Kiwi Backup en route pour la certification HDS

Jusqu’en 2018, conformément au décret n° 2006-6 du 4 janvier 2006, toute entreprise hébergeant des données de santé pour le compte d’un tiers devait être détentrice d’un agrément HDS, délivré par le ministère de la Santé. Depuis le 1^er avril 2018, l’agrément est remplacé par une certification, accordée par le Cofrac, le Comité français d’accréditation. Le périmètre de certification a été étendu aux infogéreurs. Si le service de Kiwi Santé est couvert jusqu’à fin 2019 par l’agrément de la solution OVH Healthcare (laquelle sera prochainement certifiée), Kiwi Santé devra être certifié pour les activités extérieures à OVH, soit principalement la mise à disposition de sa plateforme logicielle et les sauvegardes externalisées. La société a donc démarré dès 2018 les travaux préparatoires à la certification.

Les coulisses de la certification

L’agrément était basé sur un dossier évalué par un comité d’instruction de l’Asip Santé, alors que la certification repose sur des normes européennes draconiennes [1]. Autre distinction, et pas des moindres : un organisme de certification indépendant effectue un audit de certification sur site, avec contrôle annuel et renouvellement tous les trois ans.

« Après un diagnostic établi par un cabinet spécialisé en janvier 2019, Kiwi Backup s’est engagé, avec le même cabinet, dans la mise à plat de ses processus de certification et la formalisation de ses politiques et de ses procédures, c’est-à-dire dans la construction de son SMSI (système de management de la sécurité de l’information) », indique Céline Thevenet, directrice des opérations chez Kiwi Backup. Parallèlement, un pentest (test de pénétration) a été réalisé par un cabinet extérieur pour évaluer les potentielles faiblesses. « Après dix jours d’audit, le niveau de sécurité global a été qualifié de “Bon”, avec une maturité du périmètre audité supérieure à la moyenne », précise-t-elle.

Un niveau de confiance encore plus élevé

Pour les utilisateurs du service Kiwi Santé, ces démarches ont pour objectif d’augmenter le niveau de sécurité global du système en :

• généralisant l’intégration de la sécurité à tous les aspects de l’entreprise : développement, administration des services, mais aussi RH, choix des fournisseurs, etc. ;
• mettant en place et en suivant un plan de traitement des risques sur tous les aspects de l’entreprise.

Kiwi Backup, dans la dernière ligne droite, devrait obtenir la certification d’ici à novembre 2019.

[1] Les normes ISO 27001 (sur le système de management de la sécurité de l’information) et 20000 (sur la conception, la planification et la mise en production de services) dans leur intégralité ainsi que certaines exigences des normes 27017 (bonnes pratiques concernant le contrôle de la sécurité de l’information pour des services Cloud) et 27018 (bonnes pratiques concernant la protection des données personnelles identifiables pour des services Cloud).