ALB18102%20(1).pdf 

[3] https://fr.wikipedia.org/wiki/PRISM_(programme_de_surveillance)

Avez-vous apprécié ce contenu ?

A lire également.

Illustration La cyber et les probabilités paresseuses

La cyber et les probabilités paresseuses

26 mai 2025 - 21:29,

Tribune

-
Cédric Cartau

Récemment, j’ai assisté à la conférence d’un entrepreneur qui propose des prestations de service relatives à des « calculs d’impact ». Oui, dit comme cela, c’est étrange, mais en fait pas autant qu’il y paraît : dans l’idée, si vous disposez d’un budget fixe, entre deux choix de projets cyber (par e...

Illustration Cybersécurité, simuler pour protéger : la force des formations immersives

Cybersécurité, simuler pour protéger : la force des formations immersives

19 mai 2025 - 23:41,

Tribune

-
Christine HEULIN

Dans un secteur aussi sensible que celui de la santé, la cybersécurité et la cyber résilience sont prioritaires. Les séquences immersives intégrées dans les formations à la cybersécurité jouent un rôle essentiel pour préparer les professionnels à faire face aux menaces. Ces approches pédagogiques re...

Illustration La cyber, les rillettes et les puces en 5 minutes

La cyber, les rillettes et les puces en 5 minutes

19 mai 2025 - 23:24,

Tribune

-
Cédric Cartau

C’est ce que je trouve bien dans la cyber : la discipline est au carrefour des possibles, et il ne faut pas bien longtemps pour tordre une nouvelle ou un article glanés çà ou là avant de les cyber-retourner, souvent avec la mauvaise foi qui me caractérise, j’en conviens. Exercice en live.

Illustration Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE

Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE

09 mai 2025 - 16:39,

Actualité

- DSIH

Le programme CaRE franchit une étape clé. Moins d’un an après le lancement de son premier appel à financement dédié à la sécurisation des annuaires techniques et de l’exposition sur Internet, la direction du programme annonce la validation du premier dossier ayant atteint l’ensemble des objectifs fi...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.